防火墙双机热备配置实例(三)

最新推荐文章于 2024-10-14 09:06:04 发布
最新推荐文章于 2024-10-14 09:06:04 发布
阅读量2.7k 收藏 28
点赞数 4
分类专栏: HCIE安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_40228200/article/details/119304609
版权

今天继续给大家介绍HCIE安全系列相关内容。本文以华为eNSP模拟器为例,实现了配置防火墙双击热备技术配置实例,采用的是上下行交换机配置VRRP的主备模式。
阅读本文,您需要有一定的防火墙配置基础和防火墙双机热备理论基础,如果您对此还存在困惑,欢迎查阅我博客内的其他文章,相信您一定会有所收获!
推荐先导文章阅读:
VGMP协议详解
HRP协议详解
防火墙双机热备技术详解

一、实验拓扑及要求

在这里插入图片描述
实验拓扑如上所示,现在要求FW1和FW1配置防火墙双机热备,上下行设备路由器,在整个拓扑内运行OSPF协议,实现路由传递。双机热备配置主备备份模式,通过调整OSPF的优先级实现故障切换。

二、实验配置命令

(一)HRP相关配置

在本实验中,HRP相关配置如下:

 hrp enable
 hrp interface Eth-Trunk1 remote 192.168.0.2
 hrp mirror session enable
 hrp track interface GigabitEthernet1/0/0
 hrp track interface GigabitEthernet1/0/1

除此之外,还需要配置Eth-Trunk口相关IP地址、子接口和区域配置,在这里就不赘述了,相关配置还可以查看后面的防火墙代码附录。

(二)运行OSPF相关配置

在本实验中,当防火墙与对端路由器运行OSPF协议时,必须在防火墙上安全策略方面放行OSPF报文,相关配置如下:

security-policy
 rule name OSPF
  source-zone trust
  source-zone untrust
  destination-zone local
  service ospf
  action permit

三、实验现象

(一)Trust区域和Untrust区域通信

在这里插入图片描述

(二)查看防火墙双机热备状态

在这里插入图片描述
从上图可以看出,本端设备状态为Active,对端设备为Active,即可判断防火墙处于主备备份模式。

四、附录——防火墙相关配置命令

FW1实验相关配置如下:

 hrp enable
 hrp interface Eth-Trunk1 remote 192.168.0.2
 hrp mirror session enable
 hrp track interface GigabitEthernet1/0/0
 hrp track interface GigabitEthernet1/0/1
#
interface GigabitEthernet0/0/0
 undo shutdown
 ip binding vpn-instance default
 ip address 192.168.0.1 255.255.255.0
 alias GE0/METH
#
interface GigabitEthernet1/0/0
 undo shutdown
 ip address 150.1.1.10 255.255.255.0
#
interface GigabitEthernet1/0/1
 undo shutdown
 ip address 192.168.1.10 255.255.255.0
#
interface GigabitEthernet1/0/5
 undo shutdown
 eth-trunk 1
#
interface GigabitEthernet1/0/6
 undo shutdown
 eth-trunk 1
#
firewall zone trust
 set priority 85
 add interface GigabitEthernet0/0/0
 add interface GigabitEthernet1/0/1
#
firewall zone untrust
 set priority 5
 add interface GigabitEthernet1/0/0
#
firewall zone dmz
 set priority 50
 add interface Eth-Trunk1
#
ospf 1
 area 0.0.0.0
  network 150.1.1.0 0.0.0.255
  network 192.168.1.0 0.0.0.255
#
security-policy
 rule name OSPF
  source-zone trust
  source-zone untrust
  destination-zone local
  service ospf
  action permit
 rule name ping
  source-zone trust
  destination-zone untrust
  service icmp
  action permit
#

原创不易,转载请说明出处:https://blog.csdn.net/weixin_40228200/article/details/119304609

永远是少年啊
关注
专栏目录
迪普防火墙FW1000普通双机热备配置
Jian Sun_的博客
05-05 2641
一、组网图 二、 端口聚合配置 配置接口地址 四、配置普通双机热备 五、配置安全域 六、配置地址对象 七、配置服务对象 八、配置静态路由 九、配置VRRP 十、配置NAT地址池 十一、配置源NAT 十二、配置目的NAT 十配置包过滤策略
防火墙技术案例5_双机热备(负载分担)组网下的IPSec配置.pdf
11-26
防火墙技术案例5_双机热备(负载分担)组网下的IPSec配置.pdf
防火墙防火墙双机热备
2301_76769041的博客
08-30 5467
双机热备需要两台硬件和软件配置均相同的华为防火墙,两台华为防火墙之间通过一条独立的链路连接,这条链路通常被称之为“心跳线”,两台华为防火墙通过心跳线了解对端的健康状况,向对端备份配置和表项(如会话表、IPSec SA等),当一台防火墙出现故障时,业务流量能平滑地切换到另一台设备上处理,使业务不中断。
华为防火墙双机热备配置案例(VRRP、HRP)
最新发布
WXDCSDN的博客
10-14 2371
华为防火墙双机热备配置案例(VRRP、HRP)
防火墙双机热备
Jianyu's blog
04-04 593
防火墙双机热备 文章目录防火墙双机热备实验环境实验目的具体步骤结果测试总结 实验环境 实验目的 实现防火墙双机热备 注意:这里的VGMP、HRP协议为华为独有协议 具体步骤 1.规划网络并配置IP PC1 IP:192.168.1.3 掩码 24 网关:192.168.1.100 R1 <Huawei>sys [Huawei]sys R1 [R1]int g0/0/0 [R1-GigabitEthernet0/0/0]ip ad 200.1.1.3 24 [R1-GigabitEthern
网站服务器双机热备,LVS-DR+Keepalived网站服务器双机热备配置
weixin_34384824的博客
08-01 257
keepalived是一个类似于layer3, 4 & 7交换机制的软件,也就是我们平时说的第3层、第4层和第7层交换。Keepalived是自动完成,不需人工干涉。调度服务器:需要在LVS的基础上面做。参考上两节:负载均衡群集之一LVS-DR:http://blog.51cto.com/13572519/2084197负载均衡群集之—LVS-NAT:http://blog.51cto.c...
防火墙双机热备
qixusiyu的博客
07-16 1061
因为VRRP彼此是独立的,所以,一个VRRP组进行切换不会直接导致其他组同步切换,在防火墙双机热备场景下,上下有两个VRRP组,需要同步切换,使用传统的上行链路监控,比较复杂,所以,设计了VGMP协议,来对VRRP组进行统一的切换管理。hello报文周期就是保活报文的发送周期,默认是1S,可以修改,但是,需要两边同时修改,否则可能导致对接不上hello报文周期就是保活报文的发送周期,默认是1S,可以修改,但是,需要两边同时修改,否则可能导致对接不上。3,快速备份 : 该备份方式仅针对负载分担的场景。
高可靠性部署系列(1)--- 防火墙双机热备
接华为网络、网安方向小组作业,期末作业,课程设计、毕设等,有意可私信留言。
04-25 1169
本文介绍混合模式部署的主备备份的防火墙双机热备系统。
华为防火墙双机热备层上下行交换机)
不定期分享一些自己的学习笔记
10-16 3572
华为防火墙双机热备层上下行交换机)
Windows Server 2019 双机热备(MSCS)下Sql Server 2019 群集部署-图文
03-27
《Windows Server 2019 双机热备(MSCS)下Sql Server 2019 群集部署详解》 Windows Server 2019 的微软群集服务(MSCS)与Sql Server 2019的群集部署是一项旨在提高企业数据库系统高可用性的关键技术。这种双机热备...
防火墙双机热备配置实例(一)
永远是少年
07-31 4735
今天继续给大家介绍HCIE安全。本文以华为eNSP模拟器为例,实现了配置防火墙双击热备技术配置实例,采用的是上下行交换机配置VRRP的主备模式。 一、实验目的及拓扑 实验拓扑如上所示,现在两台防火墙上下行设备都是交换机,防火墙都是运行于路由模式,现在要求按照图示要求配置防火墙A/S模式双机热备组网。 二、实验配置命令 (一)接口VRRP配置命令 在本实验中,防火墙双机热备检测的是接口上的VRRP状态,其命令配置与普通VRRP配置大致相同,但是vrrp后面必须配置active或者standby表明此VRRP
防火墙双机热备配置
zszfs的博客
10-26 3012
防火墙双机热备实验
防火墙双机热备
qq_67758645的博客
07-17 1781
因为VRRP彼此是独立的,所以,一个VRRP组进行切换不会其他组同步切换,而在防火墙双机热备场景下,上下有俩个VRRP组,需要同步切换,使用传统的上行链路监控,比肩复杂,因为要监控所有的接口。冷备的概念:仅工作一台设备,备份一台设备,备份设备仅同步配置,并不工作,只有主设备出现故障时,再由管理员替换工作,冷备可能会造成较长时间的业务中断。每个组里面有两个状态,一个active状态,一个standby状态。5,FW2的VGMP组状态发生变化,则组中的VRRP组的状态同步发生变化,都从standby切。
理论+实操:防火墙双机热备
Lfwthotpt的博客
02-15 5550
文章目录一:双机热备的工作原理1.1 双机热备概述1.2 VRRP(虚拟路由冗余协议Virtual Router Redundancy Protocol)1.3 VGMP二:双机热备配置2.1 双击热备的备份方式2.2 开启双机热备功能2.3 配置自动备份模式2.4 配置手工批量备份模式2.5 配置快速备份模式2.6 连接路由器时的双机热备:实操配置3.1 环境3.2 需求3.3 思路步骤3.4...
防火墙--双机热备
banliyaoguai的博客
07-17 1497
当有接口坏掉了,接口成了过度状态,VGMP就会发现自己管理的VRRP组出现故障,VGMP就会降低自己的优先级,VGMP默认优先级(这里优先级和VRRP中不同)主设备组为65001,备份设备组65000。B和D也无法建立邻居关系,然后如果主设备坏了,是不是就要切换到备用设备上,然后B和D要重新建立邻居关系。再创建一个VGMP组,两台设备互为两个VGMP组的主设备,然后这种情况可能会两条链路都会走,如下图上去的时候走1这边,下去的时候走二这边,所以是不是两台设备需要快速同步状态信息,不然业务就会收到影响。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

永远是少年啊

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值