- 博客(18)
- 收藏
- 关注
RSS订阅原创 华三m-lag三层转发+VRRP配置案例
1.1 华三M-LAG介绍LAG(Multichassis link aggregation,跨设备链路聚合)将两台物理设备在聚合层面虚拟成一台设备来实现跨设备链路聚合,从而提供设备级冗余保护和流量负载分担。Device A与Device B形成负载分担,共同进行流量转发,当其中一台设备发生故障时,流量可以快速切换到另一台设备,保证业务的正常运行。如下图所示M-LAG设备在M-LAG系统中互为邻居,其中Device A为主设备,Device B为从设备。
2024-07-09 13:30:35
879
原创 华三多台交换机堆叠配置(环形组网)
shutdownsave forceSW2的配置:save forcerebootshutdownsave foceSW3的配置:save forcerebootshutdownsave foce。
2024-07-03 14:07:57
754
原创 华三(H3C)交换机堆叠配置
为了提高系统的可用性,当IRF分裂时我们就需要一种机制,能够检测出网络中同时存在多个IRF,并进行相应的处理,尽量降低IRF分裂对业务的影响。· 如果出现故障的是继续正常工作的IRF,则在进行MAD故障恢复前,可以通过命令行先启用Recovery状态的IRF,让它接替原IRF工作,以便保证业务尽量少受影响,再恢复MAD故障。· 如果在MAD故障恢复前,处于Recovery状态的IRF也出现了故障,则需要将故障IRF和故障链路都修复后,才能让冲突的IRF重新合并为一个IRF,恢复MAD故障。
2024-06-29 16:22:46
970
原创 防火墙学习7---虚拟系统之间互访
虚拟系统之间的互访分为直接互访和间接互访。1.直接互访:报文先进入虚拟系统vsysa,虚拟系统vsysa按照防火墙转发流程对报文进行处理。然后报文进入虚拟系统vsysb,虚拟系统vsysb再次按照防火墙转发流程对报文进行处理。具体过程如下。(1)客户端向服务器发起连接;(2)首包到达FW后,基于接口分流,被送入虚拟系统vsysa。vsysa按照防火墙转发流程对报文进行处理,包括匹配黑名单、查找路由、做NAT、匹配安全策略等等。如果vsysa不允许转发报文,则丢弃报文,流程结束;
2024-05-17 13:49:18
614
原创 防火墙学习6---引流表(跟系统与虚拟系统通过引流表互访)
在虚拟系统和根系统互访的场景中,虚拟系统和根系统都会按照防火墙转发流程对报文进行处理。针对互访的业务,虚拟系统和根系统都要配置策略、都会建立会话。这样,一方面增加了配置的复杂性,另一方面,每条连接都需要两条会话,业务量大时,会造成整机的会话资源紧张。通过配置引流表,可以解决上述问题。引流表中记录的是IP地址和虚拟系统的归属关系。如下的引流表,表示10.3.0.8这个IP地址属于虚拟系统vsysa。其中,第一个10.3.0.8是这个网段的起始地址,第二个10.3.0.8是这个网段的结束地址。
2024-05-16 23:00:32
748
原创 防火墙学习4---虚拟系统相关概念介绍
防火墙的虚拟系统(Virtual System)是在一台物理设备上划分出的多台相互独立的逻辑设备。每个虚拟系统相当于一台真实的设备。有自己的接口、地址集、用户/组、路由表项以及策略。每个虚拟系统由独立的管理员进行管理,使得多个虚拟系统的管理更加清晰简单,所以非常适合大规模的组网环境。每个虚拟系统拥有独立的配置及路由表项,这使得虚拟系统下的局域网即使使用了相同的地址范围,仍然可以正常进行通信。可以为每个虚拟系统分配固定的系统资源,保证不会因为一个虚拟系统的业务繁忙而影响其他虚拟系统。
2024-05-14 14:45:12
1893
原创 防火墙学习2---防火墙直路部署,上行连接路由器(OSPF),下行连接交换机
备注:本人学习华为防火墙的笔记记录方式,如有错误,请指出。一、组网需求如下图所示,两台FW的业务接口都工作在三层,上行连接路由器,下行连接二层交换机。FW与路由器之间运行OSPF协议。现在希望两台FW以主备备份方式工作。正常情况下,流量通过FW_A转发。当FW_A出现故障时,流量通过FW_B转发,保证业务不中断。
2024-05-12 13:13:32
521
原创 防火墙学习1---防火墙直路部署,上下行连接路由器主备组网
备注:本人学习华为防火墙的笔记记录方式,如有错误,请指出。无任何错误引导网友想法。FW部署在网络出口位置时,如果发生故障会影响到整网业务。为提升网络的可靠性,需要部署两台FW并组成双机热备。双机热备需要两台硬件和软件配置均相同的FW。两台FW之间通过一条独立的链路连接,这条链路通常被称之为“心跳线”。两台FW通过心跳线了解对端的健康状况,向对端备份配置和表项(如会话表、IPSec SA等)。当一台FW出现故障时,业务流量能平滑地切换到另一台设备上处理,使业务不中断。
2024-05-11 12:46:13
782
1
原创 FTP配置(设备分别作为client和server)
FTP(File Transfer Protocol,文件传输协议),它工作在 OSI 模型的第七层, TCP 模型的第四层, 即应用层, 使用 TCP 传输而不是 UDP, 客户在和服务器建立连接前要经过一个“三次握手”的过程, 保证客户与服务器之间的连接是可靠的, 而且是面向连接, 为数据传输提供可靠保证。(3)在AR2上面登录FTP服务器,上传test.txt文件,下载AR-S6280-S.txt到本地AR2上面。get:下载文件,下载的是单个文件(get 文件名称)mget是下载多个文件。
2024-05-06 16:04:43
426
原创 NAT之双出口环境下私网用户通过NAPT访问Internet
总结:防火墙上面针对不同的ISP并且属于不同的安全区域时,要注意安全策略的细节之处;在web界面配置思路和命令行界面的配置思路是相同的。在PC上面ping测试Internet的loopback0,并在防火墙上面查看(第一个包不通是因为ARP解析)某企业部署华为防火墙作为出口网关设备,分别从ISP1和ISP2购买宽带服务,实现内网用户上网需求。(4)配置源NAT策略,实现私网指定网段访问Internet时自动进行源地址转换。(2)当一条链路出现故障时,流量可以被及时切换到另一条链路上,避免业务中断。
2024-05-05 22:14:30
490
3
原创 源NAT介绍之NAT(no-pat)
Unr即用户网络路由user network route的简写,按照平时的理解,路由一般都有很明确的协议,比如ospf、bgp、static等,可以通过ospf、bgp等从其他设备学习路由,也可以通过本地发布的方式发布路由,如静态路由、黑洞路由等;但是unr路由并没有类似明确的协议,一般来说,要产生路由,首先要在接口上配置ip,再其次是配置IP的端口需要UP,然后才会产生本地路由,出现在本地路由表;3. 当地址池地址与出接口地址一致时,不会产生路由环路,不需要配置黑洞路由。,无法直接undo删除。
2024-05-04 13:29:24
996
1
原创 VRRP+BFD联动实现快速切换
客户局域网的PC主机通过交换机LSW1双归部署了VRRP备份组R1和R2,其中R1为VRRP的master设备,R2为VRRP的backup设备;用户希望当R1到LSW1或者R1出现故障的时候,主备网关切换小于1ms,减少出现故障时对业务的影响。在R1上配置VRRP与BFD联动,当BFD会话状态Down时,RouterB的优先级减少30。4、将R1的gi0/0/0接口shutdown,模拟故障,并查看VRRP与BFD状态。1.配置R1、R2、R3设备各个接口地址以及OSPF配置。查看VRRP的状态信息。
2024-04-28 17:10:45
390
原创 配置基于OSPF的GRE隧道
(2)在FW1和FW2上面配置OSPF协议,宣告私网网段以及tunnel接口网段,通过tunnel接口建立邻居关系;总结:在防火墙上面配置GRE VPN最重要的点就是注意防火墙上面的安全策略需要放行相关的流量,否则隧道无法建立。(1)在防火墙FW1和FW2上面配置tunnel接口,封装相关信息;(3)在FW1和FW2上面创建安全策略,放行相关流量通过。(3)在FW1上面配置OSPF并进行tunnel接口的封装。(4)在FW2上面配置OSPF并封装tunnel接口。(5)在FW1上面配置安全策略。
2024-04-27 14:14:51
398
原创 配置GRE通过静态路由实现IPv4协议互通
GRE(Generic Routing Encapsulation)通用路由封装协议可以对某些网络层协议(如IPX、ATM、IPv6、AppleTalk等)的数据报文进行封装,使这些被封装的数据报文能够在另一个网络层协议(如IPv4)中传输。②在AR2和AR3上创建Tunnel接口,创建GRE隧道,并在AR2和AR3上配置经过Tunnel接口的静态路由,使PC1和PC2之间的流量通过GRE隧道传输,实现PC1和PC2互通。GRE提供了将一种协议的报文封装在另一种协议报文中的机制,是一种三层隧道封装技术。
2024-04-24 16:15:55
894
原创 华为、华三、锐捷个厂商DHCP配置
虽然不同厂商的命令有区别,但是DHCP工作原理是相同的,当DHCP需要跨越三层网络进行IP地址的分配时,只要打通彼此之间的网络,并且在中继设备上面开启DHCP服务,使用DHCP中继命令指向正确的服务器即可。下图为拓扑图,地址为192.168.10.0/24,地址池名称为bg,从dhcp地址池可以获取IP地址、掩码、网关、DNS等信息;下图为拓扑图,地址为192.168.10.0/24,地址池名称为bg,从dhcp地址池可以获取IP地址、掩码、网关、DNS等信息;客户端续延IP地址租期时也会发出该报文。
2024-03-23 17:40:00
2159
1
原创 静态路由实现VPN实例和非VPN实例之间流量互访
客户希望自己VPN-instance实例中的网段192.168.10.0/24和非VPN-instance实例中的网段10.10.10.0/24相互通信,即客户机PC1(192.168.10.10)可以访问PC2(10.10.10.10)。综上所述:在vpn-instance实例的路由表中添加去往非vpn-instance实例网段路由信息,并且下一跳时非vpn-instance绑定的接口(即公共路由表)的静态路由时,请添加public参数,保证添加的路由可以生效。说明上面步骤(3)配置静态路由没有生效。
2024-03-20 20:16:15
1982
1
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人