防火墙VRRP+双机热备实验

最新推荐文章于 2024-04-29 14:32:52 发布
最新推荐文章于 2024-04-29 14:32:52 发布
阅读量511 收藏 1
点赞数
分类专栏: 华为实验 文章标签: 网络 智能路由器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq2353177176/article/details/134476168
版权

实验拓扑

在这里插入图片描述

双机热备技术产生的背景

传统的组网方式如下所示,内部用户和外部用户的交互报文全部通过防火墙A。如果防火墙A出现故障,内部网络中所有以防火墙A作为默认网关的主机与外部网络之间的通讯将中断,通讯可靠性无法保证

VRRP

基于VRRP的路由器冗余部署方案
VRRP(Virtual Router Redundancy Protocol)是一种容错协议,它保证当主机的下一跳路由器(默认网关)出现故障时,由备份路由器自动代替出现故障的路由器完成报文转发任务,从而保持网络通信的连续性和可靠性。同一VRRP备份组内的路由器有两种角色:master,buackup

实验目的

防火墙使用双击热备,形成主备避免单点故障影响业务报文转发。使用VRRP虚拟出终端的网关地址,并使用VGMP来保证所有VRRP备份组切换的一致性,避免来回路径不一致,防火墙态检测机制检测不通过,报文丢弃。防火墙之间部署心跳链路,用于交互消息了解对端状态,备份配置命令和各种表项通道

实验步骤

IP部署

交换机此场景作为傻瓜交换机的角色,无需配置
在这里插入图片描述
在这里插入图片描述

FW1:
#
interface GigabitEthernet0/0/0
 undo shutdown
 ip address 192.168.1.253 255.255.255.0
#
interface GigabitEthernet1/0/0
 undo shutdown
 ip address 172.16.1.253 255.255.255.0
 #
firewall zone trust
 set priority 85
 add interface GigabitEthernet0/0/0
#
firewall zone untrust
 set priority 5
 add interface GigabitEthernet1/0/0


FW4:
#
interface GigabitEthernet0/0/0
 undo shutdown
 ip address 192.168.1.252 255.255.255.0
#
interface GigabitEthernet1/0/0
 undo shutdown
 ip address 172.16.1.252 255.255.255.0
 #
firewall zone trust
 set priority 85
 add interface GigabitEthernet0/0/0
#
firewall zone untrust
 set priority 5
 add interface GigabitEthernet1/0/0
VRRP配置
FW1:
#
interface GigabitEthernet0/0/0
vrrp vrid 10 virtual-ip 192.168.1.254 active
#
interface GigabitEthernet1/0/0
vrrp vrid 20 virtual-ip 172.16.1.254 active


FW4:
#
interface GigabitEthernet0/0/0
vrrp vrid 10 virtual-ip 192.168.1.254 standby
#
interface GigabitEthernet1/0/0
vrrp vrid 20 virtual-ip 172.16.1.254 standby
HRP配置
FW1:
#
interface Eth-Trunk1
ip address 1.1.1.1 255.255.255.252
mode lacp-static
#
interface GigabitEthernet1/0/1
eth-trunk 1
#
interface GigabitEthernet1/0/2
eth-trunk 1
#
firewall zone dmz
set priority 50
add interface Eth-Trunk1
#
hrp interface Eth-Trunk1 remote 1.1.1.2
hrp enable



FW4:
#
interface Eth-Trunk1
ip address 1.1.1.2 255.255.255.252
mode lacp-static
#
interface GigabitEthernet1/0/1
eth-trunk 1
#
interface GigabitEthernet1/0/2
eth-trunk 1
#
firewall zone dmz
set priority 50
add interface Eth-Trunk1
#
hrp interface Eth-Trunk1 remote 1.1.1.1
hrp enable

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

安全策略放行
HRP_M:
#
security-policy
   rule name pc
  	 source-zone trust
		destination-zone untrust
		source-address 192.168.1.0 mask 255.255.255.0
		destination-address 172.16.1.0 mask 255.255.255.0
		action permit
	rule name pc2
		source-zone untrust
		destination-zone trust
		source-address 172.16.1.0 mask 255.255.255.0
		destination-address 192.168.1.0 mask 255.255.255.0
  		action permit

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
把FW1的 0/0/0接口down之后,FW4成为VRRP组的master,在主备切换的过程中,还是会出现丢包的情况。但很快就恢复了

datacom_chen
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
锐捷防火墙(WEB)——高级功能——VRRP
君逍遥o
09-28 411
开启防火墙的internal口上开启VRRP功能。 注意: 如果要提高网络的可靠性,建议优先使用HA功能。
VRRP双机热备技术
m0_62089145的博客
10-24 203
2.使用路由器VRRP双机热备功能,如有单条链路down,则不会影响其他业务,保证业务畅通。4.本实验配置为R1为主机,R2为备机;R1 down后能够主动切换到备机上保持业务畅通。R1 down后,两端通信有丢包,但是短暂性丢包不影响业务。3.配置好提前规划的IP地址,然后配置路由器R1、R2。测试后表示两端业务正常,并且VRRP信息配置无误。查看VRRP 信息,表示为R1为Master。查看VRRP 信息,表示为R2为Backup。R1 down后,R2切换为Master。8.R1 down测试。
eNSP配置OSPF实现路由器双机热备
最新发布
m0_68735537的博客
04-29 824
验证PC1访问外网走出口1,且电信故障可自动切换出口2。PC2访问外网走出口2,且移动故障后可自动切换到出口1。(2)再宣告给其他设备 default-route-advertise always type 1。dis IP route-table (查看路由表,检查是否配置成功)tracert 目标地址 (检查ping到目标地址的路径)以上配置完成后三个pc机都可ping自己的网关。acl 2000 (acl 编号2000)三层及路由设备配置ospf并宣告网段。(1)AR1和AR2配置默认路由。
华为交换机VRRP负载均衡+双机热备
qq_43036356的博客
03-02 2235
Master设备故障工作过程:当组内的备份设备一段时间(Master_Down_Interval定时器取值为:3×Advertisement_Interval+Skew_Time,单位为秒)内没有接收到来自Master设备的报文,则将自己转为Master设备。一个VRRP组里有多台备份设备时,短时间内可能产生多个Master设备,此时,设备将会对收到的VRRP报文中的优先级与本地优先级做比较,从而选取优先级高的设备成为Master。
第九课:eNSP VRRP虚拟路由冗余协议配置教程(防火墙双机热备
qq_41555586的博客
12-18 2643
三、验证一、术语&命令说明,即虚拟路由冗余协议,它是一种容错协议。它通过把几台路由设备联合组成一台虚拟的路由设备,实现网关设备的主备备份,保障网络的可靠通信。VRRPVRRPVRRPVRRPVRRPIPIPVRRPVRRPVRIDVRRPPCIPARPBackupVRRPMasterMasterMasterVRRP0~255100IPIPVRRPIP224.0.0.18TTL255112,即华为冗余备份协议,用来实现防火墙双机之间动态状态数据和关键配置命令的备份。
防火墙-双机热备技术原理
qq_43784516的博客
08-05 605
为了保证所有的VRRP备份组切换的一致性,在VRRP的基础上进行了扩展,推出了VGMP(VRRP组协议管理协议)来弥补次局限。将同一台防护墙上的多个VRRP备份组都加入到一个VGMP管理组,由管理组统一管理所有VRRP备份组的状态,来保证管理组内的所有VRRp备份状态都是一致的;防火墙VGMP组通过发送VGMP报文通告自身的运行状态,从而根据hello优先级决定主备设备,主设备VGMP组的状态为Active,备设备的状态为standby;配置和状态需要网络管理员指定备份通道接口进行备份。
防火墙双机热备配置实验
ChenD的学习笔记
12-12 2617
一、实验拓扑 二、配置云 三、配置防火墙 四、分配FW的接口地址与安全区域 五、按图示进行配置 六、双机热备的配置 七、配置NAT 八、模拟双机热备的切 防火墙双机热备配置实验
mstp及vrrp双机热备负载均衡
12-27
所有修改都已在示例中注明,这意味着读者可以直接查看示例了解如何配置和调整MSTP和VRRP来实现双机热备和负载均衡。 文件名称列表看似是随机生成的字符串,它们可能代表的是实验步骤、配置文件或网络设备的模拟模型...
ENSP配置防火墙路由器双机热备
10-22
涉及的技术NAT、VRRP、OSPF、HA、VGMP,里面含命令和讲解,在我的博客上面有写Cisco的配置欢迎大家一起交流学习
华为防火墙VRRP双机热备配置及组网.pdf
09-04
华为防火墙VRRP双机热备配置及组网.pdf
华为防火墙(VRRP)双机热备配置及组网.pdf
11-02
华为防火墙(VRRP)双机热备配置及组网 本文档主要讲述华为防火墙(VRRP)双机热备配置及组网的相关知识点。下面是该文档的详细分析: VRRP基本概念 VRRP(Virtual Router Redundancy Protocol)是一种虚拟路由器冗余...
防火墙VRRP双机热备配置及组网.doc
10-07
防火墙VRRP双机热备配置及组网.doc
网络安全之防火墙 双机热备实验
qq_57289939的博客
03-31 1507
点击系统-->高可用-->双机热备热备-->配置。配置的IP地址需要与自己电脑所开启的。因为配置了同步,所以此时FW2也自动。华为防火墙默认用户名 ---断开SW2的0/0/1端口。FW2新建虚拟IP地址池。配置 g 1/0/0 口。配置 g 1/0/1 口。配置 g 1/0/0 口。配置 g 1/0/1 口。FW1新建虚拟IP地址池。,但要求两个端口可以。
华为NAT
HARDYxiaoyao的博客
04-14 956
nat分类: Nat no-pat:相当于思科 动态NAT(多对多) Napt :相当于思科PAT(IP地址不能是接口地址)(多对一) EASY-IP :相当于思科PAT(IP地址是接口地址)()多对一) SMART NAT智能转换):多对多 多对一 三元组NAT:内部服务器发布到网络 IP对应IP 端口对端口 一对一 EASY-IP配置 : 192.168.3.0-(接口)100.0.0.1 1 配置安全策略 security-policy -----配置NAT策略 rule name tu
防火墙双机热备实验
weixin_74452917的博客
02-06 860
双机热备状态成功建立后,FW1的安全策略配置会自动备份到FW2上。在防火墙FW1上行业务接口GE1/0/0上配置VRRP备份组1,并设置其状态为Standby。在防火墙FW1上行业务接口GE1/0/1上配置VRRP备份组2,并设置其状态为Standby。在防火墙FW1上行业务接口GE1/0/0上配置VRRP备份组1,并设置其状态为Active。在防火墙FW1上行业务接口GE1/0/1上配置VRRP备份组2,并设置其状态为Active。企业的两台防火墙的业务接口都工作在三层,上下行分别连接二层交换机。
防火墙————负载分担双机热备
zj2059129607的博客
11-17 694
VRRP(Virtual Router Redundancy Protocol)是一种容错协议,它保证当主机的下一跳路由器(默认网关)出现故障时,由备份路由器自动代替出现故障的路由器完成报文转发任务,从而保持网络通信的连续性和可靠性。在FW上配置VRRP时,是将两台FW上编号相同的接口加入一个VRRP备份组。一个VRRP备份组相当于一台虚拟路由设备,拥有虚拟IP地址和虚拟MAC地址。网络内主机将其网关设置为VRRP备份组的虚拟IP地址。这些主机都是通过虚拟路由器与外部网络通信。和。
网络实验】eNSP模拟华为防火墙配置双机热备VRRP
Vector_seven的博客
08-19 3971
心跳线双方的接口编号一定要一样;华为防火墙不止三个区域,还可以自定义区域,只是这里刚好三个区域,可以就用dmz区域;但是设定其他自定义区域也没事,反正默认都不能互通;防火墙vrrp路由器vrrp有区别:路由器vrrp是在路由器内部设,如果只是双机热备,就只用设置一组vrid防火墙vrrp即使是双机热备也要设置两组,且是一个防火墙的上行链路接口和下行链路接口各为一组,且两个口都要配置虚拟ip。
防火墙——双机热备理论讲解
热门推荐
m0_49864110的博客
04-22 1万+
本端和对端协商失败。有可能是因为本端和对端设备的软件版本不一致、某端配置错误、对端设备的心跳接口状态为Down、HRP源或目的端口号被修改、或者底层链路不通等原因导致。会话表、SeverMap表、IP监控表、分片缓存表、GTP表、黑名单、PAT方式端口映射表、NO-PAT方式地址映射表。两台设备一主一备,正常情况下业务流量由主设备处理,当主设备故障时,业务流量平滑切换到备用设备进行处理,业务不中断。开启自动备份后,当主用设备配置了一条可备份的命令或产生了可备份的会话表状态时,会直接备份到备用设备上。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

datacom_chen

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值