防火墙技术基础篇:eNSP配置防火墙主备备份的双机热备

已于 2024-05-30 10:27:22 修改
阅读量1.2k 收藏 15
点赞数 30
分类专栏: 防火墙技术基础篇 文章标签: 网络 防火墙 防火墙功能 防火墙配置 双机热备 防火墙主备备份
于 2024-05-29 10:31:11 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39241682/article/details/139287031
版权

防火墙技术基础篇:配置主备备份的双机热备

防火墙双机热备(High Availability, HA)技术是网络安全中的一个关键组成部分,通过它,我们可以确保网络环境的高可靠性和高可用性。下面我们一起来了解防火墙双机热备的基本原理、主要工作模式。

一、基本原理

防火墙双机热备技术的基础是将两台(或更多)防火墙设备组成一个高可用性(HA)集群,这些防火墙在网络出口位置进行协同工作。一旦主防火墙出现故障,备份防火墙会立即接管业务流量,确保网络通信的连续性。此技术主要涉及以下三个核心协议:

VRRP(Virtual Router Redundancy Protocol):虚拟路由冗余协议,提供网关冗余,通过虚拟IP地址实现无缝接管。
VGMP(Virtual Gateway Management Protocol):虚拟网关管理协议,负责多台防火墙设备的同步和管理。
HRP(Hot Standby Routing Protocol):热备路由协议,负责在主备防火墙之间同步会话状态和配置。

二、主要工作模式

防火墙双机热备主要有以下两种工作模式:

主备备份模式:在这种模式下,两台防火墙设备分为主设备和备设备。平时业务流量由主设备处理,备设备处于待机状态,仅在主设备故障时才接管业务。
负载分担模式:两台防火墙设备共同处理流量,彼此分担负载,提高整体的处理能力和效率。当某一设备故障时,另一设备会接管其流量。

接下来我们通过一个简单的实验来演示防火墙双机热备(主备模式)的配置过程以及具体的效果。

实验步骤

一、FW1配置

1 FW1基础IP地址配置

1.1 配置g1/0/1

1.2 配置g1/0/6

1.3 配置g1/0/2

2 将FW1将接口加入安全区域

2.1 将接口g1/0/2加入trust

2.2 将g1/0/6加入dmz区域

2.3 将g1/0/1加入untrust区域

3 配置默认路由访问外网

[USG6000V1]ip route-static 0.0.0.0 0 1.1.1.10

4 配置VRRP备份组

4.1 配置VRRP备份组1为master

4.2 配置VRRP备份组2为master

5 指定心跳口和对端的IP地址

[USG6000V1]hrp interface GigabitEthernet 1/0/6 remote 10.10.0.2

6 开启双击热备

1 FW2配置

1 FW2基础IP地址配置

1.1配置g1/0/1

1.2配置g1/0/6

1.3 配置g1/0/2

2 将FW2将接口加入安全区域

2.1 将接口g1/0/2加入trust

2.2 将g1/0/6加入dmz区域

2.3 将g1/0/1加入untrust区域

3 配置默认路由访问外网

[USG6000V1]ip route-static 0.0.0.0 0 1.1.1.10

4 配置VRRP备份组

4.1 配置VRRP备份组1为backup

4.2 配置VRRP备份组2为backup

5 指定心跳口和对端的IP地址

[USG6000V1]hrp interface GigabitEthernet 1/0/6 remote 10.10.0.1

6 开启双击热备

2 配置转发策略(在FW1配置即可)

3.1 配置安全策略

因为开启了双机热备功能,并且FW1为master所以只需在FW1配置,然后自动备份到FW2

HRP_M[USG6000V1]security-policy
HRP_M[USG6000V1-policy-security]rule name to_un
HRP_M[USG6000V1-policy-security-rule-to_un]source-zone trust
HRP_M[USG6000V1-policy-security-rule-to_un]destination-zone untrust
HRP_M[USG6000V1-policy-security-rule-to_un]source-address 10.3.0.0 24
HRP_M[USG6000V1-policy-security-rule-to_un]action permit
HRP_M[USG6000V1-policy-security-rule-to_un]dis th

3.2 配置源NAT地址池

3.3 配置NAT转发策略


HRP_M[USG6000V1]nat-policy
HRP_M[USG6000V1-policy-nat]rule name nat1
HRP_M[USG6000V1-policy-nat-rule-nat1]source-zone trust
HRP_M[USG6000V1-policy-nat-rule-nat1]destination-zone untrust
HRP_M[USG6000V1-policy-nat-rule-nat1]source-address 10.3.0.0 24
HRP_M[USG6000V1-policy-nat-rule-nat1]action source-nat address-group test
HRP_M[USG6000V1-policy-nat-rule-nat1]dis th

3 配置路由器

4 查看配置有没有同步到FW2

在FW2上可以看到nat地址池,这个操作我们并没有在FW2上执行过,是通过双机热备进行备份的

5 查看双机热备状态

下面还有vrrp 备份组2的信息,篇幅太长,就不截图了

七、测试双击热备切换

7.1 设置PC1的IP地址,向路由器发起ping



查看防火墙会话表,流量从FW1转发

7.2 从PC不间断ping路由器,然后断开FW1的g1/0/1接口,模拟链路故障,再查看ping的状态

这里发现丢了两个数据包,之后就恢复转发了,防火墙发生了主备切换

查看FW1双击热备状态,发现FW1的vrrp备份组1处于初始化状态,vrrp2处于备份状态


查看FW2的双机热备组状态,发现FW2的vrrp备份组1处于master状态,vrrp2也处于master状态

7.3 恢复FW1的链路故障,查看双击热备的状态

当链路故障恢复后,FW1会恢复他的master状态,因为我们在配置的时候指定的FW1的身份为master

云计算练习生
关注
  • 30
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
防火墙双机热备技术
qq_43704340的博客
10-27 2312
备份/冗余:提高网络的可靠性,防止单点故障 二层冗余机制:STP,链路聚合,浮动静态路由,VRRP虚拟路由器冗余协议,HA高可用性,热备,冷备 热备:通过冗余技术/协议实现动态的主备切换/负载分担 可靠性高 冷备:备份设备下电状态,当主设备失效后,进行物理替换 节省费用(电费) 双机热备技术产生的原因: 1.防火墙通过VRRP协议实现备份主备设备会话表无法同步 2.通过防火墙的流量路径来回不一致造成数据丢失(不同VRRP组主备切换不一致) 防火墙双机热备: 组成: VRRP虚拟路由器冗余
主备备份防火墙双机热备.pdf
12-14
主备备份防火墙双机热备.pdf
HUAWEI-Ensp模拟器 双机热备传统方式.docx
11-12
HUAWEI-Ensp模拟器上实现双机热备(传统方式),适合学生在做实验时遇到错误查看是否命令有错误。
华为防火墙(NGFW)的双机热备
坏坏-5的博客
07-15 2973
关于华为防火墙双机热备技术的介绍以及简单实验配置
eNSP配置OSPF实现路由器双机热备
m0_68735537的博客
04-29 806
验证PC1访问外网走出口1,且电信故障可自动切换出口2。PC2访问外网走出口2,且移动故障后可自动切换到出口1。(2)再宣告给其他设备 default-route-advertise always type 1。dis IP route-table (查看路由表,检查是否配置成功)tracert 目标地址 (检查ping到目标地址的路径)以上配置完成后三个pc机都可ping自己的网关。acl 2000 (acl 编号2000)三层及路由设备配置ospf并宣告网段。(1)AR1和AR2配置默认路由。
ENSP配置防火墙和路由器双机热备
10-22
涉及的技术NAT、VRRP、OSPF、HA、VGMP,里面含命令和讲解,在我的博客上面有写Cisco的配置欢迎大家一起交流学习
防火墙在企业园区出口安全方案中的应用(ENSP实现)
Shass的博客
01-25 2562
该方案描述了防火墙在企业园区网络的Internet出口处的典型应用。如果您想在企业网络出口部署防火墙,完全可以借鉴此案例。该方案诠释了双机热备的经典组网:“防火墙上行连接交换机,下行连接三层设备”。我们可以借此理解双机热备的典型应用。该方案展现了防火墙作为网关的多出口选路能力,包括:全局智能选路和策略路由智能选路等功能。该方案还体现了防火墙的应用识别和控制能力。防火墙不仅能够识别端口信息,还能够识别各种应用,并且能够根据应用进行访问控制、策略路由和流量控制。
ensp基于防火墙USG5500配置的安全策略
weixin_73918876的博客
11-09 3905
需要注意的是,防火墙并非是绝对的安全措施,因此建议综合使用其他安全措施,如安全软件、定期更新软件补丁和培训用户安全意识,以建立全面的网络安全防护体系。记录和审计:防火墙通常具备记录和审计功能,可以记录进出网络的流量、事件和安全日志。拦截恶意软件:防火墙可以检测和拦截传播恶意软件(如病毒、蠕虫和特洛伊木马)的网络流量,从而保护计算机和网络免受感染和数据泄露的风险。阻止未经授权的访问:防火墙可以识别和拦截来自未经授权的用户或恶意攻击者的网络流量,以防止他们进入受保护的网络和系统。步骤二、配置防火墙
有了这个网络安全面试题,面试就像开了挂!(附PDF)
lvaolan的博客
02-26 494
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!​​​​内容实在太多,不一一截图了。
ensp——防火墙安全策略配置实验
热门推荐
ChenD的学习笔记
11-08 1万+
ensp——防火墙配置初体验
配置防火墙双机热备
最新发布
m0_75102488的博客
06-16 518
华为eNSP防火墙配置
【高级 / HA】(6.0) ❀ 08. 不同型号的防火墙主备 - VRRP ❀ FortiGate 防火墙
防火墙技术专栏
09-16 5286
  【简介】我们知道做HA主备,必须要用两台相同型号、相同固件的防火墙,但很多企业会遇到这种情况,就是早期有一台型号较早的防火墙,然后又只采购了一台型号比较新的防火墙,有没有办法让老防火墙也发挥余热呢?  网络拓朴   我们可以利用VRRP技术,使新防火墙在出现故障后,老防火墙能够自动接替上去,不影响网络的正常访问,从而达到与HA一样的主备目的。   由于两台防火墙都连接到路由和核心......
防火墙基础配置1_ensp防火墙配置_ensp华为防火墙配置_
09-29
这是我自己制作的关于ensp防火墙的基本配置文件
第九课:eNSP VRRP虚拟路由冗余协议配置教程(防火墙双机热备
12-18
第九课:eNSP VRRP虚拟路由冗余协议配置教程(防火墙双机热备
防御保护--防火墙双机热备
m0_72210904的博客
01-29 1211
一开始,我们FW1将 两个VRRP组都拉入VGMP_ACTIVE组中,因为ACTIVE组的状态时active,所以,里面 两个vrrp组的状态也是active(VGMP组的状态决定了VRRP组的状态),FW2同理。原主设备在接受到对方的应答报文之 后,因为将其VGMP组状态切换,所以,同时将其内部的VRRP组状态由原来的active状 态切换为standby状态(注意,故障接口依旧保持init的状态。但是,因为这里启用VGMP在,则VRRP 切换状态将由VGMP接管,VRRP的机制名存实亡。
防火墙 双机热备配置(主备备份和负载分担模式)
one piece的博客
02-01 940
1. 根据网段划分配置IP地址和安全区域。
ensp防火墙控制案例(防火墙控制无线,内网,dmz,外网,cloud云)
wudongfang666的专栏
04-24 1691
验证,如果让内网可以访问局域网,可以增加trust to guest 的策略,测试结果如下,第一、需要在trust区域内的交换机增加路由表到192.168.1.0网络的表项,第二、防火墙配置增加通过规则。出错点:私有ip分配的范围,开始用公网ip了,怎么也ping不同,后来改成私网ip就正常了,ap收敛时间比较长,多等待一些。#启动自动获取ip,在vlan192和vlan102里面分别设置,即ap自动获取ip,无线链接自动获取ip。#各个vlan的ip地址 ,无线链接的设备自动获取ip,对应上面地址池。
实验 | 利用华为eNSP进行防火墙主备配置
网络技术联盟站
08-06 1930
局域网中有一台主机名为“PC1”的路由器,充当局域网内的客户端计算机,主机名为“AR1”的路由器充当客户端计算机的网关,FW1 为活动防火墙,F2 为备用防火墙,公共网络中有一台路由器充当互联网,另一台主机名为“PC2”的路由器充当计算机,FW1的接口GE1/0/3与FW2的接口GE1/0/3相连,用于心跳链路。在 FW1 上,将防火墙规则配置为允许流量,如下所示,我们不需要在 FW2 上配置此规则,此规则会自动从 FW1 复制到 FW2。然后,让我们如下配置 IP 和 OSPF 路由协议。
ensp防火墙概述与命令总结
qq_55803921的博客
07-19 1万+
防火墙概述与命令总结0713 防火墙的基本概述:安全策略:0714 防火墙的NAT策略:server nat:pat与no-pat做法:域内nat做法:0715 防火墙双机热备:在防火墙配置VGMP:0717 防火墙的GRE封装:gre在防火墙上应用:防火墙中的telnet配置防火墙中ssh配置: 0713 防火墙的基本概述: 防火墙分为: 框式防火墙 盒式防火墙 软件防火墙(公有云、私有云) 我们目前学习的是状态检测防火墙: 通过检查首包的五元组,来保证出入数据包的安全 隔离
eNSP查错IPsec 网关主备双机热备的命令
06-11
如果您使用的是华为 eNSP 网络模拟平台,可以通过以下命令来查错 IPSec 网关主备双机热备: 1. 检查主备设备状态信息 ``` display ha state ``` 该命令可以查看设备的 HA 状态信息,包括当前设备的角色(Active/Standby)、心跳检测状态、同步状态等。 2. 检查 IPSec 隧道状态信息 ``` display ipsec sa ``` 该命令可以查看 IPSec 隧道的状态信息,包括隧道的数量、建立状态、流量信息等。 3. 检查 IPSec 配置信息 ``` display current-configuration | include ipsec ``` 该命令可以查看 IPSec 的配置信息,包括预共享密钥、加密算法、哈希算法等参数。 4. 检查日志信息 ``` display logbuffer ``` 该命令可以查看设备的日志信息,包括系统日志、安全日志、调试日志等。通过查看日志信息,可以及时发现异常报错信息,并进行排查处理。 以上是一些常用的查错 IPSec 网关主备双机热备的命令,适用于华为 eNSP 网络模拟平台。如果您还有其他问题,欢迎继续提问。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值