园区基础网络配置系列——华三防火墙双机主备

最新推荐文章于 2025-03-13 10:04:11 发布
最新推荐文章于 2025-03-13 10:04:11 发布
阅读量5.7k 收藏 43
点赞数 6
分类专栏: 网络设备 文章标签: 网络 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46167705/article/details/129746289
版权
该文详细介绍了如何配置H3C-F100-S-G3设备进行双机主备设置,包括Web版RBM的版本检查与升级,以及主机和备机的HA、VRRP、接口和安全策略配置。在主机和备机上分别配置了VRRP虚拟网关地址,并通过安全区和策略实现流量控制。最后展示了设备的主备状态及手动倒换命令。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

前言:

基础拓扑结构
在这里插入图片描述
设备型号:H3C-F100-S-G3
需求:双机主备

Web版-RBM配置

1, 先查看版本号

在这里插入图片描述

2, 升级版本

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

3, 配置HA-备机
在这里插入图片描述

在这里插入图片描述
在这里插入图片描述

4, 配置vrrp-备机

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

5, 配置接口-备机

在这里插入图片描述

在这里插入图片描述

6, 配置安全策略

在这里插入图片描述

HA-主机

在这里插入图片描述

Vrrp-主机

在这里插入图片描述

在这里插入图片描述

接口-主机

在这里插入图片描述

在这里插入图片描述

状态

在这里插入图片描述

命令行-RBM配置

FW- A主机配置如下:

#
interface GigabitEthernet1/0/0
 ip address 192.168.1.2 255.255.255.0
 vrrp vrid 1 virtual-ip 192.168.1.1 active   
//配置VRRP虚拟网关地址,并于HA关联,设置初始角色为Master

#
interface GigabitEthernet1/0/1
 ip address 192.168.0.1 255.255.255.0

#
interface GigabitEthernet1/0/2
 ip address 192.168.2.2 255.255.255.0
 vrrp vrid 2 virtual-ip 192.168.2.1 active  

#
security-zone name Trust
 import interface GigabitEthernet1/0/2

#
security-zone name Untrust
 import interface GigabitEthernet1/0/0

#
security-policy ip
 rule 1 name 1
  action pass

#HA关键配置
remote-backup group
 data-channel interface GigabitEthernet1/0/9
 configuration sync-check interval 12
 local-ip 1.1.1.1
 remote-ip 1.1.1.2
 device-role primary
#

FW- B备机配置如下:

#
interface GigabitEthernet1/0/0
 ip address 192.168.1.3 255.255.255.0
 vrrp vrid 1 virtual-ip 192.168.1.1 standby

#
interface GigabitEthernet1/0/1
 ip address 192.168.0.1 255.255.255.0

#
interface GigabitEthernet1/0/2
 ip address 192.168.2.3 255.255.255.0
 vrrp vrid 2 virtual-ip 192.168.2.1 standby

# 
security-zone name Trust
 import interface GigabitEthernet1/0/2

#
security-zone name Untrust
 import interface GigabitEthernet1/0/0

#
remote-backup group
 data-channel interface GigabitEthernet1/0/9
 configuration sync-check interval 12
 local-ip 1.1.1.2
 remote-ip 1.1.1.1
 device-role secondary

查看主设备状态:

RBM[H3C] dis remote-backup-group status
Remote backup group information:
  Backup mode: Active/standby
  Device management role: Primary
  Device running status: Standby
  Data channel interface: GigabitEthernet1/0/9
  Local IP: 1.1.1.1
  Remote IP: 1.1.1.2    Destination port: 60064
  Control channel status: Connected
  Keepalive interval: 1s
  Keepalive count: 10
  Configuration consistency check interval: 12 hour
  Configuration consistency check result: Not Performed
  Configuration backup status: Auto sync enabled
  Session backup status: Hot backup enabled
  Delay-time: 0 min
  Uptime since last switchover: 0 days, 0 hours, 4 minutes
  Switchover records:  倒换记录
    Time                  Status change        Cause
    2022-04-07 14:37:25   Active to Standby    Interface status changed
    2022-04-07 14:34:16   Active to Active     Keepalive link established

在这里插入图片描述

RBM[H3C] remote-backup g
RBM[H3C-remote-backup-group] switchover request    //手工触发HA主备倒换
⑧RBM(主备/主主)-二层部署案例
qq_56248592的博客
03-29 1061
华三的RBM(Routing and Bridging Module)是一种二层网络组网技术,它结合了路由和桥接的功能,旨在实现更灵活和高效的网络通信。RBM技术可以实现对数据包的路由和转发,同时具备数据包的桥接功能,为组织构建更为弹性和可靠的网络提供了可能。在华三RBM二层组网中,网络设备利用交换机之间的链路来建立网络连接,交换机之间通过二层协议进行通信和转发数据包。总的来说,华三RBM二层组网技术结合了路由和桥接的优势,能够提供更灵活、高效和可靠的网络通信解决方案,适用于各种规模的网络环境。
H3C防火墙双机热备实验
m0_62621003的博客
08-11 5768
primary:表示设备为HA中的主管理设备。PS:secondary:表示设备为HA中的从管理设备。configuration sync-check interval 1 开启一致性配置检查,1小时检查一次,默认为24小时。standby:设置VRRP备份组与HA关联,当前路由器加入到VRRP Standby组中,设备初始角色为Backup。active:设置VRRP备份组与HA关联,当前路由器加入到VRRP Active组中,设备初始角色为Master。
H3C SetchPath F1000e 防火墙双机热备
01-06
H3C SetchPath F1000e 防火墙双机热备。里面有二层和三层配置方法都有。
H3C-防火墙HA配置(主备)
qq_55707182的博客
04-28 1万+
1、所有接口IP已配置 2、S6850_3、S6850_4均为二层交换机 3、SR-88为路由器,G0/0/1接口桥接到外网 4、配置FW1 两个端口加入安全区域 配置默认路由指向路由器 配置安全策略,用于内外网通信(trust to untrust) 配置安全策略规则,允许VRRP协议报文通过。当HA通道断时,使Device A与Device B之间可以交换VRRP报文,进行VRRP角色竞选,保证网络互通 配置高可靠性,配置心跳接口G1/0/2,配置本端心跳地址1.1...
防火墙双机热备,主备备份双机热备
2301_77023501的博客
11-17 968
双机热备需要两台硬件和软件配置均相同的FW。两台FW之间通过一条独立的链路连接,这条链路通常被称之为“心跳线”。两台FW通过心跳线了解对端的健康状况,向对端备份配置和表项(如会话表、IPSec SA等)。当一台FW出现故障时,业务流量能平滑地切换到另一台设备上处理,使业务不中断。
华三防火墙-HA主备模式
最新发布
qq_53146347的博客
03-13 865
在完成主备实验后在内网中加入服务器对外提供访问服务,通过防火墙将业务映射到出接口IP上,内网服务器端口81,21,完成后测试功能。网络中接入两台防火墙做虚拟冗余,需满足出现单点故障时候自主进行主从切换,如图中左防火墙为主墙,右防火墙为备墙,IP信息下表。1.进入主防火墙系统配置-高可用性-高可用性配置界面开启高可用性功能,配置心跳口IP和主从模式。2.查看当前主防火墙主从状态已从主切换为备,虚拟IP也已切换为未生效状态。2.查看当前备防火墙主从状态已从备切换为主,虚拟IP也已切换为生效状态。
华三防火墙HA主备组网
weixin_66969509的博客
01-17 1048
如下图所示,某公司以Device作为网络边界安全防护设备,连接公司内部网络和Internet。为提高业务稳定性,使用两台Device进行HA组网,Device A作为主设备,Device B作为备设备。当Device A或其链路发生故障时,由Device B接替Device A继续工作,保证业务不中断。
防火墙双机热备配置及组网指导
07-16
防火墙双机热备配置及组网指导: 防火墙双机热备典型组网 防火墙双机热备命令行说明 ……
防火墙双机热备
Limit_23的博客
07-27 2207
FW_A作为VRRP备份组1和3的Master设备,VRRP备份组2和4的Backup设备;分别将两台交换机的三个接口加入同一个VLAN(华为设备接口默认在VLAN 1),将内网PC1的默认网关设置为VRRP备份组3的虚拟IP地址10.3.0.1,内网Client1的默认网关设置为VRRP备份组4的虚拟IP地址10.3.0.2。配置R1接口地址,且在Router上配置到内网的等价路由,路由下一跳分别指向VRRP备份组1和VRRP备份组2的虚拟IP地址。双机热备状态成功建立后,在FW_A上配置安全策略。
防火墙 双机热备直路部署--上下三层配置
one piece的博客
02-01 728
双机热备直路部署 -- 上下三层双机热备直路部署的特点是防火墙接口都是三层工作模式,相当于防火墙在进行路由部署。
H3C 推荐2台防火墙用RBM+VRRP做双主配置
normanhere的博客
05-10 3507
RBM是H3C私有防火墙HA技术,默认能够管理同步VRRP状态信息;同步2台防火墙之间的状态化信息,同步安全策略。但是RBM链路不跑流量。和IRF之间的区别就是没有2台防火墙之间的横向流量,也就不存在堆叠造成的各种问题。但是需要分别配置2台防火墙。H3C目前推荐防火墙高可用使用RBM+VRRP实现,如果内网网关设置为1个,即VRRP组为1, 则防火墙为主备模式;故障时切换(毫秒级)。如果内网网关设置为多个,VRRP组为2个,则防火墙为主主模式,互为2个组的主备。
H3C华三 SecPath防火墙WEB管理的典型配置
11-30
H3C华三 SecPath防火墙WEB管理的典型配置
华三防火墙安全策略配置
热门推荐
weixin_46322576的博客
02-07 1万+
1.组网需求 ⑴ leadership和staff之间通过FW1实现互连,该公司的工作时间为每周工作日的8点到18点。 ⑵ 通过配置安全策略规则,允许leadership在任意时间、staff在工作时间访问外网。 2. 组网图 3. 配置步骤 (1) 配置接口IP地址、路由保证网络可达。 [FW1]int g1/0/2 [FW1-GigabitEthernet1/0/2]nat outbound [FW1-GigabitEthernet1/0/2]ip addre...
华三防火墙-IPsec VPN配置
qq_53146347的博客
04-20 2686
公司需要搭建VPN让子公司连接内网服务器直接获取内网数据,使用IPsec VPN进行对接,预共享密钥:123456。
华为防火墙实现双机热备配置详解
小健健的博客
10-26 1万+
一提到防火墙,一般都会想到企业的边界设备,是内网用户与互联网的必经之路。防火墙承载了非常多的功能,比如:安全规则、IPS、文件类型过滤、内容过滤、应用层过滤等。也正是因为防火墙如此的重要,如果防火墙一旦出现问题,所有对外通信的服务都将中断,所以企业中首先要考虑的就是防火墙的优化及高可用性。 博文大纲:一、双机热备工作原理二、VRRP协议(1)VRRP协议概述(2)VRRP的角色(3)VRRP的状...
华三防火墙配置指导_防火墙部署的秘密之单条物理链路(3-终)
weixin_39921087的博客
12-01 2309
1.1客户现状1、某客户总公司内网采用双核心二层架构,即两台核心交换机采用网络设备虚拟化技术虚拟成一台交换机,服务器业务地址网关、用户地址网关和设备管理地址网关配置虚拟交换机上。客户内部无可用的交换机,因此,服务器通过网线直连到核心上。2、客户总公司核心交换机及分公司A核心交换机之间通过运营商专线互联,核心交换机之前运行OSPFv2协议。3、客户总公司存在一台IPsec VPN设备(设备网关部署,...
华三防火墙配置指导_100人局域网配置实战,一文教会你
weixin_39688870的博客
11-21 2458
’100人内规模网络100人内规模算小微企业,其实网络非常简单。直接购买一台设备就能解决问题,比如路由交换一体机或者路由交换安全一体机。如果网络接口不够用,再接一台二层交换机即可,二层交换机即插即用,无需任何配置(常见二层交换机华为5720S、华三5130S、锐捷2900E)。网络拓扑与产品选型路由交换一体机比如RSR20-X-28,支持4个路由接口,最多可以接运营商4条链路。另外还支持24个交换...
【防火墙】防火墙双机热备
2301_76769041的博客
08-30 6325
双机热备需要两台硬件和软件配置均相同的华为防火墙,两台华为防火墙之间通过一条独立的链路连接,这条链路通常被称之为“心跳线”,两台华为防火墙通过心跳线了解对端的健康状况,向对端备份配置和表项(如会话表、IPSec SA等),当一台防火墙出现故障时,业务流量能平滑地切换到另一台设备上处理,使业务不中断。
华三防火墙双机热备负载分担
01-10
### H3C 防火墙双机热备与负载分担配置指南 #### 双机热备 (HSRP/VRID) 为了实现H3C防火墙之间的高可用性和冗余,通常采用Hot Standby Router Protocol (HSRP) 或 Virtual Router Redundancy Protocol (VRRP)[^1]。这些协议允许两台或多台路由器形成一个虚拟路由器组,其中一台作为活动路由器处理流量,另一台则处于待命状态准备接管。 对于H3C设备而言,设置过程涉及以下几个方面: - **定义接口IP地址**:确保每台防火墙上都有相同的虚拟网关IP地址。 ```bash system-view interface GigabitEthernet 0/0/1 ip address 192.168.1.1 255.255.255.0 ``` - **创建HRSP实例并指定优先级** ```bash hrsp enable hrsp group 1 timer delay up-time 1 down-time 1 priority 100 preempt ip 192.168.1.254 active exit ``` 上述命令将在GigabitEthernet端口上启用HSRP服务,并设定该节点为活跃成员;如果发生故障,则会自动切换到备用单元继续提供服务。 #### 负载均衡策略 当涉及到多条链路间的流量分配时,可以利用静态路由、动态路由或是更复杂的基于应用层的调度算法来达成目的。具体来说,在H3C防火墙上可以通过如下方式实施简单的源NAT加权轮询机制来进行基本形式上的负载平衡操作: - **配置SNAT规则** ```bash nat server protocol tcp global current-interface www inside 172.16.10.1 www acl number 2000 rule permit source any destination 172.16.10.1 0.0.0.0 nat outbound 2000 ``` 此段脚本指定了内部服务器对外映射的具体参数以及相应的访问控制列表ACL用于匹配符合条件的数据包执行转换动作. 另外一种更为灵活的方法是通过Smart Policy功能模块完成更加精细粒度下的业务导向型分流决策流程设计. ---
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

茉清语

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值