主备组网方式的双机热备技术+内网多VLAN

已于 2023-11-12 22:13:39 修改
阅读量718 收藏 4
点赞数 1
分类专栏: 笔记 文章标签: 网络 macos
于 2022-06-07 23:14:18 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_20477309/article/details/125175345
版权
本文档详细介绍了如何配置双机热备环境,包括FW1和FW2的VRRP设置、接口IP配置、HRP激活以及域间包过滤策略,确保Client1能访问FTP Server1,PC2能ping通Server1。同时,强调了双机热备的注意事项,如设备型号一致性、配置同步等关键点。
摘要由CSDN通过智能技术生成

组网拓扑图如下:

任务:

client1能够访问FTP服务器Server1

PC2能够ping通FTP服务器Server1

配置命令:

FW1
1、接口IP、VRRP(VRRP加VGMP管理组)、加域

interface g0/0/1.1
  vlan dot1q 10
  ip add 192.168.1.253 24
  vrrp vrid 10 virtual-ip 192.168.1.254 24 master
  #vrrp virtual-mac en
  #Can not enable virtual-mac on subinterface!
interface g0/0/1.2
  vlan dot1q 20
  ip address 192.168.2.253 24
  vrrp vrid 20 virtual-ip 192.168.2.254 24 master

interface g0/0/3
  ip add 10.1.1.253 24
  vrrp vrid 2 virtual-ip 10.1.1.254 24 master
  vrrp virtual-mac en
interface g0/0/2
  ip add 1.1.1.1 24
quit

firewall zone trust
  add int g0/0/1.1
firewall zone untrust
  add int g0/0/3
firewall zone dmz
  add int g0/0/1.2
firewall zone name hrp_zone
  set pri 96
  add int g0/0/2
quit

2、激活HRP
hrp interface g0/0/2
hrp enable
hrp mirror session enable#配置会话快速备份
hrp auto-sync config#启动配置命令的自动备份功能
hrp preempt delay 30
dis hrp group

3、配置域间包过滤策略(outbound高到低)
policy interzone trust dmz outbound
  policy 10
    policy source 192.168.1.0 0.0.0.255
    action permit
policy interzone untrust local inbound
  policy 11
    policy source 10.1.1.0 0.0.0.253
    action permit


policy interzone dmz untrust inbound
  policy 10
    policy destination 192.168.2.1 0
    policy service service-set ftp
    action permit
firewall interzone dmz untrust
  detect ftp

FW2
1、接口IP、VRRP(VRRP加VGMP管理组)、加域

interface g0/0/1.1
  vlan dot1q 10
  ip add 192.168.1.252 24
  vrrp vrid 10 virtual-ip 192.168.1.254 24 slave
interface g0/0/1.2
  vlan dot1q 20
  ip address 192.168.2.252 24
  vrrp vrid 20 virtual-ip 192.168.2.254 24 slave

interface g0/0/3
  ip add 10.1.1.252 24
  vrrp vrid 2 virtual-ip 10.1.1.254 24 slave
  vrrp virtual-mac en
interface g0/0/2
  ip add 1.1.1.2 24
quit

firewall zone trust
  add int g0/0/1.1
firewall zone untrust
  add int g0/0/3
firewall zone dmz
  add int g0/0/1.2
firewall zone name hrp_zone
  set pri 96
  add int g0/0/2
quit

2、激活HRP
hrp interface g0/0/2
hrp enable
dis hrp group


LSW1:
sys
vlan batch 10 20
int g0/0/1
  port link-type access
  port default vlan 10
int g0/0/2
  port link-type access
  port default vlan 20
int g0/0/21
  port link-type trunk
  port trunk allow-pass vlan 10 20
int g0/0/22
  port link-type trunk
  port trunk allow-pass vlan 10 20
 

双机热备注意事项
1、双机热备目前只支持两台备份
2、双机热备只能用于同一型号设备且设备硬件、软件配置信息相同
3、双机热备前配置要求一致
4、如果使用二层接口作为心跳口,需要将二层接口加入VLAN,创建Vlanif并配置IP地址。
   然后使用Vlanif接口作为心跳口,并配置remote参数来指定对端设备心跳口的IP地址。
5、软件限制:
主备设备的软件版本、Bootrom版本、配置文件要一致;
主备设备的运行模式要保持一致,即都是防火墙模式或UTM模式;
主备设备的虚拟防火墙的名称、数量、配置顺序必须一致;
主备设备的对应接口必须加入相同的安全区域zone;
设备设备的心跳口(HRP备份通道)配置必须一致

qq_1572902205
关注
专栏目录
主备网络实现备份自动切换功能
01-06
网络上有两条线路,分主备线路,采用优先级方式,经测试在路由接口不down掉情况下是不能完成主备切换线路的。所以产生以下解决方案。其原理是采用NQA与静态路由联动方式实现:通过在NQA、Track模块和静态路由模块之间建立联动,可以实现静态路由有效性的实时判断。
防火墙双机热备(应用场景分析及配置)
pink___floyd的博客
08-07 4806
vrrp vgmp hrp 上路下交
图文详解_安全设备的几种部署方式
最新发布
wangluo12138的博客
08-08 291
事情是这样的,前几天跟一个朋友聊天,聊到了最近的华为事件,然后聊了网络安全的各种新闻、事件,讲的头头是道。后来说起安全设备,我提了一句这个设备得路由模式部署,不然有的功能用不了。我那朋友一脸懵圈问我,啥是路由模式?WHAT?你不知道啥是路由模式?(1)串联模式顾名思义,在这种工作模式下,安全设备是串联在网络链路中的,所有的网络流量都会经过安全设备过滤,再转发出去。串联模式又分为两种,一是路由模式,二是透明模式。①路由模式路由模式也叫作网关模式,是指把安全设备当做一个路由设备或网关来使用。
主备组网方式双机热备技术
笨人须下死功夫的博客
05-26 410
FW1 1、接口IP、VRRP(VRRP加VGMP管理组)、加域 interface g0/0/1 ip add 192.168.1.253 24 vrrp vrid 1 virtual-ip 192.168.1.254 24 master vrrp virtual-mac en interface g0/0/3 ip add 10.1.1.253 24 vrrp vrid 2 virtual-ip 10.1.1.254 24 master vrrp virtual-ma...
双机热备上下行接交换机主备组网实验
谢谢爱放鸽子的博客
07-31 4474
防火墙双机热备简单实验 实验topo: 实验目的: 熟悉双机热备原理 双机热备组网规划 实验需求: 企业部署双机热备,上下行接交换机主备模式组网; 用户业务网段为10.1.1.0/24,服务器业务网段为10.1.2.0/24; 心跳链路属于192.168.1.0/28,上行互联网网段为192.168.1.16/28 现在只申请了一个公网IP地址200.1.1.1/28 FW1为主墙,实现内...
【运维心得】双宽带热备方案推荐
知止不殆
09-07 1147
记一次备机切换过程背景介绍切换步骤供应商有问题应对策略上架与测试无线路由核心交换AC控制器特殊AP处理有线路由收尾工作 背景介绍 由于之前采购的网络设备,核心交换机、路由器、AC控制器等设备都过了维保。即使购买了维保,一旦出现设备故障,由于没有备机,在短时间内由于无法立即恢复网络运行,所以经过请示,购买了第三方的备机服务,为网络通畅多保了一道关。 切换步骤 之前经历过机房搬迁等工作,对于设备的迁移...
讲讲什么是热备,冷备,云备!
java面试笔试
03-30 2173
很多同学对热备,冷备,云备了解不深,我科普一下IT行业各种备份术语。以后别闹笑话了。冷备假设你是一位女性,你有一位男朋友,于此同时你和另外一位男生暧昧不清,比朋友 好,又...
防火墙简单组网方案之双机热备
XMWS-IT
06-04 1976
实验拓扑图(画图是用的process on) 1.划分区域 2.配置防火墙AF1。 【网络配置】——【接口/区域】,并且配置好接口IP地址等信息。ETH1口配置成外网区域, ETH3定义成内网区域,将ETH2口定义成HA口。如下图: 3.接口总览 4.默认上网路由和回指路由 5.防火墙AF1 进入【高可用性】配置接口,选择本端ETH2接口作为双机通信口,填写对端地址 10.10.9.10,如下图: 6.防火墙AF1 启用双机热备,进入双击热备配置接口,点
双机热备技术
ada的博客
09-06 5652
双机热备技术 一、双机热备概述 防火墙一般用作内网到外网的出口,是业务关键路径上的设备。为了防止因一台设备故障而导致的业务中断,要求防火墙必须提供更高的可靠性,此时需要使用防火墙双机热备组网——当一台防火墙出现故障时,业务流量能平滑地切换到备份防火墙上,保证流量不中断,使内外网用户交互时完全感知不到曾经出现过网络故障。 二、双机热备基本原理 1、双机热备协议架构 (1)VRRP <1>作用 ① 负责单个接口的故障检测和流量引导。每个VRRP备份组拥有一个 虚拟IP地址 ,作为网络的网关地址;
ensp 双机热备 配置_华为防火墙实现双机热备配置详解
weixin_39845347的博客
12-19 2346
一提到防火墙,一般都会想到企业的边界设备,是内网用户与互联网的必经之路。防火墙承载了非常多的功能,比如:安全规则、IPS、文件类型过滤、内容过滤、应用层过滤等。也正是因为防火墙如此的重要,如果防火墙一旦出现问题,所有对外通信的服务都将中断,所以企业中首先要考虑的就是防火墙的优化及高可用性。博文大纲:一、双机热备工作原理二、VRRP协议(1)VRRP协议概述(2)VRRP的角色(3)VRRP的状态机...
防火墙双机热备
tyfx2015的博客
03-18 6604
防火墙双机热备1 简介介绍了双机热备的定义和由来。随着移动办公、网上购物、即时通讯、互联网金融、互联网教育等业务蓬勃发展,网络承载的业务越来越多,越来越重要。所以如何保证网络的不间断传输成为网络发展过程中急需解决的一个问题。如图1中的左图所示,防火墙部署在企业网络出口处,内外网之间的业务都会通过防火墙转发。如果防火墙出现故障,便会导致内外网之间的业务全部中断。由此可见,在这种网络关键位置上如果只使...
防火墙————双机热备
xiazhui1的博客
11-17 1616
FW部署在网络出口位置时,如果发生故障会影响到整网业务。为提升网络的可靠性,需要部署两台FW并组成双机热备双机热备需要两台硬件和软件配置均相同的FW。两台FW之间通过一条独立的链路连接,这条链路通常被称之为“心跳线”。两台FW通过心跳线了解对端的健康状况,向对端备份配置和表项(如会话表、IPSec SA等)。当一台FW出现故障时,业务流量能平滑地切换到另一台设备上处理,使业务不中断。
防火墙双机热备及入侵检测
weixin_57949883的博客
03-21 1248
相当于一个“监控系统”进行实时监控,一旦有陌生人进入或内部人员有越界行为,它会发现情况并发出警告。IDS是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它与其他网络安全设备的不同之处便在于,IDS是一种积极主动的安全防护技术。专业上来讲,IDS(入侵检测系统)就是依照一定的安全策略,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。它不跨接多个物理网段(通常只有一个监听。
现网必用的主备冗余技术,VRRP理论+配置
Bert_Wang的博客
07-13 1572
一、VRRP基础概念 1、虚拟路由冗余协议VRRP(Virtual Router Redundancy Protocol)通过把几台路由设备联合组成一台虚拟的路由设备,将虚拟路由设备的IP地址作为用户的默认网关实现与外部网络通信。当网关设备发生故障时,VRRP机制能够选举新的网关设备承担数据流量,从而保障网络的可靠通信。 2、VRRP能够在不改变组网的情况下,将多台路由器虚拟成一个虚拟路由器,通过配置虚拟路由器的IP地址为默认网关,实现网关的备份。协议版本:VRRPv2(常用)和VRRPv3(支持ipv
01-网络归划与实施设计应用主、备网络,静态路由和HSRPBGP
rwbrwy的博客
07-05 236
A simple,easy,precise,received,reliable application used Network Design@Plan... ... hsrp route-static bgp .
锐捷防火墙(WEB)——WAN优化——主备模式
君逍遥o
09-27 319
某公司有1个总公司,多个分公司。通过WAN优化功能,来进行网络优化。
【HCIE安全】双机热备-主备备份
qq_40733491的博客
07-24 4599
VRRP双机热备
ODPS主备集群双向数据复制导致主备中心网络打爆问题
阿里云开发者
11-01 426
简介:ODPS主备集群双向数据复制导致主备中心网络打爆问题1. 故障问题描述客户现场发生了ODPS主备机房相互数据全量复制导致的主备中心网络被打爆的问题,严重影响了日常运行的ODPS任务。在ODPS主备机房的环境中,用户的任务均在主机房中运行,产生的数据默认会落在主机房,通过ODPS replicationService将主机房的数据异步复制到备用机房。那么为什么会有反向同步到主机房数据的情况,需要对该问题开展排查进行根因分析。2. 故障现象在排查过程中观察关闭数据前后的机器网络负载状态,当打开数据主备复制
双机热备技术基本原理、配置流程及双机热备的故障解决
bluepangzi的博客
09-06 6481
双机热备技术一、双机热备协议架构(一)VRRP1、VRRP状态机2、VRRP状态切换3、VRRP的不足(二)VGMP1. 基本原理1)VGMP产生 一、双机热备协议架构 (一)VRRP 1、VRRP状态机   加入VRRP备份组的接口有三种状态,只有处于主用状态的设备才可响应ARP请求,转发业务报文。并且发送VRRP报文,主动联系备用设备。 配置完VRRP后,如果接口处于Up状态,则从Initialize状态进入Standby状态。 处于Standby状态的接口,如果超时未收到对端的VRRP通告报文,或
双机热备技术详解:主机、备机与应用配置
"双机热备技术是一种为了确保关键服务连续性和高可用性的解决方案,它通过设置主机和备机来防止单点故障。本指南涵盖了三种主要的双机热备模式,分别是:主机+备机、双机互备以及双机双工。这些模式根据应用场景和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值