要让防火墙的OSPF路由随VRRP Master的变化而同步调整,关键在于VRRP与OSPF的联动(Track)机制。通过配置联动,可以确保网络中的上行流量始终优先经过当前的VRRP Master设备,实现“路径跟随网关”的效果。
你的组网规划是合理的经典设计,实现需求的配置思路主要包含以下四个方面:
🧠 联动机制与配置逻辑
VRRP协议自身只能解决网关冗余问题,但它无法直接改变上行的OSPF路由。联动机制的核心逻辑是:
SW2 (vlan10 Master) & SW3 (vlan20 Master):作为各自业务网段的Master,它们会以较低的开销值(Cost)通过OSPF向防火墙宣告自己所在网段的路由。
SW2 & SW3的“备”角色:同时,作为对方业务网段的Backup,它们会向防火墙通告一个更高的OSPF开销值(例如65500),使这些路由在路由表中处于“备选”或“隐藏”状态。
结果:防火墙的路由表会优选Cost值低的路径。正常情况下,访问vlan10的流量会优选SW2,访问vlan20的流量会优选SW3。
⚙️ 配置步骤详解
在开始之前,请确保SW2和SW3已配置基本的IP地址、VLAN划分及Trunk,并确保它们之间心跳线链路(用于同步VRRP状态)的物理连通性正常。以下是关键的配置部分:
1️⃣ 在SW2和SW3上配置VRRP
在各自的业务VLAN接口上,为对方VLAN配置VRRP组,并设置好角色优先级。
在SW2上:
为
Vlan-interface10(其Master的VLAN)配置VRRP组1,设置高优先级确保其为Master。为
Vlan-interface20(其Backup的VLAN)配置VRRP组2,设置低优先级。
在SW3上:
为
Vlan-interface20(其Master的VLAN)配置VRRP组2,设置高优先级。为
Vlan-interface10(其Backup的VLAN)配置VRRP组1,设置低优先级。
2️⃣ 在SW2和SW3上配置OSPF路由
配置OSPF进程,并将两个业务网段的VLAN接口宣告进OSPF。然后,在作为Backup的VLAN接口上,通过ospf cost命令手动设置一个很高的开销值(Cost),如65500。
在SW2上: 在
Vlan-interface20(SW2作为Backup的VLAN)下,配置ospf cost 65500。在SW3上: 在
Vlan-interface10(SW3作为Backup的VLAN)下,配置ospf cost 65500。
3️⃣ 配置VRRP与OSPF联动
这是实现流量路径跟随VRRP Master切换的核心。通过vrrp vrid命令下的track子句,联动OSPF进程。
在SW2上:
# 当本设备在VRRP组1中降级为Backup时,自动将VLAN 10的OSPF开销值提高 vrrp vrid 1 track ospf cost 65500interface Vlan-interface10在SW3上:
# 当本设备在VRRP组2中降级为Backup时,自动将VLAN 20的OSPF开销值提高 vrrp vrid 2 track ospf cost 65500interface Vlan-interface20
这条命令的含义是:当此VRRP组的状态从Master变为Backup时,自动将本接口的OSPF开销值修改为65500,从而让上行流量转向另一台设备。
4️⃣ 在防火墙上配置OSPF
最后,在防火墙上配置OSPF,使其与SW2和SW3建立邻居关系,学习到两条Cost值不同的路由,从而自动完成路径优选。
完成上述配置后,你可以在防火墙上通过 display ospf routing 命令查看路由表,验证从不同VLAN到防火墙的路由Cost值。正常情况下,访问vlan10的路由下一跳应为SW2,Cost较低;访问vlan20的路由下一跳应为SW3,Cost也较低。
暂无评论
🎯 OSPF+VRRP 联动路由自动调整完整方案
针对你这个双核心 + 单防火墙 + VRRP 主备 + OSPF的组网,核心需求是:当 VRRP 主设备切换时,防火墙的 OSPF 路由能自动跟着切换,保证业务不中断。下面给你一套可直接落地、分设备完整配置 + 原理说明。
一、先理清核心原理(为什么要联动)
1. 现有组网的问题
SW2 是 vlan10 的 Master,SW3 是 vlan20 的 Master,两台核心通过 OSPF 把 vlan10、vlan20 的路由发布给防火墙 F1060。
正常情况下:防火墙到 vlan10 走 SW2,到 vlan20 走 SW3。
当 SW2 故障,vlan10 的 Master 切换到 SW3 后:
如果不做联动,防火墙的 OSPF 路由不会自动切换,因为 SW2 的上联链路没断,OSPF 邻居还在,路由还是走 SW2,导致 vlan10 业务断流。
核心解决思路:用 VRRP 状态联动 OSPF 的链路开销(Cost),主设备 Cost 低、备设备 Cost 高;主切备时,Cost 自动反转,OSPF 路由自动切换。
二、整体方案设计(最优实践)
1. 技术选型
VRRP+OSPF 联动(Track+Adjust Cost):H3C 交换机原生支持,无需额外协议,稳定可靠。
核心逻辑:
SW2、SW3 分别配置 VRRP,SW2 为 vlan10 Master、vlan20 Backup;SW3 为 vlan20 Master、vlan10 Backup。
两台核心的上联防火墙的接口(GE_0/1),配置OSPF Cost 随 VRRP 状态动态调整:
当本设备是对应 VLAN 的 Master 时,上联接口 Cost 设为10(低开销,优先走这条)
当本设备是对应 VLAN 的 Backup 时,上联接口 Cost 设为100(高开销,不优先)
防火墙 F1060 和 SW2、SW3 建立 OSPF 邻居,学习到 vlan10、vlan20 的路由,自动选择 Cost 最低的路径。
当 VRRP 主备切换时,上联接口 Cost 自动变化,OSPF 路由自动收敛,防火墙自动切换下一跳。
2. 关键设计点
OSPF 区域规划:防火墙 ↔ SW2/SW3 ↔ SW4 统一划入Area 0(骨干区域),保证路由可达。
接口 Cost 基准值:
Master 状态:上联接口 OSPF Cost = 10
Backup 状态:上联接口 OSPF Cost = 100
Track 对象绑定:用 VRRP 状态作为 Track 触发条件,联动调整接口 Cost。
三、分设备完整配置(可直接复制)
🔹 1. 核心交换机 SW2(S6850_2)配置
(1)基础配置:VLAN、VRRP
plaintext
# 1. 创建VLAN,配置接口IP
vlan 10
name 业务A
vlan 20
name 业务B
# 配置下行连接SW4的接口(GE_0/2)
interface Vlan-interface10
ip address 192.168.10.2 255.255.255.0
# 配置VRRP:SW2为vlan10 Master
vrrp vrid 10 virtual-ip 192.168.10.1
vrrp vrid 10 priority 120
vrrp vrid 10 preempt-mode timer delay 30
quit
interface Vlan-interface20
ip address 192.168.20.2 255.255.255.0
# 配置VRRP:SW2为vlan20 Backup
vrrp vrid 20 virtual-ip 192.168.20.1
vrrp vrid 20 priority 100
quit
# 2. 配置上联防火墙的接口(GE_0/1)
interface GigabitEthernet 0/1
port link-mode route
ip address 10.0.0.2 255.255.255.252
ospf cost 100 # 初始默认高开销(Backup状态)
quit
# 3. 配置核心互联接口(GE_0/3,和SW3互联)
interface GigabitEthernet 0/3
port link-mode route
ip address 10.0.0.6 255.255.255.252
quit
(2)Track+VRRP 联动,动态调整 OSPF Cost
plaintext
# 1. 创建Track对象,监控VRRP状态
track 1 vrrp vrid 10 interface Vlan-interface10
# Track 1:监控vlan10的VRRP状态,Master为Positive,Backup为Negative
track 2 vrrp vrid 20 interface Vlan-interface20
# Track 2:监控vlan20的VRRP状态
# 2. 配置接口Cost联动:当vlan10为Master时,上联接口Cost改为10
interface GigabitEthernet 0/1
ospf cost track 1 value 10 # Track 1为Positive(Master)时,Cost=10
ospf cost track 1 value 100 # Track 1为Negative(Backup)时,Cost=100
quit
# 3. 配置OSPF,发布路由
ospf 1 router-id 2.2.2.2
area 0
network 10.0.0.0 0.0.0.3
network 10.0.0.4 0.0.0.3
network 192.168.10.0 0.0.0.255
network 192.168.20.0 0.0.0.255
quit
🔹 2. 核心交换机 SW3(S6850_3)配置
(1)基础配置:VLAN、VRRP
plaintext
# 1. 创建VLAN,配置接口IP
vlan 10
name 业务A
vlan 20
name 业务B
# 配置下行连接SW4的接口(GE_0/2)
interface Vlan-interface10
ip address 192.168.10.3 255.255.255.0
# 配置VRRP:SW3为vlan10 Backup
vrrp vrid 10 virtual-ip 192.168.10.1
vrrp vrid 10 priority 100
quit
interface Vlan-interface20
ip address 192.168.20.3 255.255.255.0
# 配置VRRP:SW3为vlan20 Master
vrrp vrid 20 virtual-ip 192.168.20.1
vrrp vrid 20 priority 120
vrrp vrid 20 preempt-mode timer delay 30
quit
# 2. 配置上联防火墙的接口(GE_0/1)
interface GigabitEthernet 0/1
port link-mode route
ip address 10.0.0.3 255.255.255.252
ospf cost 100 # 初始默认高开销(Backup状态)
quit
# 3. 配置核心互联接口(GE_0/3,和SW2互联)
interface GigabitEthernet 0/3
port link-mode route
ip address 10.0.0.5 255.255.255.252
quit
(2)Track+VRRP 联动,动态调整 OSPF Cost
plaintext
# 1. 创建Track对象,监控VRRP状态
track 1 vrrp vrid 20 interface Vlan-interface20
# Track 1:监控vlan20的VRRP状态,Master为Positive,Backup为Negative
track 2 vrrp vrid 10 interface Vlan-interface10
# Track 2:监控vlan10的VRRP状态
# 2. 配置接口Cost联动:当vlan20为Master时,上联接口Cost改为10
interface GigabitEthernet 0/1
ospf cost track 1 value 10 # Track 1为Positive(Master)时,Cost=10
ospf cost track 1 value 100 # Track 1为Negative(Backup)时,Cost=100
quit
# 3. 配置OSPF,发布路由
ospf 1 router-id 3.3.3.3
area 0
network 10.0.0.0 0.0.0.3
network 10.0.0.4 0.0.0.3
network 192.168.10.0 0.0.0.255
network 192.168.20.0 0.0.0.255
quit
🔹 3. 防火墙 F1060_1 配置
plaintext
# 1. 配置下联接口(GE_0/0、GE_0/1)
interface GigabitEthernet 0/0
port link-mode route
ip address 10.0.0.1 255.255.255.252
quit
interface GigabitEthernet 0/1
port link-mode route
ip address 10.0.0.4 255.255.255.252
quit
# 2. 配置OSPF,和SW2、SW3建立邻居
ospf 1 router-id 1.1.1.1
area 0
network 10.0.0.0 0.0.0.3
network 10.0.0.4 0.0.0.3
quit
# 3. 放通OSPF协议(安全域策略,根据实际安全域调整)
security-zone name Trust
import interface GigabitEthernet 0/0
import interface GigabitEthernet 0/1
quit
zone-pair security source Trust destination local
packet-filter 3000 # 放通OSPF(协议号89)
quit
🔹 4. 接入交换机 SW4(S5820V2-54QS-GE_4)配置(可选,保证二层连通)
plaintext
# 1. 创建VLAN
vlan 10
vlan 20
# 2. 配置上行接口(GE_0/1、GE_0/2),Trunk透传VLAN
interface GigabitEthernet 0/1
port link-type trunk
port trunk permit vlan 10 20
quit
interface GigabitEthernet 0/2
port link-type trunk
port trunk permit vlan 10 20
quit
# 3. 配置下行业务接口(示例)
interface GigabitEthernet 0/10
port access vlan 10
quit
interface GigabitEthernet 0/11
port access vlan 20
quit
四、方案验证与状态检查
1. 正常状态(SW2 是 vlan10 Master,SW3 是 vlan20 Master)
SW2 上联接口 Cost=10,SW3 上联接口 Cost=100
防火墙 OSPF 路由表:
192.168.10.0/24 下一跳 10.0.0.2(SW2),Cost=10
192.168.20.0/24 下一跳 10.0.0.3(SW3),Cost=10
业务正常,vlan10 走 SW2,vlan20 走 SW3。
2. 故障切换状态(SW2 故障,vlan10 Master 切到 SW3)
SW2 的 vlan10 VRRP 变为 Backup,上联接口 Cost 自动变为 100
SW3 的 vlan10 VRRP 变为 Master,上联接口 Cost 自动变为 10
防火墙 OSPF 路由自动收敛:
192.168.10.0/24 下一跳自动切换为 10.0.0.3(SW3),Cost=10
业务无感知,自动恢复。
3. 关键检查命令
plaintext
# 查看VRRP状态(SW2/SW3)
display vrrp brief
# 查看Track状态
display track
# 查看接口OSPF Cost(联动后)
display ospf interface GigabitEthernet 0/1
# 查看防火墙OSPF路由表
display ip routing-table ospf
五、进阶优化(可选,提升稳定性)
1. 双向联动(双主负载分担)
如果需要 vlan10 走 SW2、vlan20 走 SW3,同时 SW2/SW3 互为备份,可配置双向 Track:
plaintext
# SW2上联接口配置双向联动
interface GigabitEthernet 0/1
ospf cost track 1 value 10 # vlan10 Master → Cost=10
ospf cost track 1 value 100 # vlan10 Backup → Cost=100
ospf cost track 2 value 100 # vlan20 Master(SW3)→ SW2 Cost=100
quit
# SW3上联接口配置双向联动
interface GigabitEthernet 0/1
ospf cost track 1 value 10 # vlan20 Master → Cost=10
ospf cost track 1 value 100 # vlan20 Backup → Cost=100
ospf cost track 2 value 100 # vlan10 Master(SW2)→ SW3 Cost=100
quit
2. 增加 BFD 检测,加速故障切换
plaintext
# SW2上联接口配置BFD,和防火墙联动
interface GigabitEthernet 0/1
bfd min-transmit-interval 100
bfd min-receive-interval 100
bfd detect-multiplier 3
ospf bfd enable
quit
# 防火墙对应接口配置BFD
interface GigabitEthernet 0/0
bfd min-transmit-interval 100
bfd min-receive-interval 100
bfd detect-multiplier 3
ospf bfd enable
quit
BFD 可以在 100ms 内检测到链路故障,加速 VRRP 和 OSPF 的切换,业务中断时间 < 1 秒。
3. 调整 VRRP 抢占延迟
plaintext
# SW2/SW3 VRRP配置中增加抢占延迟,避免震荡
vrrp vrid 10 preempt-mode timer delay 30
# 延迟30秒抢占,防止接口震荡导致频繁切换
六、常见问题排查
1. 切换后路由不更新
检查 Track 状态:display track,确认 VRRP 状态变化后 Track 状态是否同步变化。
检查接口 Cost:display ospf interface,确认 Cost 是否自动调整。
检查 OSPF 邻居:display ospf peer,确认防火墙和 SW2/SW3 邻居正常。
2. 初始状态路由错误
检查 VRRP 优先级:确认 SW2 vlan10 优先级 120,SW3 vlan20 优先级 120,Backup 为 100。
检查 Track 绑定:确认上联接口绑定的是对应 VLAN 的 VRRP。
3. 防火墙学习不到路由
检查安全域策略:确认放通 OSPF 协议(协议号 89)。
检查 OSPF 区域:确认所有设备都在 Area 0,无区域分割。
七、方案总结
表格
设备 核心配置 作用
SW2 VRRP vlan10 Master + Track 联动调整上联 Cost vlan10 主用,故障时自动切备
SW3 VRRP vlan20 Master + Track 联动调整上联 Cost vlan20 主用,故障时自动切备
防火墙 OSPF 邻居 + 路由学习 自动根据 Cost 选择最优路径
SW4 二层 Trunk 透传 VLAN 保证业务 VLAN 二层连通
这个方案是 H3C 官方推荐的VRRP+OSPF 联动标准方案,完全适配你的组网,无需额外硬件,配置简单、稳定可靠,能完美实现主备切换时路由自动同步调整。
暂无评论
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论