HCIE-Security Day14:防火墙双机热备实验(二)防火墙直路部署,上下行连接路由器

已于 2022-02-17 14:44:10 修改
阅读量4.6k 收藏 10
点赞数 2
分类专栏: HCIE-Security 文章标签: 网络 网络协议 安全
于 2022-02-17 14:41:26 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36813857/article/details/122955645
版权

 

vgmp与vrrp的配合只适用于防火墙连接二层设备的组网,如果上下行设备是路由器,就不能使用vrrp备份组,这时vgmp组直接监控接口状态来进行故障监控。具体是直接将接口加入vgmp组,当vgmp组中的接口故障时,vgmp组会直接感知到接口状态变化,从而降低自身优先级。

实验二:防火墙直路部署,上下行连接路由器

需求和拓扑

两台FW的业务接口都工作在三层,上下行分别连接路由器。FW与上下行路由器之间运行OSPF协议。现在希望两台FW以主备备份方式工作。正常情况下,流量通过FW_A转发。当FW_A出现故障时,流量通过FW_B转发,保证业务不中断。

操作步骤

1、配置接口ip和安全区域

2、配置ospf路由

r1/r2/r3/r4/f1/f2开启ospf进程1,将相连网段加入区域0

3、配置双机热备功能

3.1 配置vgmp组监控上下行业务接口

//f1/f2

hrp track interface GigabitEthernet1/0/0
hrp track interface GigabitEthernet1/0/1

3.2 配置根据vgmp状态调整ospf cost值功能,配置这个命令后,fw发布ospf路由时,会判断自身是主用设备还是备用设备,如果是主用设备,fw会把学习到的路由直接发布出去,如果是备用设备,fw会增加cost值后再将路由发布出去,这样上下行路由器在计算路由时,就能将下一跳指向主用设备,并把报文转发到主用设备上。 

<
最低0.47元/天 解锁文章
信封同学
关注
专栏目录
防火墙双机热备实验
earthtoearth的博客
07-11 861
实验目的:在FW1和FW2上设置双机热备配置VRRP虚拟地址及IPSECvpn,实现与FW3能够通过互访。(三)在内网R1/FW1/FW2上配置ospf并宣告路由10.1.0.0。(一)按拓扑所示配置接口地址(此处省略)()在防火墙配置默认路由指向公网地址。(一)配置防火墙双机热备。一、实验目的及网络拓扑。
初创公司办公网搭建-防火墙(用H3C MER3220企业路由器)搭建
qq178327552的博客
12-15 3958
初创公司办公网搭建背景公司需求H3C MER3200企业路由器搭建访问控制端外网配置内网配置开启防火墙防护内网间安全策略补充 背景   初创公司团队不少都不会请网络工程师搭建办公网络,所以一般办公网络问题不出意外都堆到了公司一堆可爱的码农身上….   本人四年java工程师,去年跟公司领导出来创立公司,当时搭建那防火墙可没少抓我头皮。现在一朋友也在初创公司团队,搬来设备让我帮他研究配置办公网络,我...
HCIE-Security Day16:防火墙双机热备实验(四)防火墙直路部署,上行连接路由器(OSPF),下行连接交换机
小梁的博客
02-18 2210
目录 需求和拓扑 操作步骤 1、配置接口ip和安全区域 2、配置ospf动态路由 3、配置双机热备 3.1 配置vrrp备份组 3.2 配置心跳线 3.3 配置检测上行链路 3.4 开启双机热备 4、配置安全策略 验证和分析 1、检查vrrp备份组建立情况 2、检查vgmp组状态 3、检查r3的路由情况 4、检查f1和f2通告的一类lsa情况 5、在f1和f2上检查到达r3的路由情况 实验四:防火墙直路部署,上行连接路由器(OSPF),下行连接交换机 需求...
HCIE-Security Day13:防火墙双机热备实验(一)防火墙直路部署上下行连接交换机
小梁的博客
02-15 2286
实验一:防火墙直路部署上下行连接交换机 需求和拓扑 企业的两台FW的业务接口都工作在三层,上下行分别连接层交换机。上行交换机连接运营商的接入点,运营商为企业分配的IP地址为1.1.1.1。现在希望两台FW以主备备份方式工作。正常情况下,流量通过FW_A转发。当FW_A出现故障时,流量通过FW_B转发,保证业务不中断。 操作步骤 1、配置接口地址和安全区域 注意心跳线要加入同一安全区域,内网设备的默认网关地址是vrrp备份组2的虚拟ip地址。 2、配置路由 ...
防火墙直路部署上下行连接路由器的主备备份组网
Tony_long7483的博客
10-14 839
1.untrust区域基本IP地址配置 [AR3-GigabitEthernet0/0/0]ip add 20.1.1.3 24 [AR3-GigabitEthernet0/0/1]ip add 20.1.4.3 24 [AR3-GigabitEthernet0/0/2]ip add 20.1.3.3 24 [AR4-GigabitEthernet0/0/0]ip add 20.1.2.4 24 [AR4-GigabitEthernet0/0/1]ip add 20.1.4.4 24 [AR4-Giga.
防火墙可靠性之---双机热备技术(上下行接口连接设备
zljszn的博客
10-25 1216
hrp interface GigabitEthernet1/0/2 remote 192.168.1.20 //指定的是对端心跳接口的IP地址。hrp mirror session enable //启用HRP会话快速备份,主要是为了防止数据包来回的路径不一致导致无法通信的情况。把交换机的g0/0/1接口shutdown掉,发现R1 telnet R2的连接是不会断开的。
HCIE-Security Day15:防火墙双机热备实验(三)防火墙透明接入,上下行连接交换机
小梁的博客
02-18 3933
如果防火墙上下行都接入层交换机,则其上下行接口也都应该配置接口,没有ip地址,所以vgmp组无法通过使用vrrp备份组或者直接检测接口状态,这时vgmp组使用的故障监测方法是通过vlan监控接口状态。 具体是将接口加入vlan,vgmp组监控vlan,通过控制vlan是否转发流量的方式来保证流量引导到主用设备上。当vgmp组状态为active,组内的vlan转发流量,如果vgmp组状态为standby,组内的vlan被禁用,不能转发流量。 当vgmp组中的接口故障时,vgmp组会通过...
HCIE-Security Day17:防火墙双机热备实验(五):防火墙旁挂交换机,交换机静态路由引流
小梁的博客
02-19 1万+
双机热备比较常见的是旁挂部署在数据中心核心交换机上,且两台防火墙之间形成双机热备。 目录 旁挂组网的优点 实验五:防火墙旁挂交换机,交换机静态路由引流 需求和拓扑 操作步骤 1、公网部分 2、防火墙部分 3、核心交换部分 4、汇聚交换部分 5、接入交换部分 验证和分析 旁挂组网的优点 1、可以在不改变现有网络物理拓扑的情况下,将防火墙部署网络中。 2、可以有选择低将通过核心交换机的流量引导到防火墙上,即对需要进行安全检测的流量引导到防火墙上进行处理,对不需要进行...
防火墙技术案例5_双机热备(负载分担)组网下的IPSec配置.pdf
11-26
防火墙技术案例5_双机热备(负载分担)组网下的IPSec配置.pdf
防火墙双机热备
tyfx2015的博客
03-18 6540
防火墙双机热备1 简介介绍了双机热备的定义和由来。随着移动办公、网上购物、即时通讯、互联网金融、互联网教育等业务蓬勃发展,网络承载的业务越来越多,越来越重要。所以如何保证网络的不间断传输成为网络发展过程中急需解决的一个问题。如图1中的左图所示,防火墙部署在企业网络出口处,内外网之间的业务都会通过防火墙转发。如果防火墙出现故障,便会导致内外网之间的业务全部中断。由此可见,在这种网络关键位置上如果只使...
连接防火墙/路由器的几种方式
_V_
05-08 1万+
连接防火墙路由器的几种工具: putty:PuTTY是一个SSH和telnet客户端,最初由Simon Tatham为Windows平台开发。PuTTY:是一个开源软件,提供源代码.用起来简单方便(如果连接上有乱码修改一下transfer):putty下载链接 Xshell:是一个强大的安全终端模拟软件,它支持SSH1, SSH2, 以及Microsoft Windows 平台的TELNET 协...
防火墙的路由配置(内网连接外网)
热门推荐
luoye_xiaochao的博客
03-11 2万+
通过配置防火墙实现路由功能,使得内网能够访问外网
华为防火墙(VRRP)
j2669283004的博客
12-10 4989
一、双机热备概述 华为的双机热备是通过部署两台或多台防火墙实现热备及负载均衡,两台防火墙相互协同工作,犹如一个更大的防火墙。 1.1、双机热备模式 热备模式 同一时间只有一台防火墙转发数据包,其他防火墙不转发数据包,但是会同步会话表及Server-map表。 负载均衡模式 同一时间,多台防火墙同时转发数据,但每个防火墙又作为其他防火墙的备用设备,即每个防火墙即是主用设备也是备用设备防火墙之间同步会话表及Server-map表。 1.2、双机热备需求 两台防火墙用于心跳线的接口加...
防火墙双击热备实验
最新发布
weixin_62976579的博客
11-03 805
sys[USG6000V1]sy FW1分别进入三个接口配置IP地址[FW1]int g1/0/1[FW1-GigabitEthernet1/0/1]ip add 10.1.2.1 24[FW1-GigabitEthernet1/0/1]int g1/0/3[FW1-GigabitEthernet1/0/3]ip add 30.1.1.1 24[FW1-GigabitEthernet1/0/3]int g1/0/4[FW1-GigabitEthernet1/0/4]ip add 40
防火墙双机热备,DHCP服务器,核心交换机负载分担及冗余设计
m0_63775189的博客
09-15 7257
本章涵盖了防火墙双机热备技术、核心交换机vrrp负载分担技术、DHCP技术、mstp技术、链路聚合技术、wlan技术、nat技术、防火墙技术等
3-防火墙高可靠性
qianlai22的博客
04-01 2657
1.IP-Link技术 IP-link定义 IP-Link是指FW通过向指定的目的IP周期性地发送探测报文并等待应答,来判断链路是否发生故障。 FW发送探测报文后,在三个探测周期(默认为15s)内未收到响应报文,则认为当前链路发生故障,IP-Link的状态变为Down。随后,FW会进行IP-Link Down相关的后续操作,例如双机热备主备切换等。 当链路从故障中恢复,FW能连续地收到3个响应报文,则认为链路故障已经消除,IP-Link的状态变为Up。也就是说,链路故障恢复后,IP-Link
"HCIE-Security双机热备备考指南:掌握知识点,理解原理
HCIE-Security备考指南——双机热备是一本针对网络安全专业人士备考HCIE-Security考试而编写的指南。本指南涵盖了双机热备需要掌握的知识点,并详细介绍了双机热备的原理和描述。 在网络安全领域,双机热备是一种...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

信封同学

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值