1. 静态路由配置
- 进入系统视图:`system - view`
- 配置主路由:`ip route - static [目的网络] [子网掩码] [主路由下一跳地址]`
- 配置备路由:`ip route - static [目的网络] [子网掩码] [备路由下一跳地址] preference 65`(数值可根据需求调整,数值越大优先级越低)。
2. 策略路由配置(可选,用于更灵活的流量引导)
- 定义路由策略:
- `route - policy [策略名] permit node 10`
- 在节点内根据条件(如源IP等)设置`apply ip - prefix - list [前缀列表名]`
3. 主动切换
- 可以通过调整路由优先级实现主动切换。比如当检测到主路由链路故障时,降低主路由的优先级或者提高备路由的优先级。
4. WEB配置
- 登录设备WEB管理界面,找到“路由”相关选项。
- 在静态路由设置部分添加主备路由条目,按照提示输入目的网络、子网掩码、下一跳等信息,并且可以设置优先级来实现主备关系。
配置前请提前备份设备配置。
现在是配置了两个等价路由,想按优先级分成主备,当主路由断的时候,自动切到备路由上去。 1.我看web界面有 健康检测,现知道怎么关联配置。
写两条等价路由,其中一条链路断掉另一条直接生效。
现在是配置了两个等价路由,想按优先级分成主备,当主路由断的时候,自动切到备路由上去。 1.我看web界面有 健康检测,现知道怎么关联配置。
在 H3C F100-C-G3 防火墙上配置主备路由,通常有两种实现方式:静态路由浮动(通过路由优先级实现) 和 VRRP(虚拟路由冗余协议,实现网关冗余)。
方式一:静态路由浮动(优先级/Prefrence方式)—— 适用于出口有多个下一跳
这是最常用的主备路由配置。通过配置两条去往同一目的地的静态路由,但设置不同的优先级(Preference),优先级高的(数值小)将成为主路由,优先级低的(数值大)成为备路由。
Web配置步骤
进入路由配置页面:登录Web界面,导航到 “网络” > “路由” > “静态路由”。
添加主路由:
点击“添加”或“新建”。
目的IP地址/掩码:通常为
0.0.0.0/0(默认路由)。下一跳地址:填写主用链路的下一跳IP(如
100.1.1.1)。出接口:选择主用接口(如WAN1)。
优先级(Preference):设置为较小的值(如
10),数值越小优先级越高。点击“确定”。
添加备路由:
再次点击“添加”。
目的IP地址/掩码:同样为
0.0.0.0/0。下一跳地址:填写备用链路的下一跳IP(如
100.2.2.1)。出接口:选择备用接口(如WAN2)。
优先级(Preference):设置为较大的值(如
20),作为备份。点击“确定”。
配置完成后,设备会优选优先级 10 的路由作为主路由,只有当主路由不可达时(如接口down或通过NQA探测到故障),才会切换为优先级 20 的备用路由。
如何主动切换(静态路由浮动)
要手动强制切换到备用路由,有两种方法:
临时关闭主接口:在Web界面中,进入“网络”>“接口”,将主路由的物理接口禁用。切换完成后,再重新启用。
临时调整优先级:进入静态路由配置页面,将主路由的优先级修改为比备路由更大(如改为
30),保存后立即生效。切换回来后记得改回原值。
注意:静态路由本身不感知链路质量,如果需要链路探测功能,可以配合 NQA 联动,让主路由在探测失败时自动切换。
方式二:VRRP(虚拟路由冗余协议)—— 适用于内网网关冗余
如果你是想在内网侧(LAN口)配置网关冗余,让两台防火墙形成主备,为内网PC提供网关备份,则需要配置VRRP 。
Web配置步骤
将接口加入安全域:进入“网络”>“接口”,将参与VRRP的接口(如内网接口)加入到 “Trust” 或其他安全域。
配置VRRP虚拟IP:
进入该接口的编辑页面。
找到 “VRRP” 或 “虚拟路由冗余协议” 选项卡。
点击“添加”,创建一个VRRP组。
虚拟路由器ID:同一链路的两端设备需一致(如
1)。虚拟IP地址:设置为内网PC的网关IP(如
192.168.1.254)。优先级:Master设备设为 120,Backup设备设为 100(默认值)。
抢占模式:建议开启,这样当Master恢复后能自动抢回主角色。
点击“确定”。
配置安全策略:这是防火墙VRRP区别于普通交换机/路由器的关键 -1。必须放行VRRP协议报文。
进入“安全策略”>“策略配置”。
添加一条规则:
源安全域:
Local(设备自身发出的报文)目的安全域:
Trust(内网接口所在域)服务:选择 “VRRP”(或协议号为
112)动作:
允许
保存并激活策略。
如何主动切换(VRRP)
手动触发VRRP主备切换的方法:
修改优先级(推荐):在Master设备的Web界面上,进入VRRP配置页面,将当前Master的优先级临时调低(如从
120改为90),保存后立即生效,设备会主动让位给Backup设备。抢占模式控制:如果开启了抢占模式,当Master设备从故障中恢复时,会自动重新成为Master。
现在就这么写的,另一条没有生效
主备就是只有一条生效, 主备其实就是浮动路由,这个down了另一个就up了,只有一个生效,不设置优先级配置两条的话,就是负载分担的路由
主备就是只有一条生效, 主备其实就是浮动路由,这个down了另一个就up了,只有一个生效,不设置优先级配置两条的话,就是负载分担的路由
配置路由的优先级加上NQA来实现。
你说的另一条没生效是主路由断开了 没有切换到备用路由吗
如果是的话 那就配置NQA探测解决
https://www.h3c.com/cn/pub/Document_Center/2023/08/WebHelp_H3C_SecPath_FHQCP_DXPZALJ(V7)/default_auto.htm?CHID=904214 这是web案例
现在是配置了两个等价路由,想按优先级分成主备,当主路由断的时候,自动切到备路由上去。 1.我看web界面有 健康检测,现知道怎么关联配置。
https://www.h3c.com/cn/pub/Document_Center/2023/08/WebHelp_H3C_SecPath_FHQCP_DXPZALJ(V7)/default_auto.htm?CHID=904214 这是命令行案例
https://www.h3c.com/cn/pub/Document_Center/2023/08/WebHelp_H3C_SecPath_FHQCP_DXPZALJ(V7)/default_auto.htm?CHID=904214 这是web案例
浮动路由(主备)配置方法:
ip route-static 0.0.0.0 0 下一跳A
ip route-static 0.0.0.0 0 下一跳B preference 100
静态路由默认优先级为60,数值越小越优先,所以A为主B为备
当Adown时,会自动切换到B,Bdown不会影响到A
现网有这种场景:
运营商进网宽带-光猫-出口网关(路由器、防火墙),这种情况下,因为出口网关的下一跳实际是光猫,所以如果宽带出问题,出口网关-光猫的接口还是up的,不会触发自动切换,这就得联动nqa,原理是相当于出口网关一直ping nqa的测试地址(可以是公网地址,也可以是运营商dns、网关等),当此条路由-nqa测试地址不通的时候,就会将此路由作废。华三设备我没配置过nqa,楼主可以找下案例,这个配置挺简单的
是的,我主要是不会通过web配置nqa与路由联动
是的,我主要是不会通过web配置nqa与路由联动
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
也可以不配置,但是切换会丢几个包