• 全部
  • 經驗案例
  • 典型配置
  • 技術公告
  • FAQ
  • 漏洞說明
  • 全部
  • 全部
  • 大數據引擎
  • 知了引擎
產品線
搜索
取消
案例類型
發布者
是否解決
是否官方
時間
搜索引擎
匹配模式
高級搜索

華三防火牆IRF冗餘組對接單台路由器,路由器不支持二層,隻能三層對接,三角形組網,如何對接

2025-05-22提問
  • 0關注
  • 0收藏,1384瀏覽
不器
不器 零段
粉絲:0人 關注:0人

問題描述:

華三防火牆IRF冗餘組對接單台路由器,路由器不支持二層,隻能三層對接,如何對接

1、兩個接口起/30地址,做靜態浮動路由,redundancy group裏track接口這樣,是否可行

或者有更好的方式推薦,感謝!

最佳答案

zhiliao_wtEeX
zhiliao_wtEeX 五段
粉絲:6人 關注:46人

做三層聚合跟路由器對接

回複不器:

聚合不會有問題的

zhiliao_wtEeX 發表時間:2025-05-22 更多>>

怕防火牆聚合以後有問題,現網都是reth;這個做法文檔有案例是做浮動路由的

不器 發表時間:2025-05-22
回複不器:

聚合不會有問題的

zhiliao_wtEeX 發表時間:2025-05-22
2 個回答
按時間 按讚數
Xcheng
Xcheng 九段
粉絲:136人 關注:3人

搖人 溝通方案可行性吧


另外不是所有防火牆都支持irf,而且也不推薦開局了。

老設備了,現網做的irf,新設備肯定都是RBM開局了

不器 發表時間:2025-05-22 更多>>

老設備了,現網做的irf,新設備肯定都是RBM開局了

不器 發表時間:2025-05-22
zhiliao_sEUyB
zhiliao_sEUyB 九段
粉絲:98人 關注:11人

可以啊,防火牆支持三層冗餘組,參考案例:


2.13.2  工作在三層,上下行分別連接一台設備

1. 組網需求

·     如圖2-7所示,Device A和Device B組成IRF,Device A和Device B分別用一個接口組建成冗餘接口,連接上行設備Device C;再分別用一個接口組建成冗餘接口,連接下行設備Device D。

·     Device C使用VLAN接口連接Device A和Device B,Device D也使用VLAN接口連接Device A和Device B。

·     正常情況下,流量走Device D——Device A——Device C;當這條通道上的任一鏈路或者設備故障時,流量切換到Device D——Device B——Device C。正常通道故障恢複時,流量再切回。

2. 組網圖

圖2-7 配置組網圖

 

3. 配置步驟

(1)     配置IRF

IRF的配置請參見“工作在三層,上下行分別連接兩台路由器,兩台路由器接口不在同一網段

”。

(2)     配置以太網冗餘接口

# 創建Reth1,IP地址為1.1.1.2/24,成員接口為GigabitEthernet1/0/1和GigabitEthernet2/0/1,其中GigabitEthernet1/0/1的優先級為255,GigabitEthernet2/0/1的優先級為50。

<DeviceA> system-view

[DeviceA] interface reth 1

[DeviceA-Reth1] ip address 1.1.1.2 24

[DeviceA-Reth1] member interface gigabitethernet 1/0/1 priority 255

[DeviceA-Reth1] member interface gigabitethernet 2/0/1 priority 50

[DeviceA-Reth1] quit

# 創建Reth2,IP地址為2.2.2.2/24,成員接口為GigabitEthernet1/0/2和GigabitEthernet2/0/2,其中GigabitEthernet1/0/2的優先級為255,GigabitEthernet2/0/2的優先級為50。

[DeviceA] interface reth 2

[DeviceA-Reth2] ip address 2.2.2.2 24

[DeviceA-Reth2] member interface gigabitethernet 1/0/2 priority 255

[DeviceA-Reth2] member interface gigabitethernet 2/0/2 priority 50

[DeviceA-Reth2] quit

(3)     配置Track,監測上、下行接口的狀態。

[DeviceA] track 1 interface gigabitethernet 1/0/1 physical

[DeviceA-track-1] quit

[DeviceA] track 2 interface gigabitethernet 1/0/2 physical

[DeviceA-track-2] quit

[DeviceA] track 3 interface gigabitethernet 2/0/1 physical

[DeviceA-track-3] quit

[DeviceA] track 4 interface gigabitethernet 2/0/2 physical

[DeviceA-track-4] quit

(4)     配置冗餘組

# 創建Node 1,Node 1和Device A綁定,為主節點。關聯的Track項為1和2。

[DeviceA] redundancy group aaa

[DeviceA-redundancy-group-aaa] node 1

[DeviceA-redundancy-group-aaa-node1] bind slot 1

[DeviceA-redundancy-group-aaa-node1] priority 100

[DeviceA-redundancy-group-aaa-node1] track 1 interface gigabitethernet 1/0/1

[DeviceA-redundancy-group-aaa-node1] track 2 interface gigabitethernet 1/0/2

[DeviceA-redundancy-group-aaa-node1] quit

# 創建Node 2,Node 2和Device B綁定,為備節點。關聯的Track項為3和4。

[DeviceA-redundancy-group-aaa] node 2

[DeviceA-redundancy-group-aaa-node2] bind slot 2

[DeviceA-redundancy-group-aaa-node2] priority 50

[DeviceA-redundancy-group-aaa-node2] track 3 interface gigabitethernet 2/0/1

[DeviceA-redundancy-group-aaa-node2] track 4 interface gigabitethernet 2/0/2

[DeviceA-redundancy-group-aaa-node2] quit

# 將Reth1和Reth2添加到冗餘組中。

[DeviceA-redundancy-group-aaa] member interface reth 1

[DeviceA-redundancy-group-aaa] member interface reth 2

[DeviceA-redundancy-group-aaa] quit

(5)     配置靜態路由

本舉例僅以靜態路由方式配置路由信息。實際組網中,請根據具體情況選擇相應的路由配置方式。

# 請根據組網圖中規劃的信息,配置靜態路由。本舉例假設LAN的網段為3.3.3.0/24,實際使用中請以具體組網情況為準,具體配置步驟如下。

[DeviceA] ip route-static 0.0.0.0 0 1.1.1.1

[DeviceA] ip route-static 3.3.3.0 24 2.2.2.1

(6)     配置接口加入安全域

# 請根據組網圖中規劃的信息,將接口加入對應的安全域,具體配置步驟如下。

[DeviceA] security-zone name untrust

[DeviceA-security-zone-Untrust] import interface reth 1

[DeviceA-security-zone-Untrust] quit

[DeviceA] security-zone name trust

[DeviceA-security-zone-Trust] import interface reth 2

[DeviceA-security-zone-Trust] quit

(7)     配置安全策略

# 配置名稱為trust-untrust的安全策略規則,使LAN中的主機可以訪問外網,具體配置步驟如下。

[DeviceA] security-policy ip

[DeviceA-security-policy-ip] rule 1 name trust-untrust

[DeviceA-security-policy-ip-1-trust-untrust] source-zone trust

[DeviceA-security-policy-ip-1-trust-untrust] destination-zone untrust

[DeviceA-security-policy-ip-1-trust-untrust] source-ip-subnet 3.3.3.0 24

[DeviceA-security-policy-ip-1-trust-untrust] action pass

[DeviceA-security-policy-ip-1-trust-untrust] quit

[DeviceA-security-policy-ip] quit

4. 驗證配置

回複不器:

路由器接口配置三層地址啊

zhiliao_sEUyB 發表時間:2025-05-22 更多>>

不使用RETH,直接三層口做浮動路由的

不器 發表時間:2025-05-22
回複不器:

路由器接口配置三層地址啊

zhiliao_sEUyB 發表時間:2025-05-22

編輯答案

你正在編輯答案

如果你要對問題或其他回答進行點評或詢問,請使用評論功能。

分享擴散:

提出建議

    +
網站相關
關於我們
服務條款
隱私政策
幫助中心
經驗與權限
積分規則
聯係我們
聯係我們
建議反饋
常用鏈接
標杆的神器下載
關注我們
H3C官網
BOB登陆 服務公眾號
安仔遠程運維服務
BOB登陆 商城
內容許可
除特別說明外,用戶內容均可采用知識共享署名-相同方式共享3.0中國大陸許可協議進行許可

Copyright©2026BOB登陆 集團保留一切權利 當前呈現版本 NO.1

本圖標版權歸BOB登陆 集團所有,僅限本社區使用,切勿用做商業目的,違者必究

浙ICP備09064986號-1   浙公網安備 33010802004416號

親~登錄後才可以操作哦!

確定

親~檢測到您登陸的賬號未在http://hclhub.h3c.com進行注冊

注冊後可訪問此模塊

跳轉hclhub

你的郵箱還未認證,請認證郵箱或綁定手機後進行當前操作

舉報

×

侵犯我的權益 >
對根叔社區有害的內容 >
辱罵、歧視、挑釁等(不友善)

侵犯我的權益

×

泄露了我的隱私 >
侵犯了我企業的權益 >
抄襲了我的內容 >
誹謗我 >
辱罵、歧視、挑釁等(不友善)
騷擾我

泄露了我的隱私

×

您好,當您發現根叔知了上有泄漏您隱私的內容時,您可以向根叔知了進行舉報。 請您把以下內容通過郵件發送到pub.zhiliao@h3c.com 郵箱,我們會盡快處理。
  • 1. 您認為哪些內容泄露了您的隱私?(請在郵件中列出您舉報的內容、鏈接地址,並給出簡短的說明)
  • 2. 您是誰?(身份證明材料,可以是身份證或護照等證件)

侵犯了我企業的權益

×

您好,當您發現根叔知了上有關於您企業的造謠與誹謗、商業侵權等內容時,您可以向根叔知了進行舉報。 請您把以下內容通過郵件發送到 pub.zhiliao@h3c.com 郵箱,我們會在審核後盡快給您答複。
  • 1. 您舉報的內容是什麼?(請在郵件中列出您舉報的內容和鏈接地址)
  • 2. 您是誰?(身份證明材料,可以是身份證或護照等證件)
  • 3. 是哪家企業?(營業執照,單位登記證明等證件)
  • 4. 您與該企業的關係是?(您是企業法人或被授權人,需提供企業委托授權書)
我們認為知名企業應該坦然接受公眾討論,對於答案中不準確的部分,我們歡迎您以正式或非正式身份在根叔知了上進行澄清。

抄襲了我的內容

×

原文鏈接或出處

誹謗我

×

您好,當您發現根叔知了上有誹謗您的內容時,您可以向根叔知了進行舉報。 請您把以下內容通過郵件發送到pub.zhiliao@h3c.com 郵箱,我們會盡快處理。
  • 1. 您舉報的內容以及侵犯了您什麼權益?(請在郵件中列出您舉報的內容、鏈接地址,並給出簡短的說明)
  • 2. 您是誰?(身份證明材料,可以是身份證或護照等證件)
我們認為知名企業應該坦然接受公眾討論,對於答案中不準確的部分,我們歡迎您以正式或非正式身份在根叔知了上進行澄清。

對根叔社區有害的內容

×

垃圾廣告信息
色情、暴力、血腥等違反法律法規的內容
政治敏感
不規範轉載 >
辱罵、歧視、挑釁等(不友善)
騷擾我
誘導投票

不規範轉載

×

舉報說明