VRRPTrack与NQA联动配置举例.docxVIP

VRRP、Track与NQA联动配置举例 组网需求 Host A需要访问Internet上的Host B，Host A的缺省网关为10.1.1.10/24； SecPath A和SecPath B属于虚拟IP地址为10.1.1.10的备份组1； 当SecPath A正常工作时，Host A发送给Host B的报文通过SecPath A转发；当通过NQA监测到SecPath A上行链路不通时，Host A发送给Host B的报文通过SecPath B转发。 组网图 VRRP、Track与NQA联动配置组网图 配置步骤 按照 HYPERLINK E:\\H3C整理版\\Secpath1000-s-ei操作手册\\trshome\\outfiles\\03-H3C_SecPath系列安全产品_用户手册(V1.02)\\02-操作手册\\05-系统分册\\14-Track配置.htm \l _Ref163555716 图1-2配置各接口的IP地址，具体配置过程略。 在SecPath A上配置NQA测试组 SecPathA system-view # 创建管理员名为admin、操作标签为test的NQA测试组。 [SecPathA] nqa entry admin test # 配置测试类型为ICMP-echo。 [SecPathA-nqa-admin-test] type icmp-echo # 配置目的地址为10.1.2.2。 [SecPathA-nqa-admin-test-icmp-echo] destination ip 10.1.2.2 # 测试频率为100ms。 [SecPathA-nqa-admin-test-icmp-echo] frequency 100 # 配置联动项1（连续失败5次触发联动）。 [SecPathA-nqa-admin-test-icmp-echo] reaction 1 checked-element probe-fail threshold-type consecutive 5 action-type trigger-only [SecPathA-nqa-admin-test-icmp-echo] quit # 启动探测。 [SecPathA] nqa schedule admin test start-time now lifetime forever 在SecPath A上配置Track项 # 配置Track项1，关联NQA测试组（管理员为admin，操作标签为test）的联动项1。 [SecPathA] track 1 nqa entry admin test reaction 1 在SecPath A上配置VRRP # 创建备份组1，并配置备份组1的虚拟IP地址为10.1.1.10。 [SecPathA] interface gigabitethernet 0/0 [SecPathA-GigabitEthernet0/0] vrrp vrid 1 virtual-ip 10.1.1.10 # 设置SecPath A在备份组1中的优先级为110。 [SecPathA-GigabitEthernet0/0] vrrp vrid 1 priority 110 # 设置备份组的认证方式为SIMPLE，认证字为hello。 [SecPathA-GigabitEthernet0/0] vrrp vrid 1 authentication-mode simple hello # 设置Master防火墙发送VRRP报文的间隔时间为5秒。 [SecPathA-GigabitEthernet0/0] vrrp vrid 1 timer advertise 5 # 设置SecPath A工作在抢占方式，抢占延迟时间为5秒。 [SecPathA-GigabitEthernet0/0] vrrp vrid 1 preempt-mode timer delay 5 # 设置监视Track项。 [SecPathA-GigabitEthernet0/0] vrrp vrid 1 track 1 reduced 30 在SecPath B上配置VRRP SecPathB system-view [SecPathB] interface gigabitethernet 0/0 # 创建备份组1，并配置备份组1的虚拟IP地址为10.1.1.10。 [SecPathB-GigabitEthernet0/0] vrrp vrid 1 virtual-ip 10.1.1.10 # 设置备份组的认证方式为SIMPLE，认证字为hello。 [SecPathB-GigabitEthernet0/0] vrrp vrid 1 au