下载文档原格式
华为防火墙的双机热备方案在网络关键节点上,如果只部署一台设备,无论其可靠性多高,系统都必然要承受因单点故障而导致的网络中断的风险。
防火墙一般用作内网到外网的出口,是业务关键路径上的设备,为了防止因一台设备故障而导致的业务中断,要求防火墙必须提供更高的可靠性,此时需要使用防火墙双机热备组网。
双机热备组网的建立和运行需要解决以下五个关键问题:1.设备的主备状态是如何决定的2.如何监控并发现接口或者设备故障3.发现故障后,如何保证设备的主备状态切换4.正常情况和故障后,流量是如何引导的5.如何进行信息同步,保证主备切换后业务不中断以上问题都是由双机热备特性涉及的三大协议VRRP VGMP HRP 共同配合解决的。
首先,VRRP自然不需要多说,我相信大家都非常清楚,这是一个公有的网关冗余技术,可以在两台设备之间形成虚拟IP地址,建立主备的冗余关系,但是传统的VRRP在安全领域有一个不可忽略的问题,就是当防火墙上下行业务端口上都配置了VRRP备份组的时候,这两个VRRP备份组是独立运行的,可能出现上下行两个VRRP备份组状态不一致的情况。
我们来看下面这个图这是最基本的一个防火墙双机热备的连接拓扑,防火墙的业务接口工作在三层,上下行连接交换机,防火墙的上行接口和下行接口分别运行了两个独立的VRRP组,FW1为主设备,FW2为备设备,正常情况下,流量会在FW1上进行往返(也就是沿着蓝色箭头的方向走),现在假设FW1的下行接口故障,因此运行在下行接口的VRRP组会检测到这个问题,从而引发主备切换, FW2的下行接口会成为主接口,上行流量会从FW2转发出去,访问外部网络,但是因为上下行的VRRP组是独立运行的,所以对于上行接口而言,主设备依然还在FW1上,因此外部网络返回的流量依然会转发到FW1上,这样就造成了网络不通,这个问题,传统的VRRP是无法解决的,因此,华为在VRRP的基础之上,开发了VGMP协议。
VGMP的基本功能是集中管理和监控VRRP备份组,控制VRRP 备份组的统一切换,将一组VRRP备份组组成一个VGMP管理组,由VGMP管理组控制所有VRRP备份组同步倒换,保证所有VRRP备份组状态一致,VGMP管理组还可以代表整个设备使用VGMP报文跟对端设备进行协商实现主备状态切换。
双机热备主备方式OSPF组网配置指导手册关键字:双机热备、主备、非抢占、物理接口、静态路由、OSPF目录1双机热备防火墙组网说明:22主防火墙配置步骤:22.1 配置接口地址52.2 配置安全区域62.3 配置双机热备82.4 配置接口联动112.5 配置NAT112.6 配置OSPF动态路由协议152.7 配置NQA182.8 配置静态缺省路由与TRACK 1绑定192.9 配置OSPF发布缺省路由203备防火墙配置步骤:202.1 配置接口地址222.2 配置安全区域242.3 配置双机热备252.4 配置接口联动282.5 配置NAT282.6 配置OSPF动态路由协议332.7 配置NQA352.8 配置静态缺省路由与TRACK 1绑定362.9 配置OSPF发布缺省路由371 双机热备防火墙组网说明:组网说明:防火墙双机热备组网,主备非抢占模式,防火墙上行链路通过静态路由指向连接INTERNET网络,防火墙下行链路通过OSPF动态路由指向内部网络路由器。
业务要求:当网络“层三交换机”或“防火墙”或“层二交换机”某一个设备本身故障或某一条线路故障时,流量可以及时从主防火墙切换至备防火墙,保证网络应用业务不中断、平稳运行。
2 主防火墙配置步骤:1 配置PC IP地址192.168.0.3/24,连接管理防火墙:2 通过IE浏览器打开防火墙WEB管理界面,防火墙默认的管理IP地址192.168.0.1,默认的用户名:h3c,默认密码:h3c。
3 进入防火墙WEB管理界面,可以查看防火墙系统信息,包括版本信息等;4 单击“设备管理》基本配置》设备基本信息”修改防火墙名称为“FW1”,默认的防火墙名称是“H3C”;5单击“设备管理》服务管理”启用防火墙TELNET服务,用于远程命令行配置管理;6单击“用户管理》本地用户”新建、修改管理防火墙用户和用户密码;2.1 配置接口地址1 单击“设备管理》接口管理”,单击“修改”按钮,配置防火墙接口地址;2 配置接口G2/0,接口ip地址为10.1.1.253/24,配置完成后单击“确定”按钮;3 配置接口G2/2,接口ip地址为192.168.2.2/24,配置完成后单击“确定”按钮;4 配置接口G2/3,接口ip地址为192.168.3.2/24,配置完成后单击“确定”按钮;2.2 配置安全区域1 单击“设备管理》安全域”,单击“修改”按钮,配置防火墙接口加入安全区域;2 配置G2/2和G2/3接口加入Trust区域,配置完成后单击“确定”按钮;3 配置G2/0接口加入Untrust区域,配置完成后单击“确定”按钮;2.3 配置双机热备配置VRRP1 单击“高可靠性》VRRP”,单击接口G2/0“修改”按钮配置接口VRRP;2 单击“新建”按钮,配置“vrid”为101,配置“虚拟ip”为10.1.1.5;3 单击“修改”按钮配置VRID 101监视接口;4 单击“显示监视配置”,配置接口G2/0监视接口G2/2和接口G2/3;配置双机热备1 单击“高可靠性》双机热备”配置“使能双机热备功能”,备份类型为“不支持非对称路径”,备份接口为默认接口inner-ethernet0/1,配置完成后单击“确定”按钮;同时使用一根以太网线连接两台防火墙的“HA接口”(“HA接口”在防火墙的主控面板上);2.4 配置接口联动1 单击“高可靠性》接口联动组”单击联动组1“修改”按钮配置接口联动:2 配置“联动组1”成员G2/0、G2/2、G2/3,配置完成后单击“确定”按钮;当联动组中其中之一的接口状态为DOWN,其它接口也被置为DOWN状态,保证联动组中所有接口状态一致。
SecPath防火墙双机热备典型配置举例关键词:双机热备、主备模式、负载分担模式、数据同步、流量切换摘要:防火墙设备是所有信息流都必须通过的单一点,一旦故障所有信息流都会中断。
保障信息流不中断至关重要,这就需要解决防火墙设备单点故障问题。
双机热备技术可以保障即使在防火墙设备故障的情况下,信息流仍然不中断。
本文将介绍双机热备的概念、工作模式及典型应用等。
缩略语:目录1 特性简介 (3)1.1 双机热备的工作机制 (3)2 特性使用指南 (4)2.1 使用场合 (4)2.2 配置指南 (4)2.2.1 双机热备组网应用配置指南 (4)2.2.2 双机热备应用涉及的配置 (4)2.3 注意事项 (4)3 支持的设备和版本 (5)3.1 设备版本 (5)3.2 支持的设备 (5)3.3 配置保存 (5)4 配置举例 (6)4.1 典型组网 (6)4.2 设备基本配置 (9)4.2.1 其他共同配置: (9)4.3 双机热备业务典型配置举例 (9)4.3.1 透明模式+主备模式 (9)4.3.2 透明模式+负载分担模式 (14)4.3.3 路由模式+主备模式 (17)4.3.4 路由模式+负载分担模式 (19)4.3.5 路由模式+主备模式+支持非对称路径 (21)4.3.6 路由模式+负载分担模式+支持非对称路径 (28)4.3.7 动态路由模式组网 (33)5 相关资料 (33)1 特性简介双机热备在链路切换前,对会话信息进行主备同步;在设备故障后能将流量切换到其他备份设备,由备份设备继续处理业务,从而保证了当前的会话不被中断。
secpath防火墙具有多样化的组网方式,双机的组网应用也会很多种,本文试举几种双机热备的典型应用。
1.1 双机热备的工作机制互为备份的两台防火墙只负责会话信息备份,保证流量切换后会话连接不中断。
而流量的切换则依靠传统备份技术(如VRRP、动态路由)来实现,应用灵活,能适应各种组网环境。
配置路由模式下主备备份方式的双机热备份举例组网需求Eudemon 1000E作为安全设备被部署在业务节点上。
其中上下行设备均是交换机,Eudemon 1000E A、Eudemon 1000E B分别充当主用设备和备用设备,且均工作在路由模式下。
网络规划如下:∙需要保护的网段地址为10.100.10.0/24,与Eudemon 1000E的GigabitEthernet 0/0/1接口相连,部署在Trust区域。
∙外部网络与Eudemon 1000E的GigabitEthernet 0/0/3接口相连,部署在Untrust区域。
∙两台Eudemon 1000E的HRP备份通道接口GigabitEthernet 0/0/2部署在DMZ区域。
其中,各安全区域对应的VRRP组虚拟IP地址如下:∙Trust区域对应的VRRP组虚拟IP地址为10.100.10.1/24。
∙Untrust区域对应的VRRP组虚拟IP地址为202.38.10.1/24。
∙DMZ区域对应的VRRP组虚拟IP地址为10.100.20.1/24。
组网图如图1所示。
图1 路由模式下主备备份方式的双机热备份配置举例组网图数据规划操作步骤1.在Eudemon 1000E A上完成以下基本配置。
# 配置GigabitEthernet 0/0/1的IP地址。
<Eudemon A> system-view[Eudemon A] interface GigabitEthernet 0/0/1[Eudemon A-GigabitEthernet0/0/1] ip address 10.100.10.2 24[Eudemon A-GigabitEthernet0/0/1] quit# 配置GigabitEthernet 0/0/2的IP地址。
[Eudemon A] interface GigabitEthernet 0/0/2[Eudemon A-GigabitEthernet0/0/2] ip address 10.100.20.2 24[Eudemon A-GigabitEthernet0/0/2] quit# 配置GigabitEthernet 0/0/3的IP地址。
天融信防火墙双机热备配置说明一、防火墙的接口设置:ifconfig 'eth0' 10.1.3.4 255.255.255.0 内网接口//接内网交换机ifconfig 'eth4' 211.141.203.74 255.255.255.0 外网接口口//上接F5ifconfig 'eth5' 211.141.203.76 255.255.255.240 服务器区//接服务器区交换机ifconfig 'eth6' 192.168.1.250 255.255.255.0 防火墙同步接口//主备防火墙间同步接口互连二、按需配置好主防火墙三、配置双击热备过程:1、配置主防火墙的双机设置,并使之处于工作状态:system -n 'work' //给主防火墙取名为worksystem -i 0 //配置主防火墙的设备号为0system -h backup working 3 //配置主防火墙为双机热备方式并处于工作状态system ssp on //在主防火墙上打开状态同步协议2、在从防火墙上清空所有配置:restore config //恢复防火墙出厂默认值ifconfig eth6 off //清空防火墙所有接口地址(默认出厂只有eth6有地址)3、配置从防火墙的双机设置,并使之处于备用状态:system -n 'standby' //给从防火墙取名为standbysystem -i 1 //配置从防火墙的设备号为1system -h backup standby 3 //配置从防火墙为双机热备方式并处于备用状态system ssp on //在从防火墙上打开状态同步协议4、把主防火墙和从防火墙的所有接口按照要求接到相应的设备5、在主防火墙执行同步命令,将主防火墙的所有配置同步到从防火墙上:writep //同步命令。
SecPath防火墙双机热备典型配置举例关键词:双机热备、主备模式、负载分担模式、数据同步、流量切换摘要:防火墙设备是所有信息流都必须通过的单一点,一旦故障所有信息流都会中断。
保障信息流不中断至关重要,这就需要解决防火墙设备单点故障问题。
双机热备技术可以保障即使在防火墙设备故障的情况下,信息流仍然不中断。
本文将介绍双机热备的概念、工作模式及典型应用等。
缩略语:目录1 特性简介 (3)1.1 双机热备的工作机制 (3)2 特性使用指南 (4)2.1 使用场合 (4)2.2 配置指南 (4)2.2.1 双机热备组网应用配置指南 (4)2.2.2 双机热备应用涉及的配置 (4)2.3 注意事项 (4)3 支持的设备和版本 (5)3.1 设备版本 (5)3.2 支持的设备 (5)3.3 配置保存 (5)4 配置举例 (6)4.1 典型组网 (6)4.2 设备基本配置 (9)4.2.1 其他共同配置: (9)4.3 双机热备业务典型配置举例 (9)4.3.1 透明模式+主备模式 (9)4.3.2 透明模式+负载分担模式 (14)4.3.3 路由模式+主备模式 (17)4.3.4 路由模式+负载分担模式 (19)4.3.5 路由模式+主备模式+支持非对称路径 (21)4.3.6 路由模式+负载分担模式+支持非对称路径 (27)4.3.7 动态路由模式组网 (32)5 相关资料 (33)1 特性简介双机热备在链路切换前,对会话信息进行主备同步;在设备故障后能将流量切换到其他备份设备,由备份设备继续处理业务,从而保证了当前的会话不被中断。
secpath防火墙具有多样化的组网方式,双机的组网应用也会很多种,本文试举几种双机热备的典型应用。
1.1 双机热备的工作机制互为备份的两台防火墙只负责会话信息备份,保证流量切换后会话连接不中断。
而流量的切换则依靠传统备份技术(如VRRP、动态路由)来实现,应用灵活,能适应各种组网环境。
天融信防火墙双机热备配置说明天融信防火墙双机热备配置说明一、防火墙的接口设置:ifconfig 'eth0' 10.1.3.4 255.255.255.0 内网接口//接内网交换机ifconfig 'eth4' 211.141.203.74 255.255.255.0 外网接口口//上接F5ifconfig 'eth5' 211.141.203.76 255.255.255.240 服务器区//接服务器区交换机ifconfig 'eth6' 192.168.1.250 255.255.255.0 防火墙同步接口//主备防火墙间同步接口互连二、按需配置好主防火墙三、配置双击热备过程:1、配置主防火墙的双机设置,并使之处于工作状态:system -n 'work' //给主防火墙取名为worksystem -i 0 //配置主防火墙的设备号为0system -h backup working 3 //配置主防火墙为双机热备方式并处于工作状态system ssp on //在主防火墙上打开状态同步协议2、在从防火墙上清空所有配置:restore config //恢复防火墙出厂默认值ifconfig eth6 off //清空防火墙所有接口地址(默认出厂只有eth6有地址)3、配置从防火墙的双机设置,并使之处于备用状态:system -n 'standby' //给从防火墙取名为standbysystem -i 1 //配置从防火墙的设备号为1system -h backup standby 3 //配置从防火墙为双机热备方式并处于备用状态system ssp on //在从防火墙上打开状态同步协议4、把主防火墙和从防火墙的所有接口按照要求接到相应的设备5、在主防火墙执行同步命令,将主防火墙的所有配置同步到从防火墙上:writep //同步命令。
SONICWALL 5600双机热备(主备
模式)配置
2020-5-5
SONICWALL 5600双机热备(主备模式)配置
一、开启主防火墙,备防火墙暂时不通电。
二、在主防火墙开启主备模式。
三、填写备用防火墙SN码。
四、选择主备防火墙心跳级联端口。
五、设置主备防火墙管理IP
六、在官网关联备机SN。
七、连接主备防火墙级联线缆,并备用防火墙通电。
八、开完机后,检查主备模式HA是否成功
九、测试主备防火墙是否工作正常。
1、主防火墙拔线,备机能否正常工作。
2、主防火墙增加配置,备机是否配置同步。
3、主防火墙关电,备机能否正常工作。
4、检查所有业务是否工作正常。
5、内网测试是否正常,1、服务器能否上网2、访问防火墙是否正常。
防火墙双机热备配置及组网指导防火墙双机热备,主要是提供冗余备份的功能,在网络发生故障的时候避免业务出现中断。
防火墙双机热备组网根据防火墙的模式,分路由模式下的双机热备组网和透明模式下的双机热备组网,下面分别根据防火墙的不同模式下的组网提供组网说明及典型配置。
1 1:防火墙双机热备命令行说明防火墙的双机热备的配置主要涉及到HRP的配置,VGMP的配置,以及VRRP的配置,防火墙的双机热备组网配置需要根据现网的业务和用户的需求来进行调整,下面就防火墙的双机热备配置涉及到的命令行做一个解释说明。
1.1 1.1 HRP命令行配置说明HRP是华为的冗余备份协议, Eudemon 防火墙使用此协议进行备份组网,达到链路状态备份的目的,从而保证在设备发生故障的时候业务正常。
HRP协议是华为自己开发的协议,主要是在VGMP协议的基础上进行扩展得到的;VGMP是华为的私有协议,主要是用来管理VRRP的,VGMP也是华为的私有协议,是在VRRP的基础上进行扩展得到的。
不管是VGMP的报文,还是HRP的报文,都是VRRP的报文,只是防火墙在识别这些报文的时候能根据自己定义的字段能判断出是VGMP的报文,HRP的报文,或者是普通的VRRP的报文.在Eudemon防火墙上,hrp的作用主要是备份防火墙的会话表,备份防火墙的servermap表,备份防火墙的黑名单,备份防火墙的配置,以及备份ASPF模块中的公私网地址映射表和上层会话表等.两台防火墙正确配置VRRP,VGMP,以及HRP之后,将会形成主备关系,这个时候防火墙的命令行上会自动显示防火墙状态是主还是备,如果命令行上有HRP_M的标识,表示此防火墙和另外一台防火墙进行协商之后抢占为主防火墙,如果命令行上有HRP_S的标识,表示此防火墙和另外一台防火墙进行协商之后抢占为备防火墙。
防火墙的主备状态只能在两台防火墙之间进行协商,并且协商状态稳定之后一定是一台为主状态另外一台为备状态,不可能出现两台都为主状态或者都是备状态的。
在防火墙的HRP形成主备之后,我们称HRP的主备状态为HRP主或者是HRP备状态,在形成HRP的主备状态之后默认是一部分配置在主防火墙上配置之后能自动同步到备防火墙上的,而这些命令将不能在备防火墙的命令行上执行,这些命令包括ACL,接口加入域等,但其中一些命令行是不会从主防火墙上备份到备防火墙上。
HRP的配置命令的功能和使用介绍如下:★ hrp enable :HRP使能命令,使能HRP之后防火墙将形成主备状态。
★ hrp configuration check acl :检查主备防火墙两端的ACL的配置是否一致。
执行此命令之后,主备防火墙会进行交互,执行完之后可以通过命令行display hrp configuration check acl来查看两边的配置是否一致。
★ hrp configuration check hrp :检查主备防火墙两端的HRP的配置是否一致。
执行此命令之后,主备防火墙会进行交互,执行完之后可以通过命令行display hrp configuration check acl来查看两边的配置是否一致。
★ hrp interface Ethernet/ GigabitEthernet :添加防火墙配置会话备份通道。
通常就是指防火墙心跳口,此接口用来备份防火墙的会话的。
★ hrp interface Ethernet 1/0/0 high-availability :配置防火墙的高可用性接口。
主要是用来实现防火墙的会话快速备份,如果不配置high-availability,会话快速备份的命令将不能使能,配置此命令之后,此接口会被有限选择作为防火墙会话备份的接口。
在防火墙上配置了hrp interface之后,防火墙选择备份通道的接口为:先选择配置的时候带了high—availability的接口,如果配置了多个带high-availability的接口,先选择槽位号和端口号比较小的接口,然后在选择槽位号和端口号比较小的不带high-availability的接口。
接口发生故障导致接口上的VRRP处于初始化状态或者是接口上的VRRP 所属的VGMP没有使能的时候,防火墙会重新选择备份通道.★ hrp mirror session enable :会话快速备份使能命令,此命令使能之后防火墙上对新建的会话或者是刷新的会话立即备份到对端防火墙上,在配置high-availability之后才能配置此命令。
★ hrp mirror packet enable :报文搬迁使能命令,此命令使能之后,如果ICMP的应答报文或者是TCP的ACK报文在其中一台防火墙上找不到会话,会把报文搬迁到另外一台防火墙上,如果在另外一台防火墙上找到会话,报文根据会话转发,如果找不到会话,直接丢弃.此功能现在保留,但是基本上不再使用,因为防火墙会话快速备份使能之后会话在建立或者是刷新的时候马上就能备份到对端防火墙上,并且报文搬迁占用比较多的带宽,所以这个命令推荐不使用。
★ hrp ospf-cost adjust—enable :这个命令是在防火墙和路由器组网的时候使用的,在防火墙上配置这个命令后,防火墙发布OSPF的路由的时候,会判断是主防火墙或者是备防火墙,如果是主防火墙,防火墙把学习到的路由直接发布出去,如果是备防火墙,防火墙把学习到的路由加上一个COST值再发布出去,这个COST值默认是65535,可以根据需要进行调整,这样和防火墙相连的路由器在计算路由的时候,路由就都能指到主防火墙上,路由器把报文转发到主防火墙上。
在使用防火墙和路由器进行组网起OSPF协议的时候,尽量保证OSPF的域小一些,这样在防火墙发生主备倒换的时候,OSPF的路由能尽快收敛,保证业务很快恢复.★ hrp auto—sync connection-status :防火墙连接状态备份命令。
防火墙会话备份不分防火墙是主防火墙或者是备防火墙,使能了次命令后,防火墙都能把自己建立的会话或者是刷新的会话备份到对端防火墙上。
此命令行在防火墙hrp enable执行之后就默认使能了.★ hrp auto-sync config:防火墙配置备份命令。
防火墙上使能此命令后,在主防火墙上配置的命令行如ACL,域等都可以自动备份到备防火墙上,保证命令行能实时同步。
此命令行在hrp enable之后就默认使能了,此时在备防火墙上是默认不能配置ACL等配置的,但是如果需要单独配置,执行undo hrp auto—sync config就可以在备防火墙上配置此命令行了,主防火墙上执行ACL等配置发送到备防火墙上不会备执行,如果在主防火墙上执行此命令,主防火墙上将不把配置发送到备防火墙上执行。
★ hrp auto—sync config batch—backup :防火墙配置批量备份使能命令。
使能此命令,在防火墙发生主备倒换之后,新的主防火墙备自动把配置备份到新的备防火墙上。
此命令默认是不使能的,现在也不推荐使用,因为批量备份将消耗大量的CPU资源,可能在执行批量备份的时候影响某些业务。
★ hrp sync config:防火墙配置批量备份命令。
执行此命令后主防火墙能把自己的配置发送到备防火墙上执行,此命令行在用户视图下使用,在使能了hrp之后才能使用.此命令默认是也不推荐使用,因为批量备份将消耗大量的CPU资源,可能在执行批量备份的时候影响某些业务。
★ hrp sync connection-status:手工同步连接状态信息命令,会进行会话,黑名单,地址转换表,以及ARP表等的备份等,同时对于Eudemon 1000来说还会刷新备份的通道。
★ display hrp:显示当前HRP的状态信息,主要包括HRP的备份通道,HRP的状态,hrp是否使能快速备份,为MASTER状态的VGMP信息。
★ display hrp verbose:显示当前HRP的详细状态信息。
1.2 1.2 VGMP配置说明VGMP(vrrp group management protocol)是VRRP的组管理协议,同样VGMP协议也是华为私有的协议.VGMP 通过把VRRP加入到一个组中进行管理,通过VGMP报文和对端进行协商,确定自己和对端的VGMP的状态,根据VGMP的状态的主备,把VGMP组下面的VRRP的状态改成和VGMP的状态一致。
VGMP状态也分Master和Slave,同样VGMP报文是在VRRP报文的基础上进行封装的,它通过VRRP报文通知对端自己的状态以及和对端进行协商.防火墙的VGMP功能现在支持两台防火墙之间的VGMP协商,通过协商,在两台防火墙上形成一主一备的状态,当其中主防火墙发生故障或者其他原因导致VGMP的优先级降低的时候,备防火墙的VGMP会抢占为主,原来的主防火墙的VGMP会变成备,同时VGMP组里面的VRRP也跟随这VGMP的状态的变化发生变化。
通过VGMP 来管理VRRP,使VGMP为主的防火墙对外发布VGMP组下面的所有的VRRP的虚地址,而VGMP为备的防火墙不对外发布VRRP虚地址,形成VRRP的冗余备份。
VGMP的配置命令的功能和使用介绍如下:★ vrrp group 〈1—16>:创建VGMP管理组。
执行此命令行之后,创建一个VGMP管理组,并进入此管理组视图,所有的VGMP的配置都在VGMP视图下进行配置。
★ add interface Ethernet 1/0/7 vrrp vrid 1 :把接口Ethernet1/0/7下配置的VRRP 1加入到此管理组进行管理.★ add interface Ethernet 1/0/7 vrrp vrid 1 data :把接口Ethernet1/0/7下配置的VRRP 1加入到此管理组进行管理,并且把接口Ethernet1/0/7作为发送VGMP数据报文的通道。
配置了发送VGMP的数据通道之后,VGMP才能使能.防火墙的配置同步是通过VGMP的数据通道进行发送的。
★ add interface Ethernet 1/0/7 vrrp vrid 1 data transfer-only :把接口Ethernet1/0/7下配置的VRRP 1加入到此管理组进行管理,并且把接口Ethernet1/0/7作为发送VGMP数据报文的通道,并且此接口下的VRRP的或者优先级发生变化的时候不参与到VGMP优先级的计算。
通常在防火墙上下行都是交换机组网的情况,心跳口上的VRRP可以以此种方式加入到VGMP组中.★ add interface Ethernet1/0/7 vrrp vrid 1 data ip-link 1:把接口Ethernet1/0/7下配置的VRRP 1加入到此管理组进行管理,并且把接口Ethernet1/0/7作为发送VGMP数据报文的通道,同时在VGMP上绑定ip—link功能。
