ensp综合实验:双机热备、IPSec、FTP

最新推荐文章于 2024-06-21 10:06:50 发布
最新推荐文章于 2024-06-21 10:06:50 发布
阅读量3.7k 收藏 86
点赞数 5
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jjc321506301915/article/details/115457188
版权

作业十八:综合实验

文章目录

实验要求

在这里插入图片描述

实验环境

在这里插入图片描述

实验步骤

规划并配置IP

PC1:

在这里插入图片描述

PC2:
在这里插入图片描述

Client1:

在这里插入图片描述

Server1:

在这里插入图片描述

R1:

[R1]int g0/0/2
[R1-GigabitEthernet0/0/2]ip add 200.1.1.254 24

[R1-GigabitEthernet0/0/2]int g0/0/1
[R1-GigabitEthernet0/0/1]ip add 200.1.3.1 24

[R1-GigabitEthernet0/0/1]int g0/0/0
[R1-GigabitEthernet0/0/0]ip add 200.1.12.1 24

FW1:

[FW1]int g1/0/0
[FW1-GigabitEthernet1/0/0]ip add 192.168.4.1 24

[FW1-GigabitEthernet1/0/0]int g1/0/2
[FW1-GigabitEthernet1/0/2]ip add 12.1.1.1 24

[FW1-GigabitEthernet1/0/2]int g1/0/1
[FW1-GigabitEthernet1/0/1]ip add 192.168.3.1 24

FW2:

[FW2]int g1/0/0
[FW2-GigabitEthernet1/0/0]ip add 192.168.4.2 24

[FW2-GigabitEthernet1/0/0]int g1/0/2
[FW2-GigabitEthernet1/0/2]ip add 12.1.1.2 24

[FW2-GigabitEthernet1/0/2]int g1/0/1
[FW2-GigabitEthernet1/0/1]ip add 192.168.3.2 24

FW3:

[FW3]int g0/0/0
[FW3-GigabitEthernet0/0/0]ip add 200.1.3.3 24

[FW3-GigabitEthernet0/0/0]int g1/0/2
[FW3-GigabitEthernet1/0/2]ip add 192.168.2.254 24

[FW3-GigabitEthernet1/0/2]int g1/0/1
[FW3-GigabitEthernet1/0/1]ip add 192.168.1.254 24

划分区域

FW1:

[FW1]firewall zone untrust
[FW1-zone-untrust]add int g1/0/0

[FW1]firewall zone trust
[FW1-zone-trust]add int g1/0/1

[FW1]firewall zone dmz
[FW1-zone-dmz]add int g1/0/2

FW2:

[FW2]firewall zone untrust
[FW2-zone-untrust]add int g1/0/0

[FW2]firewall zone trust
[FW2-zone-trust]add int g1/0/1

[FW2]firewall zone dmz
[FW-zone-dmz]add int g1/0/2

FW3:

[FW3]firewall zone trust
[FW3-zone-trust]add int g1/0/1

[FW3]firewall zone untrust
[FW3-zone-untrust]add int g1/0/0

[FW3]firewall zone dmz
[FW3-zone-dmz]add int g1/0/2

配置OSPF

R1:

[R1]ospf 
[R1-ospf-1]area 0
[R1-ospf-1-area-0.0.0.0]int g0/0/0
[R1-GigabitEthernet0/0/0]os e a 0
[R1-GigabitEthernet0/0/0]int g0/0/1
[R1-GigabitEthernet0/0/1os e a 0
[R1-GigabitEthernet0/0/1]int g0/02
[R1-GigabitEthernet0/0/2]os e a 0

FW1:

[FW1]ospf 
[FW1-ospf-1]area 0
[FW1-ospf-1-area-0.0.0.0]int g1/0/0
[FW1-GigabitEthernet0/0/0]os e a 0

FW2:

[FW2]ospf 
[FW2-ospf-1]area 0
[FW2-ospf-1-area-0.0.0.0]int g1/0/0
[FW2-GigabitEthernet0/0/0]os e a 0

FW3:

[FW3]ospf 
[FW3-ospf-1]area 0
[FW3-ospf-1-area-0.0.0.0]int g1/0/0
[FW3-GigabitEthernet0/0/0]os e a 0

配置双机热备

配置静态路由

R1:

[R1]ip route-static 192.168.1.0 24 200.1.12.1
配置VRRP

FW1:

[FW1]int g1/0/0
[FW1-GigabitEthernet1/0/0]vrrp vrid 1 virtual-ip 200.1.2.10 active 

[FW1-GigabitEthernet1/0/0]int g1/0/1
[FW1-GigabitEthernet1/0/1]vrrp vrid 1 virtual-ip 192.168.3.10 active

FW2:

[FW2]int g1/0/0
[FW2-GigabitEthernet1/0/0]vrrp vrid 1 virtual-ip 200.1.2.10 standby 

[FW2-GigabitEthernet1/0/0]int g1/0/1
[FW2-GigabitEthernet1/0/1]vrrp vrid 1 virtual-ip 192.168.3.10 standby
配置心跳接口

FW1:

[FW1]hrp int g1/0/2 remote 12.1.1.2
[FW1]hrp enable

FW2:

[FW2]hrp int g1/0/2 remote 12.1.1.1
[FW2]hrp enable
配置IPSec

FW1:

//感兴趣流
HRP_M[FW1]acl 3000 (+B)
HRP_M[FW1-acl-adv-3000]rule permit ip source 192.168.3.0 0.0.0.255 destination 192.168.1.0 0.0.0.255 (+B)

//ike安全提议
HRP_M[FW1]ike proposal 1 (+B)
HRP_M[FW1-ike-proposal-1]di th (+B)  //验证与加密算法使用默认配置如下
#
ike proposal 1
 encryption-algorithm aes-256
 dh group14
 authentication-algorithm sha2-256
 authentication-method pre-share
 integrity-algorithm hmac-sha2-256
 prf hmac-sha2-256
#

//ike对等体
HRP_M[FW1]ike peer fw3 (+B) 
HRP_M[FW1-ike-peer-fw3]pre-shared-key cipher huawei (+B)
HRP_M[FW1-ike-peer-fw3]ike-proposal 1 (+B)
HRP_M[FW1-ike-peer-fw3]remote-address 200.1.3.3 (+B)

//ipsec安全提议
HRP_M[FW1]ipsec proposal 2 (+B)
HRP_M[FW1-ipsec-proposal-2]di th (+B)  //验证与加密算法使用默认配置如下
#
ipsec proposal 2
 esp authentication-algorithm sha2-256
 esp encryption-algorithm aes-256
#

//ipsec策略
HRP_M[FW1]ipsec policy runtime 10 isakmp (+B)
HRP_M[FW1-ipsec-policy-isakmp-runtime-10]security acl 3000 (+B)
HRP_M[FW1-ipsec-policy-isakmp-runtime-10]ike-peer fw3 (+B)	
HRP_M[FW1-ipsec-policy-isakmp-runtime-10]proposal 2 (+B)

//绑定接口
HRP_M[FW1]int g1/0/0 (+B)
HRP_M[FW1-GigabitEthernet1/0/0]ipsec policy runtime (+B)

//静态配置
HRP_M[FW1]ip route-static 192.168.1.0 24 200.1.12.1 (+B)

FW3:

//感兴趣流
[FW3]acl 3000
[FW3-acl-adv-3000]rule permit ip source 192.168.1.0 0.0.0.255 destination 192.168.3.0  0.0.0.255

//ike安全提议
[FW3]ike proposal 1
[FW3-ike-proposal-1]di th  //验证与加密算法使用默认配置如下
#
ike proposal 1
 encryption-algorithm aes-256
 dh group14
 authentication-algorithm sha2-256
 authentication-method pre-share
 integrity-algorithm hmac-sha2-256
 prf hmac-sha2-256
#

//ike对等体
[FW3]ike peer fw1 
[FW3-ike-peer-fw1]pre-shared-key cipher huawei
[FW3-ike-peer-fw1]ike-proposal 1
[FW3-ike-peer-fw1]remote-address 200.1.2.10

//ipsec安全提议
[FW3]ipsec proposal 2
[FW3-ipsec-proposal-2]di th  //验证与加密算法使用默认配置如下
#
ipsec proposal 2
 esp authentication-algorithm sha2-256
 esp encryption-algorithm aes-256
#

//ipsec策略
[FW3]ipsec policy runtime 10 isakmp
[FW3-ipsec-policy-isakmp-runtime-10]security acl 3000
[FW3-ipsec-policy-isakmp-runtime-10]ike-peer fw1	
[FW3-ipsec-policy-isakmp-runtime-10]proposal 2

//绑定接口
[FW3]int g1/0/0
[FW3-GigabitEthernet1/0/0]ipsec policy runtime

//静态配置
[FW3]ip route-static 192.168.3.0 24 200.1.3.1
配置安全策略

FW1:

[FW1]security-policy (+B) 
[FW1-policy-security]rule name t_u (+B) 
[FW1-policy-security-rule-t_u]source-zone trust (+B)
[FW1-policy-security-rule-t_ut]destination-zone untrust (+B) 
[FW1-policy-security-rule-t_u]source-address 192.168.3.0 24 (+B) 
[FW1-policy-security-rule-t_u]destination-address 192.168.1.0 24 (+B) 
[FW1-policy-security-rule-t_u]service icmp (+B) 
[FW1-policy-security-rule-t_u]action permit (+B) 

[FW1-policy-security]rule name u_t (+B) 
[FW1-policy-security-rule-u_t]source-zone untrust (+B)
[FW1-policy-security-rule-u_t]destination-zone trust (+B) 
[FW1-policy-security-rule-u_t]source-address 192.168.1.0 24 (+B)
[FW1-policy-security-rule-u_t]destination-address 192.168.3.0 24 (+B)
[FW1-policy-security-rule-u_t]service icmp (+B) 
[FW1-policy-security-rule-u_t]action permit (+B) 

[FW1-policy-security]rule name u_l (+B) 
[FW1-policy-security-rule-u_l]source-zone untrust (+B)
[FW1-policy-security-rule-u_l]destination-zone local (+B) 
[FW1-policy-security-rule-u_l]source-address 200.1.3.3 32 (+B)
[FW1-policy-security-rule-u_l]destination-address 200.1.2.10 32 (+B)
[FW1-policy-security-rule-u_l]service esp (+B)
[FW1-policy-security-rule-u_l]action permit (+B) 


[FW1]ip service-set isakmp type object 16 (+B)
[FW1-object-service-set-isakmp]service protocol udp source-port 500 (+B)

[FW1]security-policy (+B)
[FW1-policy-security]rule name isakmp (+B) 
[FW1-policy-security-rule-isakmp]source-zone untrust (+B)
[FW1-policy-security-rule-isakmp]source-zone local (+B)
[FW1-policy-security-rule-isakmp]destination-zone local (+B) 
[FW1-policy-security-rule-isakmp]destination-zone untrust (+B)
[FW1-policy-security-rule-isakmp]source-address 200.1.3.3 32 (+B)
[FW1-policy-security-rule-isakmp]destination-address 200.1.2.10 32 (+B)
[FW1-policy-security-rule-isakmp]source-address 200.1.2.10 32 (+B)
[FW1-policy-security-rule-isakmp]destination-address 200.1.3.3 32 (+B)
[FW1-policy-security-rule-isakmp]service isakmp (+B)
[FW1-policy-security-rule-isakmp]action permit (+B)

FW3:

[FW3]security-policy 
[FW3-policy-security]rule name t_u 
[FW3-policy-security-rule-t_u]source-zone trust
[FW3-policy-security-rule-t_u]destination-zone untrust 
[FW3-policy-security-rule-t_u]source-address 192.168.3.0 24 
[FW3-policy-security-rule-t_u]destination-address 192.168.1.0 24 
[FW3-policy-security-rule-t_u]service icmp 
[FW3-policy-security-rule-t_u]action permit 

[FW3-policy-security]rule name u_t 
[FW3-policy-security-rule-u_t]source-zone untrust
[FW3-policy-security-rule-u_t]destination-zone trust 
[FW3-policy-security-rule-u_t]source-address 192.168.1.0 24
[FW3-policy-security-rule-u_t]destination-address 192.168.3.0 24
[FW3-policy-security-rule-u_t]service icmp 
[FW3-policy-security-rule-u_t]action permit 

[FW3-policy-security]rule name u_l 
[FW3-policy-security-rule-u_l]source-zone untrust
[FW3-policy-security-rule-u_l]destination-zone local 
[FW3-policy-security-rule-u_l]source-address 200.1.2.10 32
[FW3-policy-security-rule-u_l]destination-address 200.1.3.3 32
[FW3-policy-security-rule-u_l]service esp
[FW3-policy-security-rule-u_l]action permit 


[FW1]ip service-set isakmp type object 16
[FW3-object-service-set-isakmp]service protocol udp source-port 500

[FW3-policy-security]security-policy
[FW3-policy-security-rule-isakmp]rule name isakmp 
[FW3-policy-security-rule-isakmp]source-zone untrust
[FW3-policy-security-rule-isakmp]source-zone local
[FW3-policy-security-rule-isakmp]destination-zone local 
[FW3-policy-security-rule-isakmp]destination-zone untrust
[FW3-policy-security-rule-isakmp]source-address 200.1.3.3 32
[FW3-policy-security-rule-isakmp]destination-address 200.1.2.10 32
[FW3-policy-security-rule-isakmp]source-address 200.1.2.10 32
[FW3-policy-security-rule-isakmp]destination-address 200.1.3.3 32
[FW3-policy-security-rule-isakmp]service isakmp
[FW3-policy-security-rule-isakmp]action permit
检查连通性

PC1 ping PC2:

PC>ping 192.168.1.1

Ping 192.168.1.1: 32 data bytes, Press Ctrl_C to break
From 192.168.1.1: bytes=32 seq=1 ttl=254 time=172 ms
From 192.168.1.1: bytes=32 seq=2 ttl=254 time=63 ms
From 192.168.1.1: bytes=32 seq=3 ttl=254 time=62 ms
From 192.168.1.1: bytes=32 seq=4 ttl=254 time=62 ms
From 192.168.1.1: bytes=32 seq=5 ttl=254 time=46 ms

--- 192.168.1.1 ping statistics ---
  5 packet(s) transmitted
  5 packet(s) received
  0.00% packet loss
  round-trip min/avg/max = 46/81/172 ms

PC2 ping PC1:

PC>ping 192.168.3.1

Ping 192.168.3.1: 32 data bytes, Press Ctrl_C to break
Request timeout!
From 192.168.3.1: bytes=32 seq=2 ttl=126 time=15 ms
From 192.168.3.1: bytes=32 seq=3 ttl=126 time=15 ms
From 192.168.3.1: bytes=32 seq=4 ttl=126 time=15 ms
From 192.168.3.1: bytes=32 seq=5 ttl=126 time=15 ms

--- 172.16.1.1 ping statistics ---
  5 packet(s) transmitted
  4 packet(s) received
  20.00% packet loss
  round-trip min/avg/max = 0/15/15 ms

配置访问公网的Client

NAT配置

FW3:

//配置地址池
[FW1]nat address-group 1
[FW1-address-group-1]section 200.1.12.10 200.1.12.10

//配置NAT策略
[FW1]nat-policy 
[FW1-policy-nat]rule name no_nat
[FW1-policy-nat-rule-no_nat]source-zone trust
[FW1-policy-nat-rule-no_nat]destination-zone untrust
[FW1-policy-nat-rule-no_nat]source-address 192.168.3.0 24
[FW1-policy-nat-rule-no_nat]destination-address 192.168.1.0 24
[FW1-policy-nat-rule-no_nat]action no-nat

[FW1]nat-policy 
[FW1-policy-nat]rule name t_u	
[FW1-policy-nat-rule-t_u]source-zone trust
[FW1-policy-nat-rule-t_u]destination-zone untrust
[FW1-policy-nat-rule-t_u]source-address 192.168.3.0 24
[FW1-policy-nat-rule-t_u]action source-nat address-group 1
配置安全策略

FW3:

//配置安全策略
[FW1]security-policy
[FW1-policy-security]rule name nat
[FW1-policy-security-rule-nat]source-zone trust
[FW1-policy-security-rule-nat]destination-zone untrust
[FW1-policy-security-rule-nat]source-address 192.168.3.0 24
[FW1-policy-security-rule-nat]service icmp
[FW1-policy-security-rule-nat]action permit 

//配置静态路由
[FW1]ip route-static 0.0.0.0 0 200.1.12.1
检查连通性

PC1 ping Client1:

PC>ping 200.1.1.1

Ping 200.1.1.1: 32 data bytes, Press Ctrl_C to break
From 200.1.1.1: bytes=32 seq=1 ttl=254 time=78 ms
From 200.1.1.1: bytes=32 seq=2 ttl=254 time=46 ms
From 200.1.1.1: bytes=32 seq=3 ttl=254 time=62 ms
From 200.1.1.1: bytes=32 seq=4 ttl=254 time=62 ms
From 200.1.1.1: bytes=32 seq=5 ttl=254 time=47 ms

--- 200.1.1.1 ping statistics ---
  5 packet(s) transmitted
  5 packet(s) received
  0.00% packet loss
  round-trip min/avg/max = 46/59/78 ms

配置FTP

配置NAT

FW3:

[FW3]nat address-group 2 
[FW3-address-group-1]section 200.1.3.10 200.1.3.10
[FW3-address-group-1]q
[FW3]nat-policy 
[FW3-policy-nat]rule name u_t
[FW3-policy-nat-rule-t_u]source-zone untrust
[FW3-policy-nat-rule-t_u]destination-zone trust 
[FW3-policy-nat-rule-t_u]source-address 200.1.1.0 24
[FW3-policy-nat-rule-t_u]action source-nat address-group 2
配置安全策略

FW3:

[FW3]security-policy
[FW3-policy-security]rule name ftp
[FW3-policy-security-rule-ftp]source-zone untrust
[FW3-policy-security-rule-ftp]destination-zone trust
[FW3-policy-security-rule-ftp]source-address 200.1.1.0 24
[FW3-policy-security-rule-ftp]destination-address 192.168.2.0 24
[FW3-policy-security-rule-ftp]service ftp
[FW3-policy-security-rule-ftp]action permit
配置ASPF

FW3:

[FW3]firewall detect ftp
检查连通性

在这里插入图片描述

实验总结

​ 通过本次实验我学会了如何灵活地运用双机热备和IPSec配置。实验比较复杂,需要先想清楚要实现的功能对应的大概配置和要用到的协议,然后再一部分一部分地去完善实验。同时也要考虑配置的顺序问题,此处实验中将双机热备先配置明显较为省事。同时也要注意安全策略的配置顺序,防止需要的策略先被匹配而无法实行。

南南很难
关注
  • 5
    点赞
  • 86
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
HUAWEI-Ensp模拟器 双机热备传统方式.docx
11-12
HUAWEI-Ensp模拟器上实现双机热备(传统方式),适合学生在做实验时遇到错误查看是否命令有错误。
ENSP配置防火墙和路由器双机热备
10-22
涉及的技术NAT、VRRP、OSPF、HA、VGMP,里面含命令和讲解,在我的博客上面有写Cisco的配置欢迎大家一起交流学习
ENSP防火墙综合实验(GRE、IPSec、NAT通信)【防火墙安全策略】
热门推荐
JohnnyG2000的博客
05-18 1万+
防火墙综合实验一、实验要求1. 总部需要通过VPN与分支和合作伙伴进行通信2. 分支机构(Branch)员工使用NGFW接入总部。要求实现分支机构安全访问IPSec保护的总部内网服务器。3. 合作伙伴(Partner)使用NGFW接入总部。要求实训合作伙伴通过GRE隧道与总部进行通信。4. 所有的客户端可以通过公网IP地址来访问WEB服务器二、实验拓补三、实验配置1. 防火墙安全区域划分(包括Tunnel接口)2. 静态路由3. GRE配置4. IPSec VPN配置5. Easy-ip配置6. NAT S
综合实验
Jianyu's blog
04-04 934
综合实验----双机热备IPSecFTP、NAT Server 目录综合实验----双机热备IPSecFTP、NAT Server实验环境实验目的具体步骤结果测试总结 实验环境 实验目的 1.规划并配置IP地址,并实现私网访问公网(Client1) 2.通过IPSec VPN技术实现总部和分部互访(只允许PC1和PC2互访) 3.分部服务器(Server1)对公网用户提供FTP服务(公网地址为200.1.2.20/24) 4.总部FW1和FW2使用双机热备技术提高可靠性: ​ 上连ISP的VRRP
数通篇(四) - 华为防火墙双机热备案例(基于eNSP的防火墙实验)
weixin_50571749的博客
06-21 1076
华为防火墙双机热备的详细配置案例
[eNSP] 双机热备基本组网
ZXW_NUDT的博客
04-21 630
注:左边为trust区,右边为untrust区,防火墙之间为DMZ区。 1、配置默认路由 [FW 1]ip route-static 0.0.0.0 0 10.3.0.3 [FW 2]ip route-static 0.0.0.0 0 10.3.0.3 2、配置心跳线规则 [FW 1-policy-security]rule name permit_heat [FW 1-policy-security-rule-permit_heat]source-zone local [FW 1-policy-se.
双机热备ensp实验)
weixin_52238333的博客
04-22 254
防火墙双机热备
防火墙ASPF技术、NAT、接口模式、双机热备
weixin_57507186的博客
04-14 678
(Application Specific Packet Filter,针对应用层的包过滤)也叫基于状态的报文过滤,ASPF功能 可以自动检测某些报文的应用层信息并根据应用层信息放开相应的访问规则,开启ASPF功能后,FW通过检测协商报文的应用层携带的地址和端口信息,自动生成相应的Server-map表,用于放行后续建立数据通道的报文,相当于自动创建了一条精细的“安全策略”。通 过旁观设备的端口镜像技术收集流量给给旁路接口,这个场景防火墙可以做IPS,审计,流量分析等任务,功能是最少的。
【防火墙】防火墙双机热备
2301_76769041的博客
08-30 4324
双机热备需要两台硬件和软件配置均相同的华为防火墙,两台华为防火墙之间通过一条独立的链路连接,这条链路通常被称之为“心跳线”,两台华为防火墙通过心跳线了解对端的健康状况,向对端备份配置和表项(如会话表、IPSec SA等),当一台防火墙出现故障时,业务流量能平滑地切换到另一台设备上处理,使业务不中断。
IPSec 网关主备双机热备
08-11
IPSec 网关主备双机热备
mstp及vrrp双机热备负载均衡
12-27
所有修改都已在示例中注明,这意味着读者可以直接查看示例了解如何配置和调整MSTP和VRRP来实现双机热备和负载均衡。 文件名称列表看似是随机生成的字符串,它们可能代表的是实验步骤、配置文件或网络设备的模拟模型...
华为eNSP综合实验:单臂路由、DHCP、RIP、OSPF、VLAN对应考题、考题答卷以及拓扑图,已脱敏
最新发布
07-03
华为eNSP综合实验:单臂路由、DHCP、RIP、OSPF、VLAN对应考题、考题答卷以及拓扑图,已脱敏
玩转华为ENSP模拟器系列 | IPSec网关主备双机热备
COCO_gsta的博客
10-17 2569
素材来源:华为防火墙配置指南建立IPSec隧道的一端使用两台设备进行双机热备,可以将IPSec的配置信息、隧道建立信息等从主设备备份到备用设备上,保证即使主设备断开后隧道也不会拆除,提高了网络的可靠性。如所示,公司总部(HQ)通过FW_A和FW_B接入外网。分支机构(Branch)员工使用FW_C接入总部。要求实现分支机构安全访问IPSec保护的总部内网服务器。公司由多个分支机构组成,此举例中只以其中一个为例,其网关为FW_C。
华为防火墙双机热备
weixin_46503909的博客
03-31 493
双机热备基本组网 配置主备备份的双机热备,FW1为主用,FW2为备用 VRRP1的虚拟IP为10.1.1.253,VRRP2的虚拟IP为202.100.1.253 心跳接口需要配置remote参数 FW底层配置 sysname FW1 # interface GigabitEthernet1/0/1 ip address 10.1.1.10 255.255.255.0 service-manage ping permit # interface GigabitEthernet1/0/0..
eNSP模拟器上使用usg6000v实现双机热备(直路部署,上下行连接三层设备的主备备份组网)
u010311846的博客
10-13 466
6.为保证VRRP备份组和双机热备组的主备角色同步切换,部署BFD会话,并分别和VRRP备份组以及双机热备组联动(配合对应的域间安全策略放行BFD流量)5.在FW1和FW2设备开启HRP协议并配置心跳接口,在FW2设备上指定角色为备份设备,并在FW1(主设备)上配置域间安全策略放行业务流。1.完成终端设备的网络参数配置以及网络设备的基本配置(设备重命名+接口IP)2.完成FW1和FW2设备的初始化配置(重命名+接口IP+区域划分)4.在R1设备和R2设备上部署VRRP备份组,承载内网设备网关。
Ensp pro模拟实验】华为FW防火墙双机热备-HRP-1
qq_43751649的博客
11-10 1839
HRSP,FW关键网元的冗余技术,来使用新的Ensp pro模拟吧
防火墙的ALG、NAT、双机热备知识点详解
qq_68163788的博客
07-25 2071
为了保证所有的VRRP备份组切换的一致性,在VRRP的基础上进行了扩展,推出了VGMP(VRRP组协议管理协议)来弥补次局限。将同一台防护墙上的多个VRRP备份组都加入到一个VGMP管理组,由管理组统一管理所有VRRP备份组的状态,来保证管理组内的所有VRRp备份状态都是一致的;防火墙VGMP组通过发送VGMP报文通告自身的运行状态,从而根据hello优先级决定主备设备,主设备VGMP组的状态为Active,备设备的状态为standby;启动防火墙多出口选项,网关、缺省、源进源出路由控制三种必须启用。
华为ensp防火墙双出口GRE over IPSEC主备切换
白话聊网络的博客
11-03 1873
IPSEC 对两个私网流量加密,通过GRE进行选路,通过静态路由来控制选路,但是主链路中的热任何节点故障,防火墙的主备ipsec流量该如何切换成为难题,这里用NQA和静态的联动,非常的可以解决该问题。配置nqa,只要你中间链路路由可达,指明目的地址,防火墙就开始发送nqa探测报文了。中间路由就是用动态协议打通网络,ospf isis 静态都可以,不是重点配置。本期实验适用在防火墙ipsec vpn多出口的场景,看拓扑。为两个gre隧道口创建两个ipsec名。配置ipsec流量进入gre隧道流量。
防火墙知识总结
qq_57146982的博客
03-28 1059
防火墙知识总结及配置
ensp三层交换机双机热备
12-17
为了实现ensp三层交换机的双机热备,可以使用虚拟路由冗余协议(VRRP)。VRRP是一种协议,它允许多个路由器共享一个虚拟IP地址,以提供冗余和故障转移。在VRRP中,一个路由器被选为虚拟路由器主机(VRH),而其他路由器则作为备份。VRH负责发送VRRP通告,以便其他路由器可以检测到它是否仍然处于活动状态。如果VRH失效,备份路由器将接管虚拟IP地址并成为新的VRH。 以下是实现ensp三层交换机双机热备的步骤: 1. 配置VRRP组。在两台交换机上分别配置VRRP组,指定虚拟IP地址和优先级。例如,假设虚拟IP地址为192.168.1.1,交换机1的优先级为100,交换机2的优先级为90,则可以在交换机1上执行以下命令: ```shell [Switch1] interface vlanif 1 [Switch1-Vlanif1] vrrp vrid 1 virtual-ip 192.168.1.1 [Switch1-Vlanif1] vrrp vrid 1 priority 100 ``` 在交换机2上执行以下命令: ```shell [Switch2] interface vlanif 1 [Switch2-Vlanif1] vrrp vrid 1 virtual-ip 192.168.1.1 [Switch2-Vlanif1] vrrp vrid 1 priority 90 ``` 2. 配置VRRP跟踪。为了实现故障转移,需要在交换机上配置VRRP跟踪。例如,假设交换机1的GigabitEthernet 1/0/1接口连接到了防火墙,需要检测该接口的状态。可以在交换机1上执行以下命令: ```shell [Switch1] interface GigabitEthernet 1/0/1 [Switch1-GigabitEthernet1/0/1] vrrp vrid 1 track interface GigabitEthernet 1/0/1 ``` 这将使交换机1在接口GigabitEthernet 1/0/1失效时降低其VRRP优先级。 3. 配置交换机的默认路由。为了使交换机能够访问其他网络,需要在交换机上配置默认路由。例如,假设默认网关为192.168.0.1,则可以在交换机1上执行以下命令: ```shell [Switch1] ip route-static 0.0.0.0 0.0.0.0 192.168.0.1 ``` 在交换机2上执行相同的命令。 现在,两台交换机已经配置好了双机热备。如果交换机1失效,交换机2将接管虚拟IP地址并成为新的VRH,从而实现故障转移。
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值