vgmp与vrrp的配合只适用于防火墙连接二层设备的组网，如果上下行设备是路由器，就不能使用vrrp备份组，这时vgmp组直接监控接口状态来进行故障监控。具体是直接将接口加入vgmp组，当vgmp组中的接口故障时，vgmp组会直接感知到接口状态变化，从而降低自身优先级。

实验二：防火墙直路部署，上下行连接路由器

需求和拓扑

两台FW的业务接口都工作在三层，上下行分别连接路由器。FW与上下行路由器之间运行OSPF协议。现在希望两台FW以主备备份方式工作。正常情况下，流量通过FW_A转发。当FW_A出现故障时，流量通过FW_B转发，保证业务不中断。

操作步骤

1、配置接口ip和安全区域

2、配置ospf路由

r1/r2/r3/r4/f1/f2开启ospf进程1，将相连网段加入区域0

3、配置双机热备功能

3.1 配置vgmp组监控上下行业务接口

3.2 配置根据vgmp状态调整ospf cost值功能，配置这个命令后，fw发布ospf路由时，会判断自身是主用设备还是备用设备，如果是主用设备，fw会把学习到的路由直接发布出去，如果是备用设备，fw会增加cost值后再将路由发布出去，这样上下行路由器在计算路由时，就能将下一跳指向主用设备，并把报文转发到主用设备上。

3.3 指定心跳口并启用双机热备功能

4、配置安全策略

4.1 允许fw与上下行路由器交互ospf报文

4.2 允许内网用户访问外网

验证和分析

1、检查fw1和fw2的ospf邻居建立关系

2、检查上下行路由器路由开销

可见经过r3访问r5开销小于r4，r4的开销比r3大1，这个1是因为从r4访问r5经过r3，为什么不经过fw2呢？因为经过fw2的开销太大了 。

如果fw1故障，业务会被上下行路由器的路由信息引导到fw2上，fw2上有同步过fw1的会话表项，所以业务得以正常传输。

3、检查f1/f2的会话表项

可见表项是同步的。

本文由 在线网速测试 整理编辑，转载请注明出处，原文链接：https://www.wangsu123.cn/news/18539.html。