华为防火墙双机热备与IP-link联动

最新推荐文章于 2024-04-11 05:58:52 发布
最新推荐文章于 2024-04-11 05:58:52 发布
阅读量1.7k 收藏 16
点赞数 1
分类专栏: 网络设计与配置 文章标签: 网络 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Tony_long7483/article/details/117453503
版权

在这里插入图片描述

1.配置内网IP地址及其区域
[FW1-GigabitEthernet1/0/0]ip add 10.1.1.1 24
[FW1-GigabitEthernet1/0/0]service-manage ping permit
[FW1]firewall zone trust
[FW1-zone-trust]add interface g1/0/0
[FW1]ip route-static 0.0.0.0 0.0.0.0 10.1.3.3
[FW2-GigabitEthernet1/0/0]ip add 10.1.1.2 24
[FW2-GigabitEthernet1/0/0]service-manage ping permit
[FW2]firewall zone trust
[FW2-zone-trust]add interface g1/0/0
[FW2]ip route-static 0.0.0.0 0.0.0.0 10.1.4.4
在这里插入图片描述

2.配置外网IP地址及其连通性
[FW1-GigabitEthernet1/0/1]ip add 10.1.3.1 24
[FW1-GigabitEthernet1/0/1]service-manage ping permit
[FW1]firewall zone untrust
[FW1-zone-untrust]add interface g1/0/1
[FW2-GigabitEthernet1/0/2]ip add 10.1.4.2 24
[FW2-GigabitEthernet1/0/2]service-manage ping permit
[FW2]firewall zone untrust
[FW2-zone-untrust]add interface g1/0/2
[ISP1-GigabitEthernet0/0/0]ip add 10.1.3.3 24
[ISP1-GigabitEthernet0/0/1]ip add 10.1.5.3 24
[ISP2-GigabitEthernet0/0/0]ip add 10.1.4.4 24
[ISP2-GigabitEthernet0/0/1]ip add 10.1.5.4 24
在这里插入图片描述

[ISP1]ospf
[ISP1-ospf-1]area 0
[ISP1-ospf-1-area-0.0.0.0]network 10.1.2.0 0.0.0.255
[ISP1-ospf-1-area-0.0.0.0]network 10.1.5.0 0.0.0.255
[ISP2]ospf
[ISP2-ospf-1]area 0
[ISP2-ospf-1-area-0.0.0.0]network 10.1.4.0 0.0.0.255
[ISP2-ospf-1-area-0.0.0.0]network 10.1.5.0 0.0.0.255
[ISP1-GigabitEthernet0/0/1]vrrp vrid 1 virtual-ip 10.1.5.254
在这里插入图片描述

[ISP2-GigabitEthernet0/0/1]vrrp vrid 1 virtual-ip 10.1.5.254

在这里插入图片描述
在这里插入图片描述

3.配置DMZ IP及其区域
[FW1-GigabitEthernet1/0/3]ip add 10.1.2.1 24
[FW1]firewall zone dmz
[FW1-zone-dmz]add interface g1/0/3
[FW2-GigabitEthernet1/0/3]ip add 10.1.2.2 24
[FW2]firewall zone dmz
[FW2-zone-dmz]add interface g1/0/3
4.配置NAT策略easy-ip
[FW1]nat-policy
[FW1-policy-nat]rule name nat_isp1
[FW1-policy-nat-rule-nat_isp1]source-zone trust
[FW1-policy-nat-rule-nat_isp1]destination-zone untrust
[FW1-policy-nat-rule-nat_isp1]action source-nat easy-ip
[FW2]nat-policy
[FW2-policy-nat]rule name nat_isp2
[FW2-policy-nat-rule-nat_isp2]source-zone trust
[FW2-policy-nat-rule-nat_isp2]destination-zone untrust
[FW2-policy-nat-rule-nat_isp2]action source-nat easy-ip
5.配置IP-link
[FW1]ip-link check enable
[FW1]ip-link name ip_link1
[FW1-iplink-ip_link1]destination 10.1.3.3 interface g1/0/1 mode icmp
[FW2]ip-link check enable
[FW2]ip-link name ip_link2
[FW2-iplink-ip_link2]destination 10.1.4.4 interface g1/0/2 mode icmp
6.配置双机热备
[FW1-GigabitEthernet1/0/0]vrrp vrid 1 virtual-ip 10.1.1.254 active
[FW1-GigabitEthernet1/0/0]vrrp virtual-mac enable
[FW2-GigabitEthernet1/0/0]vrrp vrid 1 virtual-ip 10.1.1.254 standby
[FW2-GigabitEthernet1/0/0]vrrp virtual-mac enable
7.配置域间防火墙策略
[FW1]security-policy
[FW1-policy-security]rule name dmz_local
[FW1-policy-security-rule-dmz_local]source-zone dmz local
[FW1-policy-security-rule-dmz_local]destination-zone dmz local
[FW1-policy-security-rule-dmz_local]action permit
[FW1-policy-security]rule name trust_isp1
[FW1-policy-security-rule-trust_isp1]source-zone trust
[FW1-policy-security-rule-trust_isp1]destination-zone untrust
[FW1-policy-security-rule-trust_isp1]action permit
[FW1-policy-security]rule name ip_link
[FW1-policy-security-rule-ip_link]source-zone local
[FW1-policy-security-rule-ip_link]destination-zone untrust
[FW1-policy-security-rule-ip_link]service icmp
[FW1-policy-security-rule-ip_link]action permit
在这里插入图片描述

[FW2]security-policy
[FW2-policy-security]rule name dmz_local
[FW2-policy-security-rule-dmz_local]source-zone local dmz
[FW2-policy-security-rule-dmz_local]destination-zone local dmz
[FW2-policy-security-rule-dmz_local]action permit
[FW2-policy-security]rule name trust_isp2
[FW2-policy-security-rule-trust_isp2]source-zone trust
[FW2-policy-security-rule-trust_isp2]destination-zone untrust
[FW2-policy-security-rule-trust_isp2]action permit
[FW2-policy-security]rule name ip_link
[FW2-policy-security-rule-ip_link]source-zone local
[FW2-policy-security-rule-ip_link]destination-zone untrust
[FW2-policy-security-rule-ip_link]service icmp
[FW2-policy-security-rule-ip_link]action permit
在这里插入图片描述

8.配置IP-link与双机热备联动
[FW1]hrp enable
HRP_S[FW1]hrp interface g1/0/3 remote 10.1.2.2
HRP_S[FW1]hrp track interface g1/0/1
HRP_S[FW1]hrp track ip-link ip_link1
[FW2]hrp enable
HRP_S[FW2]hrp interface g1/0/3 remote 10.1.2.1
HRP_S[FW2]hrp track interface g1/0/2
HRP_S[FW2]hrp track ip-link ip_link2
9.验证
PC1 tracert PC2
在这里插入图片描述

关闭AR1上的g0/0/0接口后再PC1 tracert PC2,发现链路自动切换到ISP2上了
在这里插入图片描述

Tony_long7483
关注
  • 1
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
华为防火墙配置及组网.pdf
11-03
华为防火墙配置及组网.pdf
HRP接口故障和链路故障情况下对HRP优先级的影响
qq_47529104的博客
03-22 1070
1、vrrp组的故障 如果防火墙配置了vrrp组,那么当某个vrrp组故障了,那么防火墙的VGMP优先级-2 2、hrp track interface xxx 的故障 该命令表示对某条链路进行监控,如果该链路down掉了,那么优先级-2 3、hrp track interface xxx,且被监控的监控上有配置vrrp组 那么优先级的减少数目为:2+vrrp组个数*2 4、hrp track interface eth-trunk xxx的故障 那么优先级的减少数目为:2*聚合口的成员数量
【HCIE】05.防火墙
走马
09-15 345
adminAdmin@1231.配置防火墙区域2.配置放通策略查看会话表。
ENSP防火墙配置策略路由及ip-link探测
最新发布
h1008685的博客
04-11 1978
ip-link技术简介,策略路由详解,ensp防火墙配置策略路由联动ip-link探测
综合实验(VRRP+OSPF+VTP+NAT+DHCP+PVSTP+单臂路由)
qq_62311779的博客
08-09 1622
一、双实验: (1)实验拓扑: (2)实验需求: (3)实验思路: (4)相关配置:
华为防火墙,配置双链路接入和IP-LINK,即线路互模式的配置
eangels的博客
12-11 4263
华为防火墙,配置双链路接入和IP-LINK,即线路互模式的配置
华为防火墙链路检测工具(IP-LINK,BFD)
热门推荐
qq_47529104的博客
03-21 1万+
IP-LINK 三个检测周期15s后未收到响应报文则认为故障 收到三次响应后才认为故障消除 ip-link xxx //创建ip-linkdestination 1.1.1.1 interface xxx mode xx next-hop 2.2.2.2ip-link check enable //开启ip-link检查 tx-interval xx //设置发送间隔 times xx //设置超时次数 display ip-link//显示iplink IP-link作为一个链路测试工具,...
华为防火墙配置及组网.doc
10-07
"华为防火墙配置及组网" 华为防火墙配置是一种冗余份的功能,旨在提供防火墙的高可用性和避免业务中断。在防火墙组网中,分为路由模式下的双组网和透明模式下的双组网。下面...
华为防火墙.docx
09-06
华为防火墙.docx
华为防火墙配置与组网.doc
10-09
华为防火墙配置与组网.doc
HUAWEI-Ensp模拟器 双传统方式.docx
11-12
HUAWEI-Ensp模拟器上实现双(传统方式),适合学生在做实验时遇到错误查看是否命令有错误。
防火墙入侵与检测 day05 防火墙可靠性
果子哥丶的博客
05-27 1560
IP-Link技术、BFD技术、双技术、 双的基本原理、 双场景概述、 Link-group技术、 Eth-Trunk技术
防火墙(应用场景分析及配置)
pink___floyd的博客
08-07 4610
vrrp vgmp hrp 上路下交
防火墙之镜像模式以及VGMP组监控链路
Mario_Ti的博客
01-13 1448
本文将收录防火墙合集专栏,此文主要是讲解一下防火墙镜像模式以及VGMP组监控链路,让大家了解更多技术与双联动
华为ENSP之防火墙
m0_73406895的博客
09-23 2781
份实现了双业务的份功能,业务信息通过份链路实现批量份和实时份,保证在主设故障时业务能够不中断地顺利切换到份设,从而降低了单点故障的风险,提高了网络的可靠性。因为要做VRRP虚拟网关,所以防火墙上下联与虚拟网关配置同一网段,另外底层通过OSPF配通,通过VGMP状态调整OSPF cost,切换路径。基础配置底层OSPF互通,上联area0,下联area1,防火墙作为ABR设起两个区域。配置VGMP组,开启HRP同步,用track监听线路。分别实现二层,三层的双配置。
篇 VGMP招式详解.2
weixin_33935777的博客
12-12 280
3 防火墙透明接入,连接路由器时的VGMP招式如下图所示,两台防火墙上下行业务接口都工作在二层,连接路由器。两台路由器之间运行OSPF。在此种组网中防火墙的VGMP组采用的故障监控和流量引导方式与上一种组网相同,即通过VLAN监控接口状态实现故障监控,通过控制VLAN是否转发流量实现流量引导。故障监控的区别之处在于此种组网只支持负载分担方式的双,不支持主份方式。因...
防火墙配置实例(三)
永远是少年
08-01 2549
今天继续给大家介绍HCIE安全系列相关内容。本文以华为eNSP模拟器为例,实现了配置防火墙双击技术配置实例,采用的是上下行交换配置VRRP的主模式。 阅读本文,您需要有一定的防火墙配置基础和防火墙理论基础,如果您对此还存在困惑,欢迎查阅我博客内的其他文章,相信您一定会有所收获! 推荐先导文章阅读: VGMP协议详解 HRP协议详解 防火墙技术详解 一、实验拓扑及要求 实验拓扑如上所示,现在要求FW1和FW1配置防火墙,上下行设路由器,在整个拓扑内运行OSPF协议,实现路由
防火墙之配置过程指导
Mario_Ti的博客
01-12 1980
本文将收录防火墙合集专栏,此文主要是防火墙配置过程指导。
华为防火墙常见问题总结
坏坏-5的博客
08-27 3525
在看《强叔秘籍》整理的笔记!
华为防火墙VRRP双配置及组网.pdf
09-04
华为防火墙VRRP双配置及组网.pdf

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值