負(fù)載分擔(dān)模式雙機(jī)熱備典型配置舉例

1、負(fù)載分擔(dān)模式雙機(jī)熱備典型配置舉例4.1組網(wǎng)需求在圖36所示的防火墻動(dòng)態(tài)路由OSPF雙機(jī)熱備組網(wǎng)中，需要實(shí)現(xiàn):通過配置等價(jià)路由，在主、備防火墻正常工作時(shí)，主、備防火墻可以負(fù) 載分擔(dān)內(nèi)外網(wǎng)流量?？诳诳诳诳诳诳诋?dāng)其中一臺(tái)防火墻故障或與兩臺(tái)交換機(jī)相連的某一條鏈路故障時(shí)，流量 可以及時(shí)從兩臺(tái)防火墻切換至一臺(tái)防火墻，從而保證新發(fā)起的會(huì)話能正常建立， 當(dāng)前正在進(jìn)行的會(huì)話也不會(huì)中斷，網(wǎng)絡(luò)業(yè)務(wù)能夠平穩(wěn)運(yùn)行。圖36負(fù)載分擔(dān)模式雙機(jī)熱備組網(wǎng)圖設(shè)備接口Firewall AFirewall BGE0/1GE0/2GE0/1Switch BGE0/2Vlan-int50Vlan-int60IP圖36負(fù)載分擔(dān)模式雙機(jī)熱備組

2、網(wǎng)圖設(shè)備接口Firewall AFirewall BGE0/1GE0/2GE0/1Switch BGE0/2Vlan-int50Vlan-int60IP地址3/2997/294/2998/2993/2/24設(shè)備Switch AFTP serverHost AHost B接口Vlan-int30Vlan-int40Vlan-int41IP地址 0/29 /24 /24 /24 /24 /244.2配置思路為了使數(shù)據(jù)流量能夠負(fù)載分擔(dān)通過防火墻進(jìn)行轉(zhuǎn)發(fā)，需要使防火墻的路由度量值保持 一致。4.5.1使用版本4.5.1使用版本配置注意事項(xiàng)DO雙機(jī)熱備只支持兩臺(tái)設(shè)備進(jìn)行備份。配置注意事項(xiàng)雙機(jī)熱備的兩臺(tái)設(shè)

3、備要求硬件配置和軟件版本一致，并且要求接口卡的 型號(hào)與所在的槽位一致，否則會(huì)出現(xiàn)一臺(tái)設(shè)備備份過去的信息，在另一臺(tái)設(shè)備 上無法識(shí)別，或者找不到相關(guān)物理資源，從而導(dǎo)致流量切換后報(bào)文轉(zhuǎn)發(fā)出錯(cuò)或 者失敗。在雙機(jī)熱備頁(yè)面進(jìn)行配置后，如果沒有提交配置就單擊 接口管理”。點(diǎn)擊接口對(duì)應(yīng)的編輯按鈕“ 進(jìn)入“接口編輯”配置頁(yè)面。#配置接口工作在“三層”模式以及IP地址。#點(diǎn)擊確定按鈕，完成配置。圖 37 配置接口 GigabitEthernet0/1 的 IP 地址擢g壑：VID：r.ifu :(46- 1即。，缺省值=15M JTCPF.KS :U6D擇口名瓊: 摧口就舂:jj工作我式：iPEff ：ip地址:

4、好地址:網(wǎng)嫻砰：1D.1O-5.1.B3(128- 204, #29 (255 255 255 2-13)。王IS式。無斥配近 曾窘地址 Odhcp Osooip24 (255 255 255 0：圖 38 配置接口 GigabitEthernet0/2 的 IP 地址接口名稱二 按口狀態(tài)二Gig3bitEttiemeW2已連槌美田工作徨式二二層徂式II唯蚤無1咆置-111.ai0.197從IP地 址：網(wǎng)絡(luò)料其他掩 :三層虞式29 (255 255 255 24E) 從IP地址列襄一24 (255.255 255 0)GigabuEthemetO/O (2)將接口加入安全域。圖 39 將接口

5、GigabitEthernet0/1 加入 Trust 域j GigabrtEthemeltJnGigat)rtEthemeW/2Gi圖 39 將接口 GigabitEthernet0/1 加入 Trust 域j GigabrtEthemeltJnGigat)rtEthemeW/2Gi缶W(wǎng)tEt詭m閔明3GigabEtEthEmelO所新入的TEN范圍應(yīng)以V技-誼按，3.5-10顯號(hào)為必凝填寫I頁(yè)共6莉每頁(yè)16 條I當(dāng)前：拋而1T條IGigabitEthemelD/5NULL。#在導(dǎo)航欄中選擇“設(shè)備管理 安全域”。點(diǎn)擊Trust域?qū)?yīng)的編輯按鈕 將接口 GigabitEthernet0/1 加

6、入 Trust 域。#點(diǎn)擊Untrust域?qū)?yīng)的編輯按鈕“ ”，將接口 GigabitEthernet0/2加入U(xiǎn)trust 域。圖 40 將接口 GigabitEthernet0/2 加入 Untrust 域虎販設(shè)音:虎販設(shè)音:1物|uniru 或5(1-100)共擎Nq ，ED;oi接口置海11曲舞詢0接口腿 VLATJGigabitEthemetOJ2GtsabitEthemeiOGigabitEthemW4GigabitEtHiemelOJ?0NULL。所輸入的VLAN范國(guó)應(yīng)以：及嶼連授例如：3.5-10 星號(hào)為臥須埴尚質(zhì)晡定艦消#配置完成后，Web頁(yè)面顯示如下：圖41將接口加入安全域

7、后的頁(yè)面顯示朽? ji| J| 蛔Hi*fifi*理nHtElfRKftM畦n：梆 Lim境湘nI01W.1趺迥 2MQ*UanwmtrFST 心0MoE能JJOtf Se 呷C1沁苗三M牌好maTMB 忡 1G7i ttii而詠部TWp審在0承辦 安全策略 域間策略”。點(diǎn)擊 新建按鈕，配置Untrust域到Trust域的域間策略：圖42配置域間策略K直洞1做登調(diào)| G普域曾WRWriitI ”臂*疆噩昴暨噂驟sr *LTnftusI TrusIb叩-由&袈日miy .Mare” 同嘰耳財(cái)血PwmrtOgjt QS：唆viai襁中導(dǎo)乳寫出(4)配置OSPF路由。#在導(dǎo)航欄中選擇：“網(wǎng)絡(luò)管理 路

8、由管理 OSPF”。在“全局配置”頁(yè)簽，勾 選“啟用OSPF協(xié)議”和“引入靜態(tài)路由”，然后點(diǎn)擊確定按鈕，使能全局OSPF 和引入靜態(tài)路由。圖43 OSPF全局配置#在“區(qū)域配置”頁(yè)簽，點(diǎn)擊新建按鈕，進(jìn)入“OSPF區(qū)域配置”頁(yè)面。圖44進(jìn)入“OSPF區(qū)域配置”頁(yè)面J后牌OSPF融嫌/引入*疝由橙口值慧：直&插口翎&1也：置而襟漢#新建OSPF區(qū)域0，區(qū)域類型為“普通”，輸入網(wǎng)段地址為“”，選擇 子網(wǎng)掩碼為“55”，單擊“新增網(wǎng)段按鈕。單擊確定按鈕完成配置。圖45新建OSPF區(qū)域0國(guó)5國(guó)5QSIKE*：*枷日噂出1118 W.QLHffiW#0.00 255-祺岫瑟JfW桐段eg 匚隔胳#新建OS

9、PF區(qū)域1,區(qū)域類型均為“普通”，輸入網(wǎng)段地址為“”，選 擇子網(wǎng)掩碼為“55”，單擊新增網(wǎng)段按鈕。單擊確定按鈕完成配置。圖46新建OSPF區(qū)域1EiSID：1- 0-d29J9&7295)圖峻臥焉-!繚髭防育網(wǎng)位1 1二月般滴袖，0 M 255-局股列囊呈號(hào)tr楓碩維導(dǎo)項(xiàng).鴕 財(cái)#新建完OSPF區(qū)域后的頁(yè)面顯示：圖47新建OSPF區(qū)域后的頁(yè)面顯示(5)使能雙機(jī)熱備。#在導(dǎo)航欄中選擇“高可靠性 雙機(jī)熱備”。#勾選“使能雙機(jī)熱備功能”，使能雙機(jī)熱備。#備份類型選擇“支持非對(duì)稱路徑”。#點(diǎn)擊修改備份接口按鈕，添加備份接口 GigabitEthernet0/3。#點(diǎn)擊確定按鈕，完成配置。圖48使能雙機(jī)

10、熱備并添加備份接口悝gJUA村功薰春腳改吏抻非時(shí)林路標(biāo)-作為國(guó)髯間瞞9主設(shè)晝音伽？口； Gigart&hemetM自幼冏步照祉田宜手工冏步而管國(guó)宜當(dāng)前角鑿住：建城行當(dāng)薄配置的罔步狀卷；著喪管；福待向半垣行技亶生遷的皆瞧 rGigabiEthememo注意；所有割置聘，俏不要時(shí)誤管進(jìn)行趣姓操作星號(hào)亍湖Ej廉由寫商2.通過命令行方式配置(1) 配置接口 GigabitEthernet0/1。 system-viewFirewallA interface GigabitEthernet0/1FirewallA-GigabitEthernet0/1 port link-mode routeFirewa

11、llA-GigabitEthernet0/1 ip address 3 48FirewallA-GigabitEthernet0/1 quit配置接口 GigabitEthernet0/2。FirewallA interface GigabitEthernet0/2FirewallA-GigabitEthernet0/2 port link-mode routeFirewallA-GigabitEthernet0/2 ip address 97 48配置域間策略。#創(chuàng)建源安全域Untrust到目的安全域Trust的域間實(shí)例，并創(chuàng)建域間策略規(guī)則0。FirewallA interzone sour

12、ce Untrust destination TrustFirewallA-interzone-Untrust-Trust rule 0 permit logging#引用名為any_address的源IP地址對(duì)象、名為any_address的目的IP地址對(duì)象 和名為any_service的服務(wù)對(duì)象。FirewallA-interzone-Untrust-Trust-rule-0 source-ip any_addressFirewallA-interzone-Untrust-Trust-rule-0 destination-ip any_addressFirewallA-interzone-

13、Untrust-Trust-rule-0 service any_service#使能該域間策略規(guī)則。一FirewallA-interzone-Untrust-Trust-rule-0 rule enableFirewallA-interzone-Untrust-Trust-rule-0 quit配置雙機(jī)熱備。#使能雙機(jī)熱備業(yè)務(wù)備份功能，且支持非對(duì)稱路徑。FirewallA dhbk enable backup-type dissymmetric-path#將接口 GigabitEthernet0/3配置為備份接口。FirewallA dhbk interface gigabitetherne

14、t 0/3 vlan 4094配置OSPF路由。#創(chuàng)建OSPF區(qū)域0，并且包含網(wǎng)段/24。FirewallA ospf 1FirewallA-ospf-1 area 0FirewallA-ospf-1-area- network 55FirewallA-ospf-1-area- quit#創(chuàng)建OSPF區(qū)域1，并且包含網(wǎng)段/24。FirewallA-ospf-1 area 1FirewallA-ospf-1-area- network 55FirewallA-ospf-1-area- quitFirewallA-ospf-1 quit配置缺省路由(如果檢查路由表失敗，將使用缺省路由進(jìn)行報(bào)文轉(zhuǎn)發(fā))

15、。FirewallA ip route-static 93Firewall B 酉己置1.通過Web方式配置(1) 配置接口 GigabitEthernet0/1、GigabitEthernet0/2接口的 IP 地址。#在導(dǎo)航欄中選擇“設(shè)備管理 接口管理”。點(diǎn)擊接口對(duì)應(yīng)的編輯按鈕“： ”， 進(jìn)入“接口編輯”配置頁(yè)面。#配置接口工作在“三層”模式以及IP地址。#點(diǎn)擊 安全域”。點(diǎn)擊Trust域?qū)?yīng)的編輯按鈕“ 將接口 GigabitEthernet0/1 加入 Trust 域。圖 51 將接口 GigabitEthernet0/1 加入 Trust 域#點(diǎn)擊Untrust域?qū)?yīng)的編輯按鈕“ ：

16、-”，將接口 GigabitEthernet0/2加入U(xiǎn)trust 域。圖 52 將接口 GigabitEthernet0/2 加入 Untrust 域痊眼設(shè)音:金號(hào)為必菠堵焉頃所輸X的VLW通6應(yīng)以及革徽 側(cè)如3.5-10間!賽至搟b掛口Gig舊痊眼設(shè)音:金號(hào)為必菠堵焉頃所輸X的VLW通6應(yīng)以及革徽 側(cè)如3.5-10間!賽至搟b掛口Gig舊g伯0學(xué)1GiCjabilElhernem廠1EGi叫灑lh皿即M11GigaSitElhemeltVS10HULLO1J推口 .畫.|寓此潤(rùn)圖53將接口加入安全域后的頁(yè)面顯示土豚“匚竺號(hào)比左叫IIJULU?IK EiaJOTE10 1Mt5+1U5 mF

17、MMK2M2S5IES.02M2S52E5QlEnln-a目鳴 r 1； 1,土豚“匚竺號(hào)比左叫IIJULU?IK EiaJOTE10 1Mt5+1U5 mFMMK2M2S5IES.02M2S52E5QlEnlxJ(3)配置域間策略。#在導(dǎo)航欄中選擇“防火墻 安全策略 域間策略”。點(diǎn)擊 新建按鈕，配置Untrust域到Trust域的域間策略：泌上中S?出ID廈iPiS過目洲地址泌上中S?出ID廈iPiS過目洲地址flSfi-過臂內(nèi)客過舊蜀屈用逸ah .ffMAJC 述頃 蠹 購(gòu)UEltHJSl Trusl0anjddES y 祁如歸3n.i ser1Peimii9fE爭(zhēng)1尊I制隨憎(4)配置O

18、SPF路由。#在導(dǎo)航欄中選擇：“網(wǎng)絡(luò)管理 路由管理 OSPF”。在“全局配置”頁(yè)簽，勾 選“啟用OSPF協(xié)議”和“引入靜態(tài)路由”，然后點(diǎn)擊確定按鈕，使能全局OSPF 和引入靜態(tài)路由。圖55 OSPF全局配置#在“區(qū)域配置”頁(yè)簽，點(diǎn)擊新建按鈕，進(jìn)入“OSPF區(qū)域配置”頁(yè)面。圖56進(jìn)入“OSPF區(qū)域配置”頁(yè)面圖56進(jìn)入“OSPF區(qū)域配置”頁(yè)面/ E屈OSPF房說J引入鼻藐&擊近府儂口MW 1區(qū)饋盟博口#新建OSPF區(qū)域0，區(qū)域類型為“普通”，輸入網(wǎng)段地址為“”，選擇 子網(wǎng)掩碼為“55”，單擊新增網(wǎng)段按鈕。單擊確定按鈕完成配置。圖57新建OSPF區(qū)域0#新建OSPF區(qū)域1,區(qū)域類型均為“普通”，輸入

19、網(wǎng)段地址為“”，選 擇子網(wǎng)掩碼為“55”，單擊新增網(wǎng)段按鈕。單擊確定按鈕完成配置。圖58新建OSPF區(qū)域1OSFfESfltaiq.TQO 1 0黑號(hào)而雙源耳與而泗些一I#新建完OSPF區(qū)域后的頁(yè)面顯示：圖59新建OSPF區(qū)域后的頁(yè)面顯示JB 罔 OSPFIfr諼/引ABSK由,帷flrnns-威疝-麻度偏皂：置有輸房IJSHSfeffl更唧一哽.0fiK111S.10.M.0.02M孕日1酉通1040Q.1.0rt.fl.9J5*厘 3(5)使能雙機(jī)熱備。#在導(dǎo)航欄中選擇“高可靠性 雙機(jī)熱備”，進(jìn)入雙機(jī)熱備配置頁(yè)面。#勾選“使能雙機(jī)熱備功能”，使能雙機(jī)熱備。#備份類型選擇“支持非對(duì)稱路徑”。

20、#點(diǎn)擊修改備份接口按鈕，添加備份接口 GigabitEthernet0/3。#點(diǎn)擊確定按鈕，完成配置。圖60雙機(jī)熱備配置頁(yè)面十使麓涮U%壽由乾音的真引：擊抻非謝咨J&役-譽(yù)附撞d GigabitElhefnetJCi：尷管母拘口作加盅罔告的主設(shè)貴自此向步!5戟就手工柯世歷有1度號(hào)省祖狀點(diǎn)：如運(yùn)行生 SSWIHfllEl：GlgatjrtEfliemflKLl注愚：咫圭所肓瞄事清不要由設(shè)貴進(jìn)伽置輯作。H M怠楠唳哽睡鷹房 神2.通過命令行方式配置配置接口 GigabitEthernet0/1 的 IP 地址。 system-viewFirewallB interface GigabitEther

21、net0/1FirewallB-GigabitEthernet0/1 port link-mode routeFirewallB-GigabitEthernet0/1 ip address 4 48FirewallB-GigabitEthernet0/1 quit配置接口 GigabitEthernet0/2 的 IP 地址。FirewallB interface GigabitEthernet0/2FirewallB-GigabitEthernet0/2 port link-mode routeFirewallB-GigabitEthernet0/2 ip address 98 48Fire

22、wallB-GigabitEthernet0/2 quit配置域間策略。#創(chuàng)建源安全域Untrust到目的安全域Trust的域間實(shí)例，并創(chuàng)建域間策略規(guī)則0。FirewallB interzone source Untrust destination TrustFirewallB-interzone-Untrust-Trust rule 0 permit logging#引用名為any_address的源IP地址對(duì)象、名為any_address的目的IP地址對(duì)象 和名為any_service的服務(wù)對(duì)象。FirewallB-interzone-Untrust-Trust-rule-0 source

23、-ip any_addressFirewallB-interzone-Untrust-Trust-rule-0 destination-ip any_addressFirewallB-interzone-Untrust-Trust-rule-0 service any_service#使能該域間策略規(guī)則。一FirewallB-interzone-Untrust-Trust-rule-0 rule enableFirewallB-interzone-Untrust-Trust-rule-0 quit配置雙機(jī)熱備。#使能雙機(jī)熱備業(yè)務(wù)備份功能，且支持非對(duì)稱路徑。FirewallB dhbk enab

24、le backup-type dissymmetric-path#將接口 GigabitEthernet0/3配置為備份接口。FirewallB dhbk interface gigabitethernet 0/3 vlan 4094配置OSPF路由。FirewallB ospf 1#創(chuàng)建OSPF區(qū)域0，并且包含網(wǎng)段/24。FirewallB-ospf-1 area 0FirewallB-ospf-1-area- network 55FirewallB-ospf-1-area- quit#創(chuàng)建OSPF區(qū)域1，并且包含網(wǎng)段/24。FirewallB-ospf-1 area 1FirewallB-

25、ospf-1-area- network 55FirewallB-ospf-1-area- quitFirewallB-ospf-1 quit配置缺省路由(如果檢查路由表失敗，將使用缺省路由進(jìn)行報(bào)文轉(zhuǎn)發(fā))。FirewallB ip route-static 93Switch A 的配置# 創(chuàng)建 VLAN 30、40 和 41。 system-viewSwitchA vlan 30SwitchA-vlan30 vlan 40 to 41SwitchA-vlan30 quit#創(chuàng)建VLAN接口 30，并配置IP地址。SwitchA interface Vlan-interface30SwitchA

26、-Vlan-interface30 ip address 0 48SwitchA-Vlan-interface30 quit#創(chuàng)建VLAN接口 40,并配置IP地址。SwitchA interface Vlan-interface40SwitchA-Vlan-interface40 ip address SwitchA-Vlan-interface40 quit#創(chuàng)建VLAN接口 41,并配置IP地址。SwitchA interface Vlan-interface41SwitchA-Vlan-interface41 ip address SwitchA-Vlan-interface41 qu

27、it配置 Access 接口 GigabitEthernet1/0/7 工作在二層模式，并加入 VLAN 30。SwitchA interface GigabitEthernet1/0/7SwitchA-GigabitEthernet1/0/7 port link-mode bridgeSwitchA-GigabitEthernet1/0/7 port access vlan 30SwitchA-GigabitEthernet1/0/7 quit配置 Access 接口 GigabitEthernet1/0/8 工作在二層模式，并加入 VLAN 30。SwitchA interface Gig

28、abitEthernet1/0/8SwitchA-GigabitEthernet1/0/8 port link-mode bridgeSwitchA-GigabitEthernet1/0/8 port access vlan 30SwitchA-GigabitEthernet1/0/8 quit配置 Access 接口 GigabitEthernet1/0/9 工作在二層模式，并加入 VLAN 40。SwitchA interface GigabitEthernet1/0/9SwitchA-GigabitEthernet1/0/9 port link-mode bridgeSwitchA-Gi

29、gabitEthernet1/0/9 port access vlan 40SwitchA-GigabitEthernet1/0/9 quit配置 Access 接口 GigabitEthernet1/0/10 工作在二層模式，并加入 VLAN 41。SwitchA interface GigabitEthernet1/0/10SwitchA-GigabitEthernet1/0/10 port link-mode bridgeSwitchA-GigabitEthernet1/0/10 port access vlan 41SwitchA-GigabitEthernet1/0/10 quit#

30、啟動(dòng)OSPF進(jìn)程。SwitchA ospf 1#創(chuàng)建OSPF區(qū)域并進(jìn)入OSPF區(qū)域視圖。SwitchA-ospf-1 area #配置OSPF區(qū)域所包含的網(wǎng)段，并在指定網(wǎng)段的接口上使能OSPF。SwitchA-ospf-1-area- network 55SwitchA-ospf-1-area- network 55SwitchA-ospf-1-area- network 55SwitchA-ospf-1-area- quitSwitchA-ospf-1 quitSwitch B 的配置創(chuàng)建 VLAN 50 和 60。 system-viewSwitchB vlan 50SwitchB-vla

31、n50 vlan 60SwitchB-vlan60 quit#創(chuàng)建VLAN接口 50，并配置IP地址。SwitchB interface Vlan-interface50SwitchB-Vlan-interface50 ip address 93 48SwitchB-Vlan-interface50 quit#創(chuàng)建VLAN接口 60,并配置IP地址。SwitchB interface Vlan-interface60SwitchB-Vlan-interface60 ip address SwitchB-Vlan-interface60 quit配置 Access接口 GigabitEthern

32、et1/0/7工作在二層模式，并加入 VLAN 50。SwitchB interface GigabitEthernet1/0/7SwitchB-GigabitEthernet1/0/7 port link-mode bridgeSwitchB-GigabitEthernet1/0/7 port access vlan 50SwitchB-GigabitEthernet1/0/7 quit配置 Access 接口 GigabitEthernet1/0/8 工作在二層模式，并加入 VLAN 50。SwitchB interface GigabitEthernet1/0/8SwitchB-Giga

33、bitEthernet1/0/8 port link-mode bridgeSwitchB-GigabitEthernet1/0/8 port access vlan 50SwitchB-GigabitEthernet1/0/8 quit配置 Access 接口 GigabitEthernet1/0/9 工作在二層模式，并加入 VLAN 60。SwitchB interface GigabitEthernet1/0/9SwitchB-GigabitEthernet1/0/9 port link-mode bridgeSwitchB-GigabitEthernet1/0/9 port acces

34、s vlan 60SwitchB-GigabitEthernet1/0/9 quit#啟動(dòng)OSPF進(jìn)程。SwitchB ospf 1#創(chuàng)建OSPF區(qū)域并進(jìn)入OSPF區(qū)域視圖。SwitchB-ospf-1 area #配置OSPF區(qū)域所包含的網(wǎng)段，并在指定網(wǎng)段的接口上使能OSPF。SwitchB-ospf-1-area- network 55SwitchB-ospf-1-area- network 55SwitchB-ospf-1-area- quitSwitchB-ospf-1 quit4.6驗(yàn)證配置(1)當(dāng)兩臺(tái)防火墻工作正常時(shí)，所有設(shè)備路由學(xué)習(xí)穩(wěn)定后上下行交換機(jī)學(xué)習(xí)到兩條 等價(jià)路由，不同的內(nèi)

35、、外網(wǎng)用戶根據(jù)等價(jià)路由哈希算法，流量分別從兩臺(tái)防火 墻轉(zhuǎn)發(fā)。從客戶端訪問服務(wù)器正常。#打開主防火墻域間策略的debug開關(guān)，可以查看到Host B流量走Firewall A。*Nov 17 19:24:51:529 2011 fw-1 FILTER/7/debug:Thread 1, the tcp packet is permitted from Trust to Untrust: (1027)-(21), 44 bytes, ACL none.#通過display session table命令查看會(huì)話信息，Host B流量走Firewall A。 display session tabl

36、e verboseInitiator:Source IP/Port : /1024Dest IP/Port : /21VPN-Instance/VLAN ID/VLL ID:Responder:Source IP/Port : /21Dest IP/Port : /1024VPN-Instance/VLAN ID/VLL ID:Pro: TCP(6) App: FTPState: TCP-ESTStart time: 2011-11-17 19:21:57 TTL: 3594sRootZone(in): TrustZone(out): UntrustReceived packet(s)(Ini

37、t): 11 packet(s) 480 byte(s)Received packet(s)(Reply): 7 packet(s) 488 byte(s)Initiator:Source IP/Port : /1024Dest IP/Port : /21VPN-Instance/VLAN ID/VLL ID:Responder:Source IP/Port : /21Dest IP/Port : /1024VPN-Instance/VLAN ID/VLL ID:Pro: TCP(6) App: FTPState: TCP-ESTStart time: 2011-11-17 19:21:33

38、TTL: 0sRootZone(in): TrustZone(out): UntrustReceived packet(s)(Init): 0 packet(s) 0 byte(s)Received packet(s)(Reply): 0 packet(s) 0 byte(s)#打開主防火墻域間策略的debug開關(guān)，可以查看到Host A流量走Firewall Bo*Nov 17 11:24:36:024 2011 fw-2 FILTER/7/debug:Thread 5, the tcp packet is permitted from Trust to Untrust: (1027)-(21), 44 bytes, ACL none.#通過display session table命令查看會(huì)話信息，Host A流量走Firewall B。 display session table verboseInitiator:Source IP/Port : /1024Dest IP/Port : /21VPN-Instance/VLAN ID/VLL ID:Responder:Source IP/Port : /21Dest IP/Port : /1024VPN-Instance/VLA