USG5500 配置路由模式下主备备份方式的双机热备份

最新推荐文章于 2024-05-06 20:32:50 发布
最新推荐文章于 2024-05-06 20:32:50 发布
阅读量2.4k 收藏 27
点赞数 4
分类专栏: 网络运维 # 防火墙 文章标签: USG5500 双机热备 主备模式
本文为博主原创文章,未经博主允许不得转载。如有疑问,请在该文章中留言联系博主,谢谢!!
本文链接:https://blog.csdn.net/tladagio/article/details/80142104
版权

组网需求:

USG5500作为安全设备被部署在业务节点上。其中上下行设备均为交换机,USG5300A,USG5300B分别充当主设备和备用设备,且均工作在路由模式下。
网络规划如下:

  • 需要保护的网段地址为192.168.1.0/24,与USG5300的GigabitEthernet 0/0/1接口相连,部署在Trust区域中。
  • 外部网络与USG5300的GigabitEthernet 0/0/3接口相连,部署在Untrust区域。
  • 两台USG5300的HRP备份通道接口接口GigabitEthernet 0/0/2部署在DMZ区域。

其中各安全区域对应的VRRP组虚拟IP地址如下:

  • 信任区域对应的VRRP组虚拟IP为地址10.100.10.1/24
  • Untrust安全区域对应的VRRP组虚拟IP地址为202.38.10.1/24。
  • DMZ区域对应的VRRP组虚拟IP地址为10.100.20.1/24。

网络拓扑:

一、FW1操作步骤:

1、配置端口IP

[FW1]interface GigabitEthernet 0/0/1
[FW1-GigabitEthernet0/0/1] ip address 10.100.10.2 24
[FW1-GigabitEthernet0/0/1] q
[FW1]interface GigabitEthernet 0/0/2
[FW1-GigabitEthernet0/0/2] ip address 10.100.20.2 24
[FW1-GigabitEthernet0/0/2] q
[FW1]interface GigabitEthernet 0/0/3
[FW1-GigabitEthernet0/0/3] ip address 202.38.10.2 24
[FW1-GigabitEthernet0/0/3] q

2、加入对应安全区域

[FW1]firewall zone trust
[FW1-zone-trust]add  interface GigabitEthernet 0/0/1
[FW1-zone-trust] q 
[FW1]firewall zone dmz
[FW1-zone-dmz]add  interface GigabitEthernet 0/0/2
[FW1-zone-dmz] q 
[FW1]firewall zone untrust
[FW1-zone-untrust]add  interface GigabitEthernet 0/0/3
[FW1-zone-untrust] q

3、配置VRRP组的虚拟IP,注意:在使用模拟器的时候要开启虚拟MAC地址的功能,要不配置的虚IP就无法ping通(在配置VRRP组前,要先配置接口IP)

[FW1]interface GigabitEthernet 0/0/1
[FW1-GigabitEthernet0/0/1] vrrp vrid 1 virtual-ip 10.100.10.1 master
[FW1-GigabitEthernet0/0/1] vrrp virtual-mac enable
[FW1-GigabitEthernet0/0/1] q
[FW1]interface GigabitEthernet 0/0/3
[FW1-GigabitEthernet0/0/3] vrrp vrid 2 virtual-ip 202.38.10.1 master
[FW1-GigabitEthernet0/0/3] vrrp virtual-mac enable
[FW1-GigabitEthernet0/0/3] q
[FW1]interface GigabitEthernet 0/0/2
[FW1-GigabitEthernet0/0/2] vrrp vrid 3 virtual-ip 10.100.20.1 master
[FW1-GigabitEthernet0/0/2] q

4、配置HR备份通道

[FW1] hrp interface GigabitEthernet 0/0/2
[FW1] hrp enable

二、FW2操作步骤

1、配置端口IP

[FW2]interface GigabitEthernet 0/0/1
[FW2-GigabitEthernet0/0/1] ip address 10.100.10.3 24
[FW2-interface GigabitEthernet0/0/1]q
[FW2]interface GigabitEthernet 0/0/2
[FW2-GigabitEthernet0/0/2] ip address 10.100.20.3 24
[FW2-interface GigabitEthernet0/0/2]q
[FW2]interface GigabitEthernet 0/0/3
[FW2-GigabitEthernet0/0/3] ip address 202.38.10.3 24
[FW2-interface GigabitEthernet0/0/3]q

2,加入对应安全区域

[FW2]firewall zone trust
[FW2-zone-trust]add interface GigabitEthernet 0/0/1
[FW2-zone-trust] q
[FW2]firewalld zone dmz
[FW2-zone-dmz]add interface GigabitEthernet 0/0/2
[FW2-zone-dmz] q
[FW2]firewalld zone untrust
[FW2-zone-untrust]add interface GigabitEthernet 0/0/3
[FW2-zone-untrust] q

3,配置VRRP组的虚拟IP,注意:在使用模拟器的时候要开启虚拟MAC地址的功能,要不配置的虚IP就无法ping通(在配置VRRP组前,要先配置接口IP)

[FW2]interface GigabitEthernet 0/0/1
[FW2-GigabitEthernet0/0/1] vrrp vrid 1 virtual-ip 10.100.10.1 slave
[FW2-GigabitEthernet0/0/1] vrrp virtual-mac enable
[FW2-GigabitEthernet0/0/1] q
[FW2]interface GigabitEthernet 0/0/3
[FW2-GigabitEthernet0/0/3] vrrp vrid 2 virtual-ip 202.38.10.1 slave
[FW2-GigabitEthernet0/0/3] vrrp virtual-mac enable
[FW2-GigabitEthernet0/0/3] q
[FW2]interface GigabitEthernet 0/0/2
[FW2-GigabitEthernet0/0/2] vrrp vrid 3 virtual-ip 10.100.20.1 slave
[FW2-GigabitEthernet0/0/2] q

4、配置HR备份通道

[FW2] hrp interface GigabitEthernet 0/0/2
[FW2] hrp enable

5、查看VRRP和HRP状态

HRP_S[FW2]display  hrp  state
 The firewall's config state is: SLAVE

 Current state of virtual routers configured as slave:
             GigabitEthernet0/0/2    vrid   3 : slave
             GigabitEthernet0/0/3    vrid   2 : slave
             GigabitEthernet0/0/1    vrid   1 : slave

三、FW1配置

1、启动配置命令的自动备份功能,在FW1的域间防火墙策略会自动同步到FW2

HRP_M [FW1] hrp auto-sync config

2、配置turst区域到非信任区域的域间防火墙策略

HRP_M [FW1]policy interzone  trust  untrust  outbound 
HRP_M [FW1-policy-interzone-trust-untrust-outbound] policy 1
HRP_M [FW1-policy-interzone-trust-untrust-outbound-1] policy source 192.168.1.0 0.0.0.255
HRP_M [FW1-policy-interzone-trust-untrust-outbound-1] action  permit 
HRP_M [FW1-policy-interzone-trust-untrust-outbound-1] return

3、配置信任区域到非信任区域出方向的NAT策略

HRP_M [FW1] nat address-group 1 202.38.10.1 202.38.10.1

HRP_M [FW1] nat-policy interzone trust untrust  outbound 
HRP_M [FW1-nat-policy-interzone-trust-untrust-outbound] policy 1
HRP_M [FW1-nat-policy-interzone-trust-untrust-outbound-1] policy source 192.168.1.0 0.0.0.255
HRP_M [FW1-nat-policy-interzone-trust-untrust-outbound-1] action source-nat 
HRP_M [FW1-nat-policy-interzone-trust-untrust-outbound-1] address-group 1
HRP_M [FW1-nat-policy-interzone-trust-untrust-outbound-1] q

4、在FW1和FW2上添加静态路由

HRP_M [FW1] ip route-static 192.168.1.0 24 10.100.10.10
HRP_M [FW1] ip route-static 0.0.0.0 0.0.0.0 202.38.10.10

HRP_S [FW2] ip route-static 192.168.1.0 24 10.100.10.10
HRP_S [FW2] ip route-static 0.0.0.0 0.0.0.0 202.38.10.10

四、SW1操作步骤

1、划分VLAN并设置IP

[SW1] vlan batch 192 10
[SW1]interface Vlanif 10
[SW1-Vlanif10] ip address 10.100.10.10 24
[SW1-VLANIF10] q
[SW1]interface Vlanif 192
[SW1-Vlanif192] ip address 192.168.1.254 24
[SW1-Vlanif192] q

2、端口加入对应VLAN

[SW1]interface GigabitEthernet 0/0/1
[SW1-GigabitEthernet0/0/1] port link-type trunk 
[SW1-GigabitEthernet0/0/1] port trunk pvid vlan 10
[SW1-GigabitEthernet0/0/1] port trunk allow-pass vlan all 
[SW1]interface GigabitEthernet 0/0/2
[SW1-GigabitEthernet0/0/2] port link-type trunk 
[SW1-GigabitEthernet0/0/2] port trunk pvid vlan 10
[SW1-GigabitEthernet0/0/2] port trunk allow-pass vlan all 

[SW1]interface GigabitEthernet 0/0/3
[SW1-GigabitEthernet0/0/3] port link-type access 
[SW1-GigabitEthernet0/0/3] port default vlan 192
[SW1-interface GigabitEthernet 0/0/3] q
[SW1]interface GigabitEthernet 0/0/4
[SW1-GigabitEthernet0/0/4] port link-type access  
[SW1-GigabitEthernet0/0/4] port default vlan 192
[SW1-interface GigabitEthernet 0/0/4] q

3、配置路由

[SW1] ip route-static 0.0.0.0 0.0.0.0 10.100.10.1

五、SW2操作步骤

1、划分VLAN并设置IP

[SW2] vlan batch 172 202
[SW2]interface  Vlanif  172
[SW2-Vlanif172] ip address  172.16.1.254 24
[SW2-Vlanif172] q
[SW2]interface  Vlanif  202	
[SW2-Vlanif202] ip address  202.38.10.10 24
[SW2-Vlanif202] q

2、端口加入对应VLAN

[SW2]interface GigabitEthernet 0/0/3
[SW2-GigabitEthernet0/0/3] port link-type access
[SW2-GigabitEthernet0/0/3] port default vlan 172
[SW2-GigabitEthernet0/0/3] q

[SW2]interface GigabitEthernet 0/0/2
[SW2-GigabitEthernet0/0/2] port link-type trunk
[SW2-GigabitEthernet0/0/2] port trunk pvid vlan 202
[SW2-GigabitEthernet0/0/2] port trunk allow-pass vlan all
[SW2-GigabitEthernet0/0/2] q
[SW2]interface GigabitEthernet 0/0/1
[SW2-GigabitEthernet0/0/1] port link-type Trunk
[SW2-GigabitEthernet0/0/1] port trunk pvid vlan 202
[SW2-GigabitEthernet0/0/1] port trunk allow-pass vlan all
[SW2-GigabitEthernet0/0/1] q

3、配置路由

[SW2] ip route-static 0.0.0.0 0.0.0.0 202.38.10.1

4、验证,使用trust区域的192.168.1.10 ping untrust区域的172.16.1.10

然后在FW1使用:显示防火墙会话表就会看到内网IP是使用NAT地址池的IP访问出去的

HRP_M <FW1> display  firewall session table  
13:00:04 2018/04/29
 当前总会话数:4
  icmp VPN:public  - > public 192.168.1.10:19025[202.38.10.23:2290]--> 172.16.1.1
0:2048
  icmp VPN:public  - > public 192.168.1.10:19281[202.38.10.23:2291]--> 172.16.1.1
0:2048
  icmp VPN:public  - > public 192.168.1.11:20561[202.38.10.22:2278]--> 172.16.1.1
0:2048
  icmp VPN:public  - > public 192.168.1.11:20817 [202.38.10.22:2279]  - > 172.16.1.1
0:2048

 

 

 

 

友人a笔记
关注
  • 4
    点赞
  • 27
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
USG5500 配置地址池和easy-ip双出口NAT
友人A的博客
11-07 9298
一、组网需求: 1、某公司购买了两个运营商的公网IP,使公司内部用户能够通过NAT访问互联网。但是向A运营商只购买一个公网IP,所以想配置为easy-ip的NAT模式。向B运营商购买了6公网IP(202.202.202.1-202.202.202.6),所有想配置为NAT地址池模式。 另外,同一个网段的内网,指定IP的机器不能访问互联网,其他IP可以访问互联网。 2、网络拓扑 3、数据...
什么是双机热备技术?华为和思科如何实现双机热备
网络技术联盟站
06-08 2979
双机热备是一种通过在网络设备之间建立冗余的、实时同步的备份系统,以实现在主设备故障时无缝切换到备用设备的高可用性技术。双机热备通常由两个或多个相同配置的设备组成,其中一个设备处于活动状态(主设备),而其他设备处于待命状态(备用设备)。备用设备通过实时同步数据和状态信息,以便在主设备发生故障时立即接管网络服务的运行。
华为ensp中USG6000V防火墙双机热备VRRP+HRP原理及配置
最新发布
博客之路,前途漫漫
05-06 3653
华为防火墙双机热备是一种高可用性解决方案,可以将两台防火墙设备组成一个双机热备组,实现主备切换。当主用防火墙出现故障时,备用防火墙可以自动切换为新的主用防火墙,确保网络流量不中断。
华为VRRP双机热备(基于接口设置热备)
m0_60655253的博客
11-12 795
提前写好IP地址和ospf 在此处我们ar2为主设备ar3为备份设备 ar2 [Huawei]int g0/0/0 [Huawei-GigabitEthernet0/0/0]vrrp vrid 1 virtual-ip 10.1.1.111 [Huawei-GigabitEthernet0/0/0]vrrp vrid 1 priority 120 [Huawei-GigabitEthernet0/0/0]vrrp vrid 1 preempt-mode timer delay 10 ...
华为防火墙VRRP双机热备配置
qq_43432623的博客
12-05 5811
双机热备特指基于高可用系统中的两台服务器的热备(或高可用),因两机高可用在国内使用较多,故得名双机热备
华为防火墙USG双机热备实例
qq_21612759的博客
03-07 1784
防火墙的双机热备
华为防火墙双机热备(三层上下行交换机)
不定期分享一些自己的学习笔记
10-16 3396
华为防火墙双机热备(三层上下行交换机)
华为USG5500防火墙配置实验一.pdf
11-18
华为USG5500防火墙配置实验一.pdf
USG5500 统一安全网关 典型配置案例
11-12
USG5500 统一安全网关 典型配置案例
华赛防火墙USG2200&5500web配置方式
12-04
华赛防火墙USG2200&5500web配置方式
USG5500-通过多ISP接入Internet(基于ISP目的地址的多出口).docx
09-30
USG5500-通过多ISP接入Internet(基于ISP目的地址的多出口)
华为USG防火墙配置实例
03-24
USG5500系列产品是华为技术有限公司面向大中型企业和下一代数据中心推出的新一代电信级统一安全网关设备。可广泛应用于运营商、企业、政府、金融、能源、学校等领域的网络边界。USG5500系列产品部署于网络出口处,有效阻止Internet上的黑客入侵、DDoS攻击,阻止内网用户访问非法网站,限制带宽,为内部网络提供一个安全可靠的网络环境。
V5防火墙透明模式配置案例方法
10-08
V5防火墙透明模式配置案例方法,实现V5防火墙方便快捷的二层部署在原有的网络基础上
USG5500-通过多ISP接入Internet(基于源地址的多出口).docx
09-30
USG5500-通过多ISP接入Internet(基于源地址的多出口)
防火墙 双机热备A/S模式和A/A模式原理
a_island的博客
08-02 1389
主备备份模式需要将两台防火墙一台VGMP组配置为Active组,另一台配置为Standby组。当防火墙配置了负载分担模式时,两个VGMP管理组同时工作,工作原理完全相同。当其中一台设备发生故障时,另外一台设备会立即承担业务,保证原来要通过故障防火墙的业务不中断。当主用设备接口、链路或整机故障时,备用设备立即切换为主用设备,解题主用设备处理业务。负载分担方式,可以更形象的称之为互为主备,在防火墙中两个VGMP管理组总是同时工作。在主备备份模式下,总是有一个VGMP组处于未使用状态。一、主备备份模式原理。...
防火墙的几种部署模式和方法
热门推荐
居上
07-01 2万+
防火墙的部署模式 路由模式 当防火墙位于内部网络和外部网络之间时,需要将防火墙与内部网络、外部网络以及DMZ 三个区域相连的接口分别配置成不同网段的IP 地址,重新规划原有的网络拓扑,此时相当于一台路由器。 如下图所示,防火墙的Trust区域接口与公司内部网络相连,Untrust 区域接口与外部网络相连。值得注意的是,Trust 区域接口和Untrust 区域接口分别处于两个不同的子网中。 采用路由模式时,可以完成ACL 包过滤、ASPF 动态过滤、NAT 转换等功能。然而,路由模式需要对网络拓扑进行修改
防火墙——双机热备理论讲解
m0_49864110的博客
04-22 1万+
本端和对端协商失败。有可能是因为本端和对端设备的软件版本不一致、某端配置错误、对端设备的心跳接口状态为Down、HRP源或目的端口号被修改、或者底层链路不通等原因导致。会话表、SeverMap表、IP监控表、分片缓存表、GTP表、黑名单、PAT方式端口映射表、NO-PAT方式地址映射表。两台设备一主一备,正常情况下业务流量由主设备处理,当主设备故障时,业务流量平滑切换到备用设备进行处理,业务不中断。开启自动备份后,当主用设备配置了一条可备份的命令或产生了可备份的会话表状态时,会直接备份到备用设备上。
华为双机热备与NAT的结合
qq_47529104的博客
03-25 4254
拿这个图来说吧,上面是外网,下面是内网,内网使用两台防火墙做出口,然后在防火墙上面配置了NAT和NAT Server。我现在来就双机热备基础下,NAT会出现什么问题做一个讨论。 1、NAT server 问题1:(针对nat server公布的地址与出接口同网段)arp的频繁更改 这个问题是什么意思呢?如果我们要访问nat server公布出来的外网地址,那么我们的第一步肯定是进行arp操作,如果我们没有进行其他的操作和修改,那么当arp请求报文发送两台防火墙上的时候,防火墙会发现这个arp请..
华为防火墙USG5500配置方法
weixin_34248487的博客
06-15 9292
防火墙基本配置什么是防火墙?防火墙(Firewall),也称防护墙,是由Check Point创立者Gil Shwed于1793年发明并引入国际互连网(US5606668(A)1793-12-15)。它是一项信息安全的防护系统,依照特定的规则,允许或是限制传输的数据通过。在网络中,所谓“防火墙”,是指一种将内部网和公众访问网(如Internet)分开的方法,它实际上是一种隔离...
华为USG6000配置主备
08-10
配置华为USG6000的主备是为了实现设备的冗余和高可用性。以下是配置主备的步骤: 1. 准备两台USG6000设备,一台作为主设备,另一台作为备设备。 2. 将两台设备连接起来,可以使用直连线缆或者交换机。 3. 配置主设备的基本信息,包括管理IP地址、管理员账号密码等。 4. 配置备设备的基本信息,与主设备保持一致,但IP地址需要与主设备不同。 5. 在主设备上启用主备功能,并指定备设备的IP地址。 6. 在备设备上启用备份功能,并指定主设备的IP地址。 7. 配置主备设备之间的心跳监测,用于检测设备之间的连接状态。 8. 配置主备设备之间的同步通信,用于同步配置和状态信息。 9. 配置主备设备之间的状态切换策略,包括优先级、触发条件等。 10. 测试主备设备的切换功能,可以通过断开主设备的连接或者手动切换来验证。 以上是配置华为USG6000的主备的基本步骤,具体配置细节可参考华为USG6000的官方文档或向华为技术支持咨询。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

友人a笔记

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值