zljszn的博客

配置访问互联网的静态路由，sysa访问互联网资源都转发到根墙（因为根墙连接着互联网接口），这里注意因为在根系统上配置了将回程流量引入虚拟系统sysa、sysb和sysc的路由，就这使得sysa、sysb和sysc之间也能通过根系统中转来互相访问，如果为了实现虚拟系统sysa、sysb和sysc的隔离，需要在虚拟中配置安全策略禁止互访。#配置安全策略，这里只是为了简单的实现实验的效果，企业内网能访问互联网，但是作为根墙其实策略也不用这么细化，只是将企业内网和外网隔离开来而已。

ip-link的定义IP-Link是指FW通过向指定的目的IP周期性地发送探测报文并等待应答，来判断链路是否发生故障FW发送探测报文后，在三个探测周期（默认为15s）内未收到响应报文，则认为当前链路发生故障，IP-Link的状态变为Down。随后，FW会进行相关的后续操作，例如双机热备主备切换等当链路从故障中恢复，FW能连续地收到3个响应报文，则认为链路故障已经消除，IP-Link的状态变为Up。也就是说，链路故障恢复后，IP-Link。

身份认证信息包括第一阶段计算出的密钥和第二阶段产生的密钥材料等，可以再次认证对等体。3. 消息⑤和⑥用于身份和认证信息交换（双方使用生成的密钥发送信息），双方进行身份认证（预共享密钥方式下为。如果没有匹配的安全提议，响应方将拒绝发起方的安全提议。IKE安全提议，并且消息②中还包括响应方发送身份信息供发起方认证，消息③用于响应方认证发起方。利用第一阶段已通过认证和安全保护的安全通道，目的是建立一对用于数据安全传输的。安全参数包括被保护的数据流和。协商响应方发送确认的安全参数和身份认证信息并生成新的密钥。

hrp interface GigabitEthernet1/0/2 remote 192.168.1.20 //指定心跳接口以及对端接口地址。7. 抓包查看，当主链路或者是主设备没有发生故障的时候全部流量走的都是主链路，当主链路或者是主故障发生故障的时候数据走的就是备用链路了。hrp track interface GigabitEthernet1/0/0 //监听接口。hrp track interface GigabitEthernet1/0/1 //监听接口。

hrp interface GigabitEthernet1/0/2 remote 192.168.1.20 //指定的是对端心跳接口的IP地址。hrp mirror session enable //启用HRP会话快速备份，主要是为了防止数据包来回的路径不一致导致无法通信的情况。把交换机的g0/0/1接口shutdown掉，发现R1 telnet R2的连接是不会断开的。

处获得多条链路时，如果各链路的带宽、转发时延、链路租借费用等因素存在较大差异，那么可以优先使用某些链路传输流量，并利用其他链路作为备份链路或负载分担链路，提高业务的可靠性，此时可以选择本选路方式。策略路由是在路由表已经产生的情况下，不按照现有的路由表进行转发，而是根据用户制定的策略进行路由选择的机制，从更多的维度（入接口、源安全区域、源。处获得多条性能不等的链路时，为了优先使用转发性能最优的链路，保证大多数用户的访问体验，且不浪费其它性能稍差的链路，可以选择此种选路方式。

所以，简单轮询算法是一个静态算法，它的适用场景为服务器的性能相近，服务类型比较简单，且每条流对服务器造成的业务负载大致相等。如果服务器S1、S2、S3、S4的权重依次为2、1、1、1，则Hash表中S1、S2、S3、S4权重为2、1、1、1，最后根据Hash Index值与Hash列表中服务器的对应关系，分配流量至服务器。所示，服务器S1、S2、S3、S4的权重依次为2、1、1、1，此时服务器S1将被视为两台权重为1的服务器，所以FW连续分配两条流给S1，然后再分配接下来的三条流给服务器S2、S3、S4。

2. 防火墙区域的划分（防火墙的g1/0/2接口是属于ISP1接口，所以需要自己新建一个区域然后添加接口，配置优先级，g1/0/3是属于ISP2接口，所以也需要新建一个区域把接口给添加进去，然后再配置优先级）让R1走ISP1的路径访问192.168.1.1，R2走ISP2的路径访问172.16.1.1。8. 抓包查看，去往isp1和isp2的流量分别从防火墙的g1/0/2和1/0/3接口出去了。下载的模板如下图所示，只需要在目的IP地址范围写ISP的地址即可，然后再导入进来即可。1. IP地址的配置略。

让R1走ISP1的路径，R2走ISP2的路径。