H3C防火墙双机热备实验

最新推荐文章于 2024-09-23 10:20:55 发布
最新推荐文章于 2024-09-23 10:20:55 发布
阅读量3.7k 收藏 29
点赞数 5
分类专栏: 网络技术 文章标签: 服务器 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_62621003/article/details/132239138
版权

F1为主,F2为备份

01-双机热备(RBM)命令-新华三集团-H3C 官方命令查询页面

IP地址配置省略

交换机配置将接口全都加入到vlan10当中

安全策略配置

F1与F2一样即可

security-policy ip
 rule 0 name tr-un
  action pass
  source-zone trust
  destination-zone untrust
  source-ip-subnet 10.1.1.0 255.255.255.0 
 rule 1 name vrrp
  action pass
  source-zone trust
  source-zone untrust
  source-zone local
  destination-zone untrust
  destination-zone trust
  destination-zone local
  service vrrp

F1设备双机热备配置

F2只需要修改本地和远端的地址

RBM配置
remote-backup group            进入RBM管理视图。
 data-channel interface GigabitEthernet1/0/3            配置HA数据通道,也就是心跳线
 configuration sync-check interval 1           开启一致性配置检查,1小时检查一次,默认为24小时
 delay-time 1          开启流量回切,1分钟
 local-ip 10.2.1.1            配置HA控制通道的本端IPv4地址
 remote-ip 10.2.1.2           配置HA控制通道的远端IPv4地址
 device-role primary           配置设备的管理角色。primary:表示设备为HA中的主管理设备。PS:secondary:表示设备为HA中的从管理设备

web界面配置在

F1设备VRRP配置(F2设备只需将active改为standby)

 interface GigabitEthernet1/0/1
 port link-mode route
 combo enable copper
 ip address 2.1.1.1 255.255.255.0
 vrrp vrid 1 virtual-ip 2.1.1.3 active
#
interface GigabitEthernet1/0/2
 port link-mode route
 combo enable copper
 ip address 10.1.1.1 255.255.255.0
 vrrp vrid 2 virtual-ip 10.1.1.3 active
#######
active:设置VRRP备份组与HA关联,当前路由器加入到VRRP Active组中,设备初始角色为Master。
standby:设置VRRP备份组与HA关联,当前路由器加入到VRRP Standby组中,设备初始角色为Backup。

dis remote-backup-group status 命令用来显示HA的状态信息。

热备成功之后还可以进行监控

  • 接口:track interface g1/0/1 当接口down了就会切换主备
  • vlan:track vlan 10 当vlan10中的接口down之后就会切换主备
  • 联动track:track 1

track vlan与track interface命令互斥,不可同时配置;track vlan与track命令互斥,不可同时配置

 

RBM所有命令

adjust-cost ospf enable

开启HA调整备设备上动态路由协议开销值功能

backup-mode

配置HA的工作模式,缺省为主备模式

configuration manual-sync

将主管理设备上的配置信息手工批量备份到从管理设备

configuration manual-sync-check

用来手工触发配置信息一致性检查

configuration sync-check interval 120

开启配置信息一致性检查功能,并设置周期为120小时

data-channel interface gigabitethernet 1/0/1

配置HA数据通道的接口为GigabitEthernet1/0/1

delay-time 2

开启HA流量回切功能,且延迟切换的时间为2分钟

device-role primary

配置设备的管理角色为主管理设备

display remote-backup-group status

用来显示HA的状态信息

display remote-backup-group sync-check

显示HA关键配置信息的一致性检查结果

undo hot-backup protocol dns enable

关闭HA热备份应用协议DNS生成的会话表项功能

keepalive count 6

配置设备发送HA Keepalive报文的最大次数为6次

keepalive interval 2

配置设备发送HA Keepalive报文的时间间隔为2秒

local-ip 1.1.1.2

配置HA控制通道的本端IPv4地址为1.1.1.2

local-ipv6 2019::1

配置HA控制通道的本端IPv6地址为2019::1

remote-backup group

用来进入RBM管理视图

remote-ip

命令用来配置HA控制通道的对端IPv4地址

silent-backup-interface ospf

命令用来配置HA禁止备设备上的接口收发动态路由协议报文

switchover request

手工触发HA的主备倒换

成全101
关注
专栏目录
H3C SetchPath F1000e 防火墙双机热备
01-06
H3C SetchPath F1000e 防火墙双机热备。里面有二层和三层配置方法都有。
防火墙双机热备
qq_67758645的博客
07-17 1591
因为VRRP彼此是独立的,所以,一个VRRP组进行切换不会其他组同步切换,而在防火墙双机热备场景下,上下有俩个VRRP组,需要同步切换,使用传统的上行链路监控,比肩复杂,因为要监控所有的接口。冷备的概念:仅工作一台设备,备份一台设备,备份设备仅同步配置,并不工作,只有主设备出现故障时,再由管理员替换工作,冷备可能会造成较长时间的业务中断。每个组里面有两个状态,一个active状态,一个standby状态。5,FW2的VGMP组状态发生变化,则组中的VRRP组的状态同步发生变化,都从standby切。
华为防火墙配置双机热备
最新发布
Richardlygo的博客
09-23 2024
公司A基于确保内部网络安全性的考虑,在内外网络之间部署了防火墙。由于防火墙设备是所有信息流都必须通过的单一节点,故一旦防火墙设备出现故障所有信息流都会中断。为了增强网络的可靠性,保证当防火墙设备出现故障时不中断网络,公司A利用两台设备实现防火墙主备功能。
园区基础网络配置系列——华三防火墙双机主备
茉清语
03-24 4726
基础拓扑结构 设备型号:H3C-F100-S-G3 需求:双机主备。
H3C RBM配置
u012791712的博客
06-30 3082
H3C RBM配置,远端备份管理
H3C防火墙实验
m0_56063470的博客
11-27 1708
配置ip和默认路由省略(ip rou 0.0.0.0 0 10.0.0.2/ip rou 0.0.0.0 0 20.0.0.2) 改名(第一部做) 改名 sysname fn 绑定防火墙安全域端口 [fn]security-zone name Trust [fn-security-zone-Trust]import interface g1/0/0 [fn]security-zone name untrust [fn-security-zone-Untrust]import interfa
H3C防火墙及IPsec综合实验
qq_45049184的博客
03-08 7789
我们知道IPsec需要配置感兴趣流来抓取本端私网到达对端私网的流量,NAT转换抓取的同样也是本端私网流量,且NAT的优先级高于IPsec的优先级,如此一来会导致需要被IPsec封装的流量被NAT抓取且当做正常流量导向了公网。所以为了避免这种情况,我们需要在用于匹配NAT的ACL再加上一条ACL用于匹配IPsec的感兴趣流,成功匹配则将其丢弃,这样即使访问对端私网的流量到达了NAT也会被其丢弃,同时也不会影响NAT的正常工作。按照拓扑图所示配置,业务网段全配置在设备的loopback接口,配置过程略。
H3C防火墙双机热备虚拟防火墙.ppt
09-15
H3C防火墙双机热备虚拟防火墙.ppt
SecPath防火墙双机热备特性V2.0
09-05
H3C防火墙H3C防火墙H3C防火墙H3C防火墙H3C防火墙
2021年H3C安全防火墙实验指导入门培训视频教程【共13集】.rar
10-28
00华三防火墙课程介绍mp4,网盘文件,永久连接 01设备基本管理mp4 02接口与安全区域mp4 03安全策略 packet-filter. mp4 04安全策略 object-polic及 ...10双机热备 vrrp. mp4 11双机热备主备与主主模式mp4 12攻击防范mp4
H3C 安全产品典型配置案例汇总集.rar
09-21
H3C SecBlade III FW 双机热备负载均衡典型配置案例 H3C SecBlade III NetStream插卡 典型配置案例 H3C SecPath LB产品服务器负载均衡(V7)典型配置案例 H3C NGFW设备SSLVPN证书认证典型配置案例 H3C NGFW设备...
防火墙双机热备配置及组网指导
07-16
防火墙双机热备配置及组网指导: 防火墙双机热备典型组网 防火墙双机热备命令行说明 ……
防火墙双机热备,主备备份双机热备
2301_77023501的博客
11-17 559
双机热备需要两台硬件和软件配置均相同的FW。两台FW之间通过一条独立的链路连接,这条链路通常被称之为“心跳线”。两台FW通过心跳线了解对端的健康状况,向对端备份配置和表项(如会话表、IPSec SA等)。当一台FW出现故障时,业务流量能平滑地切换到另一台设备上处理,使业务不中断。
H3C 推荐2台防火墙用RBM+VRRP做双主配置
normanhere的博客
05-10 2191
RBM是H3C私有防火墙HA技术,默认能够管理同步VRRP状态信息;同步2台防火墙之间的状态化信息,同步安全策略。但是RBM链路不跑流量。和IRF之间的区别就是没有2台防火墙之间的横向流量,也就不存在堆叠造成的各种问题。但是需要分别配置2台防火墙H3C目前推荐防火墙高可用使用RBM+VRRP实现,如果内网网关设置为1个,即VRRP组为1, 则防火墙为主备模式;故障时切换(毫秒级)。如果内网网关设置为多个,VRRP组为2个,则防火墙为主主模式,互为2个组的主备。
H3C防火墙RBM+VRRP 组网配置
qq_23930765的博客
07-04 7797
基本组网如上,本实验采用HCL模拟器完成。fw1与fw2建立RBM,上下行采用vrrp对接。sw3、sw4为2层交换机,当防火墙RBM连接意外断开时,可以通过交换机透传vrrp报文,靠vrrp自身的协商机制实现主备。在fw1、fw2均使用vrrp 2的虚地址进行ipsec配置,正常情况下流量走fw1,只有fw1和fw6建立ipsec sa,由于RBM还不支持ipsec的同步,因此正常情况下fw2不和fw6建ipsec,当主备切换时流量上到fw2,感兴趣流自动触发fw2和fw6建立ipsec隧道,同时由于fw
H3C防火墙RBM对接交换机M-LAG典型配置
qq_23930765的博客
04-08 1931
FW配置:FW1与FW2采用RBM组网,M-LAG Border的跨设备二层聚合口与RBM FW设备的设备内三层聚合口对接。FW主设备的设备内三层聚合口编号应与备设备的设备内三层聚合口编号保持一致。防火墙省略安全域和安全策略配置。Border设备配置:采用M-LAG组网,Border1与Border2之间一条直连链路聚合作为peer-link链路,一条直连链路作为M-LAG MAD链路。M-LAG系统参数 m-lag system-mac 0068-0068-0068。peer-link配置 #
华三防火墙-策略NAT
qq_53146347的博客
05-01 4291
到达防火墙匹配源和目的转换后,将源地址10.1.1.2更改为80.38.1.16;目的地址80.38.1.16:8080更改为192.168.20.20:81进行访问。1.新建策略NAT,规则类型选择NAT44,源和目的根据流向选择,源IP填写源网段或指定IP,目的IP填写需要访问的地址或any,转换方式使用动态IP+端口的形式,地址类型使用easy ip。通过宿主机在浏览器上访问防火墙的外网接口8080端口能正常访问到服务器的内容,验证成功。注意:策略NAT和接口NAT互斥;查看防火墙的会话转换过程。
华为USG防火墙双机热备(业务口工作在三层上下行连接交换机)
weixin_33711647的博客
04-05 965
防火墙双机热备与路由/交换机相比较的话,最主要的是会话备份的功能,路由器/交换机主备切换路由能转发就OK,防火墙需要匹配会话。防火墙双机热备的三个协议VRRP:虚拟路由冗余协议,在防火墙双机热备种主要作用是检测主备是否正常VGMP:在防火墙双机热备中主备切换不在使用VRRP,而是将VRRP加入VGMP中由VGMP来管理主备切换。默认情况下主设备VGMP优先级为65001,...
H3C 防火墙 双机热备
10-27
H3C防火墙双机热备是指在两台防火墙设备之间建立一个虚拟路由器冗余协议(VRRP)组,通过VRRP协议实现设备之间的状态同步和故障转移。在双机热备模式下,一台设备作为Master,另一台设备作为Backup,Master设备负责处理所有的数据流量,而Backup设备则处于备份状态,当Master设备出现故障时,Backup设备会自动接管Master设备的工作,从而保证网络的连续性和可靠性。 在配置双机热备时,需要注意以下几点: 1. 双机热备需要在两台防火墙设备上分别进行配置,配置内容应该保持一致。 2. 双机热备需要使用相同的VRRP组号,以便两台设备之间进行状态同步。 3. 双机热备需要配置虚拟IP地址,该地址将作为默认网关地址,用于处理所有的数据流量。 4. 双机热备需要配置HA关联,以便将VRRP备份组与HA关联起来,从而实现设备之间的状态同步和故障转移。 除了双机热备之外,H3C防火墙还支持其他的冗余技术,例如VRRP+和VSF。VRRP+是在VRRP协议的基础上增加了一些扩展功能,例如支持多组VRRP、支持优先级调整、支持权重调整等。VSF是一种基于硬件的冗余技术,通过将多台设备组成一个虚拟设备,从而实现设备之间的状态同步和故障转移。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

成全101

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值