防火墙直路部署,上下行连接路由器的主备备份组网

最新推荐文章于 2024-05-11 12:46:13 发布
最新推荐文章于 2024-05-11 12:46:13 发布
阅读量798 收藏 1
点赞数
分类专栏: 网络设计与配置 文章标签: 网络安全 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Tony_long7483/article/details/120774161
版权

在这里插入图片描述

1.untrust区域基本IP地址配置
在这里插入图片描述

[AR3-GigabitEthernet0/0/0]ip add 20.1.1.3 24
[AR3-GigabitEthernet0/0/1]ip add 20.1.4.3 24
[AR3-GigabitEthernet0/0/2]ip add 20.1.3.3 24
[AR4-GigabitEthernet0/0/0]ip add 20.1.2.4 24
[AR4-GigabitEthernet0/0/1]ip add 20.1.4.4 24
[AR4-GigabitEthernet0/0/2]ip add 20.1.3.4 24
2.untrust区域连通性配置
[AR3]ospf 1
[AR3-ospf-1]area 0
[AR3-ospf-1-area-0.0.0.0]network 20.1.4.0 0.0.0.255
[AR3-ospf-1-area-0.0.0.0]network 20.1.1.0 0.0.0.255
[AR3-ospf-1-area-0.0.0.0]network 20.1.3.0 0.0.0.255
[AR4]ospf 1
[AR4-ospf-1]area 0
[AR4-ospf-1-area-0.0.0.0]network 20.1.2.0 0.0.0.255
[AR4-ospf-1-area-0.0.0.0]network 20.1.4.0 0.0.0.255
[AR4-ospf-1-area-0.0.0.0]network 20.1.3.0 0.0.0.255
[AR4-GigabitEthernet0/0/1]vrrp vrid 1 virtual-ip 20.1.4.254
[AR3-GigabitEthernet0/0/1]vrrp vrid 1 virtual-ip 20.1.4.254
3.trust区域基本IP地址配置及连通性
在这里插入图片描述
在这里插入图片描述

[AR1-GigabitEthernet0/0/0]ip add 10.1.1.11 24
[AR1-GigabitEthernet0/0/1]ip add 10.1.11.11 24
[AR1-GigabitEthernet0/0/2]ip add 10.1.13.11 24
[AR2-GigabitEthernet0/0/0]ip add 10.1.2.12 24
[AR2-GigabitEthernet0/0/1]ip add 10.1.12.12 24
[AR2-GigabitEthernet0/0/2]ip add 10.1.13.12 24
4.配置FW1的接口:网络—接口—接口—选择相应接口—参数如下图—确定
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

  1. 配置FW2的接口:网络—接口—接口—选择相应接口—参数如下图—确定
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述

6.在FW1上配置OSPF:网络—路由—ospf—新建—参数如下图—确定
在这里插入图片描述

高级—基本配置—区域配置—新建—参数如下图—确定
在这里插入图片描述

网络配置—新建—参数如下图—确定
在这里插入图片描述

7.在FW2上配置OSPF:网络—路由—ospf—新建—参数如下图—确定
在这里插入图片描述

高级—基本配置—区域配置—新建—参数如下图—确定
在这里插入图片描述

网络配置—新建—参数如下图—确定
在这里插入图片描述

8.在AR上配置ospf
[AR1]ospf 1
[AR1-ospf-1]area 0
[AR1-ospf-1-area-0.0.0.0]network 10.1.1.0 0.0.0.255
[AR1-ospf-1-area-0.0.0.0]network 10.1.11.0 0.0.0.255
[AR1-ospf-1-area-0.0.0.0]network 10.1.13.0 0.0.0.255
[AR2]ospf 1
[AR2-ospf-1]area 0
[AR2-ospf-1-area-0.0.0.0]network 10.1.2.0 0.0.0.255
[AR2-ospf-1-area-0.0.0.0]network 10.1.12.0 0.0.0.255
[AR2-ospf-1-area-0.0.0.0]network 10.1.13.0 0.0.0.255
[AR3]ospf 1
[AR3-ospf-1]area 0
[AR3-ospf-1-area-0.0.0.0]network 20.1.1.0 0.0.0.255
[AR3-ospf-1-area-0.0.0.0]network 20.1.3.0 0.0.0.255
[AR3-ospf-1-area-0.0.0.0]network 20.1.4.0 0.0.0.255
[AR4]ospf 1
[AR4-ospf-1]area 0
[AR4-ospf-1-area-0.0.0.0]network 20.1.2.0 0.0.0.255
[AR4-ospf-1-area-0.0.0.0]network 20.1.3.0 0.0.0.255
[AR4-ospf-1-area-0.0.0.0]network 20.1.4.0 0.0.0.255
9.在FW1上配置双机热备:系统—高可靠性—双机热备—配置—参数如下图
在这里插入图片描述

10.在FW2上配置双机热备:系统—高可靠性—双机热备—配置—参数如下图
在这里插入图片描述

11.配置安全策略(在FW1上的配置会自动备份到FW2上):策略—安全策略—安全策略—参数如下图—确定
注:OSPF报文是否受安全策略控制决定于firewall packet-filter basic-protocol enable命令的配置。缺省情况下,firewall packet-filter basic-protocol enable处于开启状态,即OSPF报文受安全策略控制,需要在上下行业务接口所在安全区域与local区域之间配置安全策略,允许协议类型为OSPF的报文通过
(1)放行ospf报文
在这里插入图片描述
在这里插入图片描述

(2)允许trust访问untrust
在这里插入图片描述

12.配置FW1和FW2的nat策略:策略—nat策略—nat策略—新建—参数如下图—确定
在这里插入图片描述

Tony_long7483
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
HCIE-Security Day14:防火墙双机热备实验(二)防火墙直路部署上下行连接路由器
小梁的博客
02-17 4609
vgmp与vrrp的配合只适用于防火墙连接二层设备的组网, 实验二:防火墙直路部署上下行连接路由器 需求和拓扑 两台FW的业务接口都工作在三层,上下行分别连接路由器。FW与上下行路由器之间运行OSPF协议。现在希望两台FW以主备备份方式工作。正常情况下,流量通过FW_A转发。当FW_A出现故障时,流量通过FW_B转发,保证业务不中断。 操作步骤 1、配置接口ip和安全区域 2、配置ospf路由 r1/r2/r3/r4/f1/f2开启ospf进程1,将相连网段加入区域0 3、
防火墙直路部署,上行连接路由器(OSPF),下行连接交换机的主备备份组网
Tony_long7483的博客
10-18 3316
1.trust区域IP地址配置 2.untrust区域IP地址配置 [AR1-GigabitEthernet0/0/0]ip add 20.1.1.3 24 [AR1-GigabitEthernet0/0/1]ip add 20.1.3.3 24 [AR1-GigabitEthernet0/0/2]ip add 20.1.4.3 24 [AR2-GigabitEthernet0/0/0]ip add 20.1.2.4 24 [AR2-GigabitEthernet0/0/1]ip add 20.1.5..
防火墙学习1---防火墙直路部署上下行连接路由器主备组网
最新发布
weixin_48030849的博客
05-11 673
备注:本人学习华为防火墙的笔记记录方式,如有错误,请指出。无任何错误引导网友想法。FW部署网络出口位置时,如果发生故障会影响到整网业务。为提升网络的可靠性,需要部署两台FW并组成双机热备。双机热备需要两台硬件和软件配置均相同的FW。两台FW之间通过一条独立的链路连接,这条链路通常被称之为“心跳线”。两台FW通过心跳线了解对端的健康状况,向对端备份配置和表项(如会话表、IPSec SA等)。当一台FW出现故障时,业务流量能平滑地切换到另一台设备上处理,使业务不中断。
在eNSP模拟器上使用usg6000v实现双机热备(直路部署上下行连接二层设备的主备备份组网
u010311846的博客
10-13 598
3.根据拓扑规划分别创建连接内网用户、外网用户以及公司服务器的VRRP备份组(使用VGMP)1.完成各终端设备的网络参数配置以及FW的初始化配置(密码修改,接口IP)2.根据终端设备类型,将端口规划到合适的安全区域中。4.FW1-2设备上开启HRP并配置心跳接口。FW1-FW2使用USG6000型号防火墙。内网用户和外网用户均使用PC型终端设备。内网用户可以访问外网用户,反之不能访问。公司服务器采用Server型终端设备。内网用户和外网用户均可访问公司服务器。LSW1-3采用S3700型交换机。
华为防火墙直路部署上下行连接交换机的主备备份组网
Tony_long7483的博客
10-07 2759
1.untrust区域基本配置 [AR1-GigabitEthernet0/0/0]ip add 20.1.1.3 24 [AR1-GigabitEthernet0/0/1]ip add 20.1.2.3 24 [AR1]ospf 1 [AR1-ospf-1]area 0 [AR1-ospf-1-area-0.0.0.0]network 20.1.1.0 0.0.0.255 [AR1-ospf-1-area-0.0.0.0]network 20.1.2.0 0.0.0.255 2.内网基本配置 3.F.
防火墙直路部署上下行连接交换机的主备备份组网
XMWS-IT
05-25 895
如图所示,企业的两台FW的业务接口都工作在三层,上下行分别连接二层交换机。当FW_A出现故障时,流量通过FW_B转发,保证业务不中断。在FW_A上配置NAT策略。双机热备状态成功建立后,FW_A的NAT策略配置会自动备份到FW_B上。在FW_A上配置安全策略。双机热备状态成功建立后,FW_A的安全策略配置会自动备份到FW_B上。分别将两台Switch的三个接口加入同一个VLAN,具体配置命令请参考交换机的相关文档。在Router上配置到FW的等价路由,路由下一跳指向VRRP备份组1的虚拟IP地址。
华为Web举例:防火墙直路部署上下行连接交换机.docx
09-30
华为Web举例:防火墙直路部署上下行连接交换
华为防火墙USG6000V-防火墙直路部署上下行连接交换机.pdf
05-12
华为防火墙USG6000V-防火墙直路部署上下行连接交换机.pdf
初中语文文摘生活弯路也好直路也好自己走才最重要
09-09
初中语文文摘生活弯路也好直路也好自己走才最重要
基于自适应选路策略的VANETs路由协议
03-10
协议针对VANETs的链路频断性,引入携带-转发(carry-forward)机制,使协议能够适用于间断性连接的延迟容忍网络。通过对道路模型分析计算,获得路段连通性度量指标,用于选取最优路径。协议基于道路拓扑将数据包的转发过程...
广汽本田冠道_14_助您在倾斜直路上省力驾驶_汽车驾驶教学操作视频车辆使用指南手册功能演示介绍详解说明书.mp4
09-06
广汽本田冠道_14_助您在倾斜直路上省力驾驶_汽车驾驶教学操作视频车辆使用指南手册功能演示介绍详解说明书.mp4
HCIE-Security Day16:防火墙双机热备实验(四)防火墙直路部署,上行连接路由器(OSPF),下行连接交换机
小梁的博客
02-18 2090
目录 需求和拓扑 操作步骤 1、配置接口ip和安全区域 2、配置ospf动态路由 3、配置双机热备 3.1 配置vrrp备份组 3.2 配置心跳线 3.3 配置检测上行链路 3.4 开启双机热备 4、配置安全策略 验证和分析 1、检查vrrp备份组建立情况 2、检查vgmp组状态 3、检查r3的路由情况 4、检查f1和f2通告的一类lsa情况 5、在f1和f2上检查到达r3的路由情况 实验四:防火墙直路部署,上行连接路由器(OSPF),下行连接交换机 需求...
测试防火墙连接路由器的简单ping实验
qq_41814701的博客
05-14 1994
要求:trust区域pc可以ping通连接路由器的untrust区域的pc 1,先上拓扑图 2,pc设备具体配置 3,路由器配置 [Huawei]int Ethernet0/0/0 [Huawei-Ethernet0/0/0]ip add 169.1.10.1 24 [Huawei]int Ethernet0/0/1 [Huawei-Ethernet0/0/1]ip add 10.255.255.254 24 4.防火墙配置 1)接口配置 3_口之所以配置网关,因为直连的是路由器(模拟外网)
连接防火墙/路由器的几种方式
_V_
05-08 1万+
连接防火墙路由器的几种工具: putty:PuTTY是一个SSH和telnet客户端,最初由Simon Tatham为Windows平台开发。PuTTY:是一个开源软件,提供源代码.用起来简单方便(如果连接上有乱码修改一下transfer):putty下载链接 Xshell:是一个强大的安全终端模拟软件,它支持SSH1, SSH2, 以及Microsoft Windows 平台的TELNET 协...
防火墙双机热备命令行配置
Skye's Blog
06-07 2468
文章目录实验要求实验内容步骤一步骤二步骤三步骤四步骤五步骤六 实验要求 部署防火墙双机热备,避免防火墙出现单点故障而导致的网络瘫痪 进行故障模拟,在双机热备的部署完成之后,关闭主设备,查看业务连通性是否收到影响 连通性要求: 内网用户可以访问外网、服务器 外网用户可以访问服务器 实验内容 步骤一 搭建拓扑,规划网段。配置终端和防火墙各个接口IP地址。 FW1: [USG6000V1]in...
交换机、路由器防火墙配置
天上掉馅饼
02-27 4724
交换机路由器防火墙配置命令
综合组网实例配置 双出口双墙主备+三层核心VRRP+MSTP+NAT+NAT SERVER+AC+IPsec+广域网PPPOE+专线
热门推荐
m0_60444349的博客
11-21 2万+
一、组网需求: 企业的两台FW的业务接口都工作在三层,使用路由模式进行部署上下行分别连接交换机。上行交换机连接路由器,下行连接核心交换机。路由器连接二个运营商的接入点,运营商其一为企业提供专线业务,其分配的IP地址为202.100.99.55~56(用做内部web服务映射)。运营商其二为企业提供pppoe拨号。专线业务主要用于企业业务系统为外部提供访问,员工上网使用pppoe线路。通过在路由器部署策略路由以实现业务和上网流量的分流。 现在希望两台FW以主备备份方式工...............
企业网络中的防火墙旁挂实例
weixin_30752699的博客
01-24 2171
最近由于工作原因,按照客户的需求需要将防火墙旁挂,并将部门流量引流到防火墙上。本文章将讲述基本术语、原理、实验(可下载) 基础介绍: PE和CE BGP/MPLS IP VPN的基本模型由三部分组成:CE、PE和P。 CE(Customer Edge):用户网络边缘设备,有接口直接与服务提供商网络相连。CE可以是路由器或交换机,也可以是一台主机。通常情况下,CE“感...
3-防火墙高可靠性
qianlai22的博客
04-01 2554
1.IP-Link技术 IP-link定义 IP-Link是指FW通过向指定的目的IP周期性地发送探测报文并等待应答,来判断链路是否发生故障。 FW发送探测报文后,在三个探测周期(默认为15s)内未收到响应报文,则认为当前链路发生故障,IP-Link的状态变为Down。随后,FW会进行IP-Link Down相关的后续操作,例如双机热备主备切换等。 当链路从故障中恢复,FW能连续地收到3个响应报文,则认为链路故障已经消除,IP-Link的状态变为Up。也就是说,链路故障恢复后,IP-Link
防火墙旁路部署和直连部署的区别
07-28
回答: 防火墙的旁路部署和直连部署有一些区别。在旁路部署中,网络入口流量会经过防火墙的旁路设备(NIP),同时也会经过防火墙本身。旁路设备会检测和分析应用层的攻击、漏洞、病毒、异常流量等,并将需要被阻断的报文信息发送给防火墙进行阻断操作。这种部署方式可以提供更高级的安全检测和防御功能。而在直连部署中,网络入口流量直接经过防火墙进行过滤和防御,没有经过旁路设备的检测和分析。直连部署更适用于用户不需要额外的安全检测和防御功能,只需要基本的防火墙保护的场景。 #### 引用[.reference_title] - *1* *3* [防火墙知识](https://blog.csdn.net/asdfghhklxm/article/details/129848829)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insert_down1,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* [IPS与IDS部署场景(直路部署,单臂部署,旁路部署,阻断)](https://blog.csdn.net/u012206617/article/details/120151771)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insert_down1,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值