ensp华为防火墙的VRRP、HRP、双机热备配置

最新推荐文章于 2024-09-08 22:12:49 发布
最新推荐文章于 2024-09-08 22:12:49 发布
阅读量8.9k 收藏 59
点赞数 7
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jjc321506301915/article/details/115363193
版权
本次实验详细展示了防火墙的双机热备配置过程,包括IP规划、安全区域划分、静态路由配置、VRRP设置、心跳接口配置和安全策略制定。通过主备切换及备用设备抢占操作,验证了高可用性方案的有效性,确保网络服务的连续性和稳定性。
摘要由CSDN通过智能技术生成

作业十三:防火墙的双机热备

实验环境

在这里插入图片描述

实验思路

  • 规划并配置IP
  • 安全区域划分
  • 配置静态路由
  • 配置VRRP
  • 配置心跳接口
  • 配置安全策略
  • 检验连通性
  • 主备切换
  • 备用设备抢占

实验步骤

规划并配置IP

R1:

[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]ip add 200.1.1.3 24

FW1:

[FW1]int g1/0/2
[FW1-GigabitEthernet1/0/2]ip add 200.1.1.1 24

[FW1-GigabitEthernet1/0/2]int g1/0/1
[FW1-GigabitEthernet1/0/1]ip add 12.1.1.1 24

[FW1-GigabitEthernet1/0/1]int g1/0/0
[FW1-GigabitEthernet1/0/0]ip add 192.168.1.1 24

FW2:

[FW2]int g1/0/2
[FW2-GigabitEthernet1/0/2]ip add 200.1.1.2 24

[FW2-GigabitEthernet1/0/2]int g1/0/1
[FW2-GigabitEthernet1/0/1]ip add 12.1.1.2 24

[FW2-GigabitEthernet1/0/1]int g1/0/0
[FW2-GigabitEthernet1/0/0]ip add 192.168.1.2 24

PC1:

在这里插入图片描述

安全区域划分

FW1:

[FW1]firewall zone trust
[FW1-zone-trust]add int g1/0/0

[FW1-zone-trust]firewall zone untrust
[FW1-zone-untrust]add int g1/0/2

[FW1-zone-untrust]firewall zone dmz
[FW1-zone-dmz]add int g1/0/1

FW2:

[FW2]firewall zone trust
[FW2-zone-trust]add int g1/0/0

[FW2-zone-trust]firewall zone untrust
[FW2-zone-untrust]add int g1/0/2

[FW2-zone-untrust]firewall zone dmz
[FW2-zone-dmz]add int g1/0/1
配置静态路由

R1:

[R1]ip route-static 192.168.1.0 24 200.1.1.100
配置VRRP

FW1:

[FW1]int g1/0/0
[FW1-GigabitEthernet1/0/0]vrrp vrid 2 virtual-ip 192.168.1.100 active 

[FW1-GigabitEthernet1/0/0]int g1/0/2
[FW1-GigabitEthernet1/0/2]vrrp vrid 1 virtual-ip 200.1.1.100 active

FW2:

[FW2]int g1/0/0	
[FW2-GigabitEthernet1/0/0]vrrp vrid 2 virtual-ip 192.168.1.100 standby 

[FW2-GigabitEthernet1/0/0]int g1/0/2
[FW2-GigabitEthernet1/0/2]vrrp vrid 1 virtual-ip 200.1.1.100 standby
配置心跳接口

FW1:

[FW1]hrp int g1/0/1 remote 12.1.1.2
[FW1]hrp enable

FW2:

[FW2]hrp int g1/0/1 remote 12.1.1.1
[FW2]hrp enable
配置安全策略

FW1:

HRP_M[FW1]security-policy (+B)
HRP_M[FW1-policy-security]rule name t_u (+B)
HRP_M[FW1-policy-security-rule-t_u]source-zone trust (+B)
HRP_M[FW1-policy-security-rule-t_u]destination-zone untrust (+B)
HRP_M[FW1-policy-security-rule-t_u]source-address 192.168.1.0 24 (+B)
HRP_M[FW1-policy-security-rule-t_u]service icmp (+B)
HRP_M[FW1-policy-security-rule-t_u]action permit  (+B)

FW2查看同步的安全策略配置 :

HRP_S[FW2]display current-configuration

在这里插入图片描述

检验连通性

PC1 ping 200.1.1.3:

PC>ping 200.1.1.3

Ping 200.1.1.3: 32 data bytes, Press Ctrl_C to break
From 200.1.1.3: bytes=32 seq=1 ttl=254 time=172 ms
From 200.1.1.3: bytes=32 seq=2 ttl=254 time=63 ms
From 200.1.1.3: bytes=32 seq=3 ttl=254 time=62 ms
From 200.1.1.3: bytes=32 seq=4 ttl=254 time=62 ms
From 200.1.1.3: bytes=32 seq=5 ttl=254 time=46 ms

--- 200.1.1.3 ping statistics ---
  5 packet(s) transmitted
  5 packet(s) received
  0.00% packet loss
  round-trip min/avg/max = 46/81/172 ms

对FW1的g1/0/2抓包:
在这里插入图片描述

主备切换

FW1关闭上行接口:

HRP_M[FW1]int g1/0/2 (+B)
HRP_M[FW1-GigabitEthernet1/0/2]shutdown

FW1查看VRRP表:

HRP_S[FW1-GigabitEthernet1/0/2]dis vrrp
2021-03-24 08:43:20.690 
  GigabitEthernet1/0/2 | Virtual Router 1
    State : Initialize
    Virtual IP : 200.1.1.100
    Master IP : 0.0.0.0
    PriorityRun : 120
    PriorityConfig : 100
    MasterPriority : 0
    Preempt : YES   Delay Time : 0 s
    TimerRun : 60 s
    TimerConfig : 60 s
    Auth type : NONE
    Virtual MAC : 0000-5e00-0101
    Check TTL : YES
    Config type : vgmp-vrrp
    Backup-forward : disabled
    Create time : 2021-03-24 07:53:44
    Last change time : 2021-03-24 08:42:56

  GigabitEthernet1/0/0 | Virtual Router 2
    State : Backup
    Virtual IP : 192.168.1.100
    Master IP : 192.168.1.2
    PriorityRun : 120
    PriorityConfig : 100
    MasterPriority : 120
    Preempt : YES   Delay Time : 0 s
    TimerRun : 60 s
    TimerConfig : 60 s
    Auth type : NONE
    Virtual MAC : 0000-5e00-0102
    Check TTL : YES
    Config type : vgmp-vrrp
    Backup-forward : disabled
    Create time : 2021-03-24 07:51:28
    Last change time : 2021-03-24 08:42:56

FW2查看VRRP表:

HRP_M[FW2]dis vrrp
2021-03-24 08:44:43.560 
  GigabitEthernet1/0/2 | Virtual Router 1
    State : Master
    Virtual IP : 200.1.1.100
    Master IP : 200.1.1.2
    PriorityRun : 120
    PriorityConfig : 100
    MasterPriority : 120
    Preempt : YES   Delay Time : 0 s
    TimerRun : 60 s
    TimerConfig : 60 s
    Auth type : NONE
    Virtual MAC : 0000-5e00-0101
    Check TTL : YES
    Config type : vgmp-vrrp
    Backup-forward : disabled
    Create time : 2021-03-24 07:55:21
    Last change time : 2021-03-24 08:42:55

  GigabitEthernet1/0/0 | Virtual Router 2
    State : Master
    Virtual IP : 192.168.1.100
    Master IP : 192.168.1.2
    PriorityRun : 120
    PriorityConfig : 100
    MasterPriority : 120
    Preempt : YES   Delay Time : 0 s
    TimerRun : 60 s
    TimerConfig : 60 s
    Auth type : NONE
    Virtual MAC : 0000-5e00-0102
    Check TTL : YES
    Config type : vgmp-vrrp
    Backup-forward : disabled
    Create time : 2021-03-24 07:54:50
    Last change time : 2021-03-24 08:42:55

PC1 ping 200.1.1.3

PC>ping 200.1.1.3

Ping 200.1.1.3: 32 data bytes, Press Ctrl_C to break
From 200.1.1.3: bytes=32 seq=1 ttl=254 time=78 ms
From 200.1.1.3: bytes=32 seq=2 ttl=254 time=46 ms
From 200.1.1.3: bytes=32 seq=3 ttl=254 time=62 ms
From 200.1.1.3: bytes=32 seq=4 ttl=254 time=62 ms
From 200.1.1.3: bytes=32 seq=5 ttl=254 time=47 ms

--- 200.1.1.3 ping statistics ---
  5 packet(s) transmitted
  5 packet(s) received
  0.00% packet loss
  round-trip min/avg/max = 46/59/78 ms

FW2上对g1/0/2抓包:

在这里插入图片描述

备用设备抢占

重连上行接口:

HRP_S[FW1-GigabitEthernet1/0/2]undo shutdown

PC1持续 ping 200.1.1.3 无丢包现象

查看FW1的VRRP表:

HRP_M[FW1-GigabitEthernet1/0/2]dis vrrp
2021-03-24 08:56:42.530 
  GigabitEthernet1/0/2 | Virtual Router 1
    State : Master
    Virtual IP : 200.1.1.100
    Master IP : 200.1.1.1
    PriorityRun : 120
    PriorityConfig : 100
    MasterPriority : 120
    Preempt : YES   Delay Time : 0 s
    TimerRun : 60 s
    TimerConfig : 60 s
    Auth type : NONE
    Virtual MAC : 0000-5e00-0101
    Check TTL : YES
    Config type : vgmp-vrrp
    Backup-forward : disabled
    Create time : 2021-03-24 07:53:44
    Last change time : 2021-03-24 08:56:07

  GigabitEthernet1/0/0 | Virtual Router 2
    State : Master
    Virtual IP : 192.168.1.100
    Master IP : 192.168.1.1
    PriorityRun : 120
    PriorityConfig : 100
    MasterPriority : 120
    Preempt : YES   Delay Time : 0 s
    TimerRun : 60 s
    TimerConfig : 60 s
    Auth type : NONE
    Virtual MAC : 0000-5e00-0102
    Check TTL : YES
    Config type : vgmp-vrrp
    Backup-forward : disabled
    Create time : 2021-03-24 07:51:28
    Last change time : 2021-03-24 08:56:07

查看FW2的VRRP表:

HRP_S[FW2]dis vrrp
2021-03-24 08:58:15.540 
  GigabitEthernet1/0/2 | Virtual Router 1
    State : Backup
    Virtual IP : 200.1.1.100
    Master IP : 200.1.1.1
    PriorityRun : 120
    PriorityConfig : 100
    MasterPriority : 120
    Preempt : YES   Delay Time : 0 s
    TimerRun : 60 s
    TimerConfig : 60 s
    Auth type : NONE
    Virtual MAC : 0000-5e00-0101
    Check TTL : YES
    Config type : vgmp-vrrp
    Backup-forward : disabled
    Create time : 2021-03-24 07:55:21
    Last change time : 2021-03-24 08:56:06

  GigabitEthernet1/0/0 | Virtual Router 2
    State : Backup
    Virtual IP : 192.168.1.100
    Master IP : 192.168.1.1
    PriorityRun : 120
    PriorityConfig : 100
    MasterPriority : 120
    Preempt : YES   Delay Time : 0 s
    TimerRun : 60 s
    TimerConfig : 60 s
    Auth type : NONE
    Virtual MAC : 0000-5e00-0102
    Check TTL : YES
    Config type : vgmp-vrrp
    Backup-forward : disabled
    Create time : 2021-03-24 07:54:50
    Last change time : 2021-03-24 08:56:06

实验总结

​ 本次实验学习了VGMP以及HRP的原理和配置。VGMP的作用是将所有的VRRP备份组集中管理,控制状态同一切换。HRP则负责双机之间的数据同步,能备份会话和部分配置。处于Active状态的接口会定期发送 Hello报文,若有一个VRRP备份组故障则优先级减2。两台防火墙之间备份的数据是通过心跳口发送和接收的,通过心跳链路传输。配置VGMP后VRRP失效,优先级变为VRRP的优先级。

南南很难
关注
华为防火墙VRRP双机热备配置
qq_43432623的博客
12-05 5926
双机热备特指基于高可用系统中的两台服务器的热备(或高可用),因两机高可用在国内使用较多,故得名双机热备
ensp华为配置VRRP(含基础路由配置
phoenix7670的博客
11-01 1万+
网络拓扑如图任务目标:使用VRRP技术将汇聚层的两台三层交换机虚拟化为一台,虚拟地址为192.168.10.254< Huawei>system-view[Huawei]sysname acsw配置下行接口[acsw]vlan 10[acsw-vlan10]quit[acsw]interface GigabitEthernet 0/0/3[acsw-GigabitEthernet0/0/3]port link-type access[acsw-GigabitEthernet0/0/3]port defaul
华为ensp实现防火墙双机热备-防火墙双机热备带宽管理综合
m0_63884865的博客
08-07 508
在FW1上之前我们设置的是公网地址。一组是12.0.0.1,一组是21.0.0.1放在FW1身上;建立安全区域HRP,将汇聚接口放入HRP,FW1地址11.0.0.1;加入FW3防火墙,启动管理,想做负载启用vrrp,要改变下面设备网关地址,引起网络波动。同样其他区域的nat策略也是一样需要改(生产区不可以访问互联网,所以生产区没有策略)建立相应安全区域(最好顺序一样,但是在这里我建立的顺序不一样了,看看是否会报错)配置同步成功,FW3上具有FW1一样的路由策略。所用的接口是同一个,但是虚拟网关是不同的。
华为ensp配置vrrp
热门推荐
我的博客
09-22 3万+
虚拟路由冗余协议VRRP通过几台路由器设备组成一台虚拟的路由设备,将虚拟路由设备的IP地址作为用户的默认网关实现与外部网络通信。当网关设备发生故障时,VRRP机制能够选举新的网关设备承担数据流量,从儿童保障网络的可靠通信 在R1和R2配置VRRP备份组,对外宣称为一台虚拟路由器,实现链路冗余备份 基本配置 R1,R2,R3配置ospf互联 [Huawei]sys [Huawei]sysname...
ensp 配置vrrp
yulate的个人博客
12-10 1719
ensp 配置vrrp一、网络topo二、配置接口ip三、配置vrrp四、配置ospf五、测试六、模拟链路状态故障 一、网络topo 虚拟路由冗余协议VRRP通过几台路由器设备组成一台虚拟的路由设备,将虚拟路由设备的IP地址作为用户的默认网关实现与外部网络通信。当网关设备发生故障时,VRRP机制能够选举新的网关设备承担数据流量,从而保障网络的可靠通信 在R1和R2配置VRRP备份组,对外宣称为一台虚拟路由器,实现链路冗余备份 二、配置接口ip PC R1 [R1]int g 0/0/0 [R1-Gi
基于ENSPVRRP配置
qq_63540264的博客
03-29 1597
vrrp vrid 20 virtual-ip 192.168.2.252 #为VLAN20 配置VID 为 20 的虚拟IP地址。vrrp vrid 10 virtual-ip 192.168.1.252 #为VLAN10 配置VID 为 10 的虚拟IP地址。
网络学习-eNSP配置VRRP
最新发布
丢爸
09-08 853
VRRP广泛应用在边缘网络中,是一种路由冗余协议,它的设计目标是支持特定情况下IP数据流量失败转移不会引起混乱,允许主机使用单路由器,以及即使在实际第一跳路由器使用失败的情形下仍能够维护路由器间的连通性。
ensp 双机热备 配置_华为防火墙实现双机热备配置详解
weixin_39845347的博客
12-19 2293
一提到防火墙,一般都会想到企业的边界设备,是内网用户与互联网的必经之路。防火墙承载了非常多的功能,比如:安全规则、IPS、文件类型过滤、内容过滤、应用层过滤等。也正是因为防火墙如此的重要,如果防火墙一旦出现问题,所有对外通信的服务都将中断,所以企业中首先要考虑的就是防火墙的优化及高可用性。博文大纲:一、双机热备工作原理二、VRRP协议(1)VRRP协议概述(2)VRRP的角色(3)VRRP的状态机...
华为Ensp防火墙双机热备Hrp
qq_51444009的博客
07-05 1万+
HRP(华为冗余协议)备份方式 自动备份,默认方式 手动备份,批量方式(hrp sync config 手动触发批量备份) 快速备份,针对分载分担 备份通道状态 当设备两边均配置心跳口,防火墙会判断心跳接口的物理与协议状态。 心跳链路一共存在五种状态 ① running:正常运行,能够发送报文 ② ready:正常运行,此接口为备份通道,当前未使用 ③ peerdown:本段正常,但是收不到对端的心跳报文 ④ invaild:未指定心跳地址的IP地址,心跳口工作在二层 ⑤ down:心跳接口的物理状态与协议
使用eNSP配置防火墙USG6000v双机热备(VGMP+HRP+OSPF+NAT)
有谁需要地图吗?
02-28 8960
前言 本实验使用华为模拟器eNSP中USG6000v完成实验。USG6000v是虚拟防火墙。 实验拓扑 配置过程 一、导入设备包 由于USG6000v模拟器需要导入设备包才能使用,所以需要在华为企业专网下载USG6000v的设备包才能使用,根据自己eNSP的版本下载对应版本的设备包,推荐使用eNSP500或eNSP510。比如我的eNSP版本是510,那么需要进入该链接:eNSP各版本下载链接进行设备包的下载。 下载设备包需要一个华为账户...
ensp 双机热备 配置_【解忧番外篇】基于eNSP USG6000v的双机热备实验
weixin_39946239的博客
12-19 886
前言本实验使用华为模拟器eNSP中USG6000v完成实验。实验拓扑配置过程一、导入设备包由于USG6000v模拟器需要导入设备包才能使用,所以需要在华为企业专网下载USG6000v的设备包才能使用,根据自己eNSP的版本下载对应版本的设备包,推荐使用eNSP500或eNSP510。比如我的eNSP版本是510,那么需要进入该链接:eNSP各版本下载链接 进行设备包的下载。下载设备包需要一个华为账...
ENSPVRRP配置方法
weixin_44372082的博客
04-25 1380
VRRP配置步骤1.配置虚拟ip地址作为网关,进行切换路由器2.配置vrrp优先级,越大越优先3.配置延迟抢占时间4.配置备份组监视接口。
eNSP 配置虚拟端口VRRP
ck784101777的博客
07-31 6621
一、VRRP 虚拟路由冗余协议(Virtual Router Redundancy Protocol,简称VRRP)是由IETF提出的解决局域网中配置静态网关出现单点失效现象的路由协议,1998年已推出正式的RFC2338协议标准。VRRP广泛应用在边缘网络中,它的设计目标是支持特定情况下IP数据流量失败转移不会引起混乱,允许主机使用单路由器,以及及时在实际第一跳路由器使用失败的情形...
ensp VRRP配置2
qq_42575992的博客
05-29 487
要求: 实现全网互通 使用vrrp实现网关的冗余备份,S2做为vlan10的主(master)设备,S3做为vlan20的主(master)设备,分担流量 PC1为vlan10,PC2为vlan20,使用DHCP中继分配IP地址 配置 S1配置,在vlanif10配置vrrp vrid 10 track interface GigabitEthernet0/0/2 reduced 101 接口追踪,当Master上行链路出现故障的时候,优先值减少101,主(master) 变为备(Backup) ..
使用ensp模拟器中的三层交换机配置vrrp(基于vlan的)
weixin_43996007的博客
01-08 1万+
使用ensp模拟器中的三层交换机配置vrrp 关于vrrp的介绍、相关术语、状态及使用路由器配置vrrp请参考: 使用ensp模拟器中的路由器配置vrrp详解 这次只讲解使用三层交换机配置vrrp 拓扑图 配置 电脑终端: 如图配置好相应的ip地址、子网掩码和网关。 LSW1: [lsw1]vlan batch 10 20 [lsw1]interface Ethernet0/0/1 [lsw1-...
vrrp协议_华为防火墙VRRP双机热备的原理及配置详解
weixin_39648297的博客
11-20 1392
本文主要从以下几个方面展开阐述:一、何为双机热备?二、VRRP的概念三、VRRP的两种角色四、VRRP的选举流程五、VRRP的三个状态六、通过VGMP统一管理VRRP的状态1、VGMP的报文封装2、双机热备的备份方式3、关于上游或下游设备的选路问题七、配置实例八、总结一、何为双机热备?所谓的双机热备无非就是以7X24小时不中断的为企业提供服务为目的,各种双机热备的技术很多,那么华为使用了...
eNSPVRRP配置和使用
qq_62182264的博客
06-27 1866
主要介绍了VRRP的基本配置方法,以及VRRP部分功能的介绍。
华为ENSP配置虚拟网关协议VRRP
海阔天空
01-24 9767
虚拟网关协议VRRP(Virtual Router Redundancy Protocol)是三层网关冗余公有技术,对用户的网关做备份冗余。网关一般装在核心交换机上,VRRP默认的优先级都是100,越大优先级越高。
华为eNSP配置VRRP与MSTP协议
Sword_of_despair的博客
06-05 7084
VRRP(Virtual Router Redundancy Protocol)指的是一种实现路由器冗余备份的协议,常用于构建局域网内的高可用性、无故障转移的网络拓扑。通过使用 VRRP,可以将多个路由器构成一个虚拟路由器,对外提供单一的虚拟 IP 地址和 MAC 地址,其中一个路由器被选举为虚拟路由器的主机,而其他路由器则被定义为热备份。在 VRRP 中,每个实际路由器都拥有一个默认优先级,当网络上出现故障(如主路由器无法继续提供服务),热备份路由器会被自动顶替为新的主路由器,保证网络服务的持续性。
ensp双机热备实验
09-12
您好!可以为您介绍一下ensp双机热备实验。 ensp(Enterprise Network Simulation Platform)是华为公司开发的一款网络仿真平台,它提供了一个模拟企业网络环境的工具,可以进行网络拓扑设计、配置调试、性能评估等。 双机热备是指在一个系统中配置了两台服务器,其中一台作为主服务器,另一台作为备份服务器。当主服务器发生故障或者需要维护时,备份服务器会自动接管主服务器的功能,以确保系统的高可用性和持续稳定运行。 在ensp中进行双机热备实验可以模拟现实中的双机热备环境,通过配置合适的参数和设置,可以实现主备切换、故障恢复等功能。您可以使用ensp创建两台虚拟机,并在其中一台上配置主服务器,另一台上配置备份服务器,然后模拟主服务器故障场景,观察备份服务器是否能够自动接管主服务器的功能。 希望对您有所帮助!如果有其他问题,请随时提问。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值