HCIE-Security Day16:防火墙双机热备实验(四)防火墙直路部署,上行连接路由器(OSPF),下行连接交换机

最新推荐文章于 2024-10-17 11:34:13 发布
最新推荐文章于 2024-10-17 11:34:13 发布
阅读量2.2k 收藏 9
点赞数 1
分类专栏: HCIE-Security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36813857/article/details/122996051
版权
本实验详细介绍了如何配置防火墙直路部署,防火墙上行通过OSPF连接路由器,下行连接交换机,并实现双机热备。配置包括接口IP、安全区域、OSPF动态路由、VRRP备份组、心跳线及上行链路检测。在故障发生时,流量能自动切换,确保业务连续性。
摘要由CSDN通过智能技术生成

目录

需求和拓扑

操作步骤

1、配置接口ip和安全区域

2、配置ospf动态路由

3、配置双机热备

3.1 配置vrrp备份组

3.2 配置心跳线

3.3 配置检测上行链路

3.4 开启双机热备

4、配置安全策略

验证和分析

1、检查vrrp备份组建立情况

2、检查vgmp组状态

3、检查r3的路由情况

4、检查f1和f2通告的一类lsa情况

5、在f1和f2上检查到达r3的路由情况

实验四:防火墙直路部署,上行连接路由器(OSPF),下行连接交换机

需求和拓扑

两台FW的业务接口都工作在三层,上行连接路由器,下行连接二层交换机。FW与路由器之间运行OSPF协议。现在希望两台FW以主备备份方式工作。正常情况下,流量通过FW_A转发。当FW_A出现故障时,流量通过FW_B转发,保证业务不中断。

分析:上行由于连接路由器,无法配置vrrp备份组,所以只能在下行配置vrrp备份组,同时为了监控上行链路,需要配置hrp检测上行链路。即这是一个单vrrp备份组配合动态路由的双机热备案例。

操作步骤

1、配置接口ip和安全区域

2、配置ospf动态路由

配置完成后应该r3能够和r1、r2建立ospf邻居关系,r1和r2分别和fw1和fw2建立邻居关系,fw1能够和fw2、r1建立邻居关系,fw2能够和fw1、r2建立邻居关系。

r3上检查是否存在由fw1/fw2发布的10.3.0.0/24的路由,fw1/fw2上检查是否存在由r3发布3.3.3.3/32的路由。

f1
dis ip routing-table | inc 3.3.3.3
   

Destination/Mask    Proto   Pre  Cost      Flags NextHop         Interface

        3.3.3.3/32  OSPF    10   2           D   10.2.0.2        GigabitEthernet1/0/1

f2
dis ip routing-table | inc 3.3.3.3

Destination/Mask    Proto   Pre  Cost      Flags NextHop         Interface

        3.3.3.3/32  OSPF    10   2       D   10.2.1.2            GigabitEthernet1/0/1
r3
<r3>dis ip routing-table | inc 10.3.0.0
      

Destination/Mask    Proto   Pre  Cost      Flags NextHop         Interface

10.3.0.0/24  OSPF    10   3           D   13.1.1.1        GigabitEthernet0/0/0
10.3.0.0/24  OSPF    10   3           D   23.1.1.2        GigabitEthernet0/0/1

注意这时候,r3去往10.3.0.0/24网段的下一跳是负载的,即经过f1和f2的开销是一样的。

3、配置双机

最低0.47元/天 解锁文章
信封同学
关注
专栏目录
防火墙双机热备实验
earthtoearth的博客
07-11 889
实验目的:在FW1和FW2上设置双机热备、配置VRRP虚拟地址及IPSECvpn,实现与FW3能够通过互访。(三)在内网R1/FW1/FW2上配置ospf并宣告路由10.1.0.0。(一)按拓扑所示配置接口地址(此处省略)(二)在防火墙上配置默认路由指向公网地址。(一)配置防火墙双机热备。一、实验目的及网络拓扑。
防火墙双机热备实验
weixin_64033212的博客
04-04 305
HRP_M[USG6000V1]telnet server enable //开启Telnet服务。HRP_M[USG6000V1]telnet server enable //开启Telnet服务。
HCIE-Security Day15:防火墙双机热备实验(三)防火墙透明接入,上下行连接交换机
小梁的博客
02-18 3989
如果防火墙下行都接入二层交换机,则其上下行接口也都应该配置成二层接口,没有ip地址,所以vgmp组无法通过使用vrrp备份组或者直接检测接口状态,这时vgmp组使用的故障监测方法是通过vlan监控接口状态。 具体是将二层接口加入vlan,vgmp组监控vlan,通过控制vlan是否转发流量的方式来保证流量引导到主用设备上。当vgmp组状态为active,组内的vlan转发流量,如果vgmp组状态为standby,组内的vlan被禁用,不能转发流量。 当vgmp组中的接口故障时,vgmp组会通过...
HCIE-Security Day14:防火墙双机热备实验(二)防火墙直路部署,上下行连接路由器
小梁的博客
02-17 4688
vgmp与vrrp的配合只适用于防火墙连接二层设备的组网, 实验二:防火墙直路部署,上下行连接路由器 需求和拓扑 两台FW的业务接口都工作在三层,上下行分别连接路由器。FW与上下行路由器之间运行OSPF协议。现在希望两台FW以主备备份方式工作。正常情况下,流量通过FW_A转发。当FW_A出现故障时,流量通过FW_B转发,保证业务不中断。 操作步骤 1、配置接口ip和安全区域 2、配置ospf路由 r1/r2/r3/r4/f1/f2开启ospf进程1,将相连网段加入区域0 3、
HCIE-Security Day13:防火墙双机热备实验(一)防火墙直路部署,上下行连接交换机
小梁的博客
02-15 2340
实验一:防火墙直路部署,上下行连接交换机 需求和拓扑 企业的两台FW的业务接口都工作在三层,上下行分别连接二层交换机上行交换机连接运营商的接入点,运营商为企业分配的IP地址为1.1.1.1。现在希望两台FW以主备备份方式工作。正常情况下,流量通过FW_A转发。当FW_A出现故障时,流量通过FW_B转发,保证业务不中断。 操作步骤 1、配置接口地址和安全区域 注意心跳线要加入同一安全区域,内网设备的默认网关地址是vrrp备份组2的虚拟ip地址。 2、配置路由 ...
HCIE-Security Day17:防火墙双机热备实验(五):防火墙旁挂交换机交换机静态路由引流
热门推荐
小梁的博客
02-19 1万+
双机热备比较常见的是旁挂部署在数据中心核心交换机上,且两台防火墙之间形成双机热备。 目录 旁挂组网的优点 实验五:防火墙旁挂交换机交换机静态路由引流 需求和拓扑 操作步骤 1、公网部分 2、防火墙部分 3、核心交换部分 4、汇聚交换部分 5、接入交换部分 验证和分析 旁挂组网的优点 1、可以在不改变现有网络物理拓扑的情况下,将防火墙部署到网络中。 2、可以有选择低将通过核心交换机的流量引导到防火墙上,即对需要进行安全检测的流量引导到防火墙上进行处理,对不需要进行...
防火墙双机热备实验.zip
03-03
防火墙双机热备实验
防火墙双机热备技术(实验
zljszn的博客
10-14 1259
这里需要注意的是不但是内网的接口需要运行VRRP,外网的接口也需要运行VRRP,而且两端的接口要加入同一个VRRP的组才能实现虚拟冗余技术,内网的VRRP组配置的虚拟IP充当内网主机的网关实现冗余备份,后面添加了active的命令的意思是说哪台路由器在VRRP的组当中充当master,因为master在VRRP组当中是充当流量转发的任务的,而backup是充当master的备份,这里就不详细讲了,可以参观datacom文章中VRRP的章节。
防火墙双机热备配置实验
ChenD的学习笔记
12-12 2863
一、实验拓扑 二、配置云 三、配置防火墙 、分配FW的接口地址与安全区域 五、按图示进行配置 六、双机热备的配置 七、配置NAT 八、模拟双机热备的切 防火墙双机热备配置实验
网络安全之防火墙 双机热备实验
qq_57289939的博客
03-31 2207
点击系统-->高可用-->双机热备热备-->配置。配置的IP地址需要与自己电脑所开启的。因为配置了同步,所以此时FW2也自动。华为防火墙默认用户名 ---断开SW2的0/0/1端口。FW2新建虚拟IP地址池。配置 g 1/0/0 口。配置 g 1/0/1 口。配置 g 1/0/0 口。配置 g 1/0/1 口。FW1新建虚拟IP地址池。,但要求两个端口可以。
eNSP防火墙双机热备实验
最新发布
weixin_44656518的博客
10-17 1082
防火墙双机热备(Firewall High Availability, 简称HA)是一种提高网络安全设备(如防火墙)可靠性和可用性的技术方案。通过部署两台防火墙设备(主备两台),实现设备之间的冗余和故障切换,当其中一台防火墙出现故障时,另一台能够自动接管,确保网络服务不中断。
防火墙学习1---防火墙直路部署,上下行连接路由器主备组网
weixin_48030849的博客
05-11 1060
备注:本人学习华为防火墙的笔记记录方式,如有错误,请指出。无任何错误引导网友想法。FW部署在网络出口位置时,如果发生故障会影响到整网业务。为提升网络的可靠性,需要部署两台FW并组成双机热备双机热备需要两台硬件和软件配置均相同的FW。两台FW之间通过一条独立的链路连接,这条链路通常被称之为“心跳线”。两台FW通过心跳线了解对端的健康状况,向对端备份配置和表项(如会话表、IPSec SA等)。当一台FW出现故障时,业务流量能平滑地切换到另一台设备上处理,使业务不中断。
防火墙小试——部分(书接上回)流量控制
aimnr的博客
07-16 339
对现有网络进行改造升级,将当个防火墙组网改成双机热备的组网形式,做负载分担模式,游客区和DMZ区走FW3,生产区和办公区的流量走FW1 办公区上网用户限制流量不超过100M,其中销售部人员在其基础上限制流量不超过60M,且销售部一共10人,每人限制流量不超过6M 销售部保证email应用在办公时间至少可以使用10M的带宽,每个人至少1M 移动链路采用的是100M的带宽,要求游客区用户仅能占用50M,并且基于在线地址进行动态均分
防火墙双机热备带宽管理综合实验
m0_52326740的博客
07-16 713
内网就dmz区有服务器,然后下行流量不超过40M就是下行带宽最大40M,DMZ中的每台服务器限制对外提供的最大下行带宽不超过20M也就是说外网用户到DMZ区的下行的服务器每台最大为20M。5,生产区访问DMZ区时,需要进行protal认证,设立生产区用户组织架构,至少包含三个部门,每个部门三个用户,用户统一密码openlab123,首次。链路开启过载保护,保护阈值80%;13,办公区上网用户限制流量不超过100M,其中销售部人员在其基础上限制流量不超过60M,且销售部一共10人,每人限制流量不超过6M。
华为防火墙 双机热备负载均衡实验
荆盼的博客
12-27 7166
双机热备 FW1的配置 FW2的配置 interface GigabitEthernet 1/0/1  ip address 10.1.1.2 255.255.255.0  vrrp vrid 1 virtual-ip 10.1.1.1 255.255.255.0 active //将接口GE1/0/1加入VRRP备份...
"HCIE-Security双机热备备考指南:掌握知识点,理解原理
HCIE-Security备考指南——双机热备是一本针对网络安全专业人士备考HCIE-Security考试而编写的指南。本指南涵盖了双机热备需要掌握的知识点,并详细介绍了双机热备的原理和描述。 在网络安全领域,双机热备是一种...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

信封同学

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值