防火墙学习1---防火墙直路部署,上下行连接路由器主备组网

最新推荐文章于 2024-07-03 19:13:40 发布
最新推荐文章于 2024-07-03 19:13:40 发布
阅读量735 收藏 14
点赞数 6
分类专栏: 网络 文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_48030849/article/details/138709263
版权

备注:本人学习华为防火墙的笔记记录方式,如有错误,请指出。无任何错误引导网友想法。

双击热备:

FW部署在网络出口位置时,如果发生故障会影响到整网业务。为提升网络的可靠性,需要部署两台FW并组成双机热备。

双机热备需要两台硬件和软件配置均相同的FW。两台FW之间通过一条独立的链路连接,这条链路通常被称之为“心跳线”。两台FW通过心跳线了解对端的健康状况,向对端备份配置和表项(如会话表、IPSec SA等)。当一台FW出现故障时,业务流量能平滑地切换到另一台设备上处理,使业务不中断。

FW支持主备备份和负载分担模式两种运行模式。

主备备份模式:两台设备一主一备。正常情况下业务流量由主用设备处理。当主用设备故障时,备用设备接替主用设备处理业务流量,保证业务不中断。

负载分担模式:两台设备互为主备。正常情况下两台设备共同分担整网的业务流量。当其中一台设备故障时,另外一台设备会承担其业务,保证原本通过该设备转发的业务不中断。

目录

一、组网需求

二、组网架构

三、具体步骤

1.路由器R1配置:

2.路由器R2配置:

3.路由器ISP配置:

4.路由器R3配置:

5.路由器R4配置:

6.防火墙配置:

​四、查看相关状态

五、验证双机热备现象

一、组网需求

如下图所示,两台FW的业务接口都工作在三层,上下行分别连接路由器。FW与上下行路由器之间运行OSPF协议。现在希望两台FW以主备备份方式工作。正常情况下,流量通过FW1转发。当FW1出现故障时,流量通过FW2转发,保证业务不中断。

二、组网架构

三、具体步骤

1.路由器R1配置:

2.路由器R2配置:

3.路由器ISP配置:

4.路由器R3配置:

5.路由器R4配置:

6.防火墙配置:

①配置FW1的IP地址,并将其加入到firewall安全区域中,配置OSPF

②配置FW1的IP地址,并将其加入到firewall安全区域中,配置OSPF

③FW1的双机热备配置:

④FW2的双机热备配置

⑤配置防火墙的安全策略


四、查看相关状态

查看防火墙的OSPF状态

在FW1查看防火墙的VGMP状态:

在FW2上面查看防火墙的VGMP状态:

由上面两张图可以看到,FW1处于主用状态,FW2处于备用状态。当处于备用状态时,会将OSPF发布的路由信息cost修改为65500.

五、验证双机热备现象

首先查看FW1作为主用路径时的路径信息:

由上图可以看到,此时内网用户访问8.8.8.8是通过FW1,R1访问ISP的。

将FW1的g1/0/1接口shutdown掉,此时查看掉包和路径信息:

由上图可以看出,在主备切换的过程中丢了一个包,此时查看FW1和FW2的VGMP状态信息

由上图可以看出,此时FW2已经成为主用设备,FW1成为备用设备。

temperature°浅陌
关注
  • 6
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
HCIE-Security Day16:防火墙双机热备实验(四)防火墙直路部署,上行连接路由器(OSPF),下行连接交换机
小梁的博客
02-18 2099
目录 需求和拓扑 操作步骤 1、配置接口ip和安全区域 2、配置ospf动态路由 3、配置双机热备 3.1 配置vrrp备份组 3.2 配置心跳线 3.3 配置检测上行链路 3.4 开启双机热备 4、配置安全策略 验证和分析 1、检查vrrp备份组建立情况 2、检查vgmp组状态 3、检查r3的路由情况 4、检查f1和f2通告的一类lsa情况 5、在f1和f2上检查到达r3的路由情况 实验四:防火墙直路部署,上行连接路由器(OSPF),下行连接交换机 需求...
cpp-中国象棋走步提示悔棋提示步时局时显示结束提示
08-16
1. **走步提示**:走步提示是游戏中必不可少的部分,它涉及到棋子的移动规则和合法走法的判断。在C++中,这可以通过定义每个棋子类,包含棋子的位置和类型信息,再配合二维数组或自定义数据结构表示棋盘。当玩家点击...
防火墙————负载分担双机热备
zj2059129607的博客
11-17 640
VRRP(Virtual Router Redundancy Protocol)是一种容错协议,它保证当主机的下一跳路由器(默认网关)出现故障时,由备份路由器自动代替出现故障的路由器完成报文转发任务,从而保持网络通信的连续性和可靠性。在FW上配置VRRP时,是将两台FW上编号相同的接口加入一个VRRP备份组。一个VRRP备份组相当于一台虚拟路由设备,拥有虚拟IP地址和虚拟MAC地址。网络内主机将其网关设置为VRRP备份组的虚拟IP地址。这些主机都是通过虚拟路由器与外部网络通信。和。
防火墙双机热备配置篇(负载分担模式)
weixin_45254043的博客
01-17 2249
防火墙双机热备配置案例
网工记背命令(7)----静态路由(负载分担,主备备份)
weixin_69884785的博客
10-22 629
网工记背命令(7)----静态路由(负载分担,主备备份)
IPS与IDS部署场景
热门推荐
曹世宏的博客
08-18 3万+
IPS原理可参考:入侵防御IPS技术 NIP介绍 NIP简介: NIP是华为的IPS设备。 NIP出厂时固定接口板和扩展接口卡上的业务接口都划分为固定接口对,每对接口对之间相互独立并隔离。您可以将每对接口对视作一台虚拟IPS设备或IDS设备,基于不同的接口对配置不同的应用安全策略,满足不同的安全防护需求。 NIP的业务接口都工作在二层,能够不改变客户现有的网络拓扑结构,直接透明接入客户网络,...
防火墙直路部署上下行连接路由器主备备份组网
Tony_long7483的博客
10-14 810
1.untrust区域基本IP地址配置 [AR3-GigabitEthernet0/0/0]ip add 20.1.1.3 24 [AR3-GigabitEthernet0/0/1]ip add 20.1.4.3 24 [AR3-GigabitEthernet0/0/2]ip add 20.1.3.3 24 [AR4-GigabitEthernet0/0/0]ip add 20.1.2.4 24 [AR4-GigabitEthernet0/0/1]ip add 20.1.4.4 24 [AR4-Giga.
华为防火墙直路部署上下行连接交换机的主备备份组网
Tony_long7483的博客
10-07 2771
1.untrust区域基本配置 [AR1-GigabitEthernet0/0/0]ip add 20.1.1.3 24 [AR1-GigabitEthernet0/0/1]ip add 20.1.2.3 24 [AR1]ospf 1 [AR1-ospf-1]area 0 [AR1-ospf-1-area-0.0.0.0]network 20.1.1.0 0.0.0.255 [AR1-ospf-1-area-0.0.0.0]network 20.1.2.0 0.0.0.255 2.内网基本配置 3.F.
华为防火墙USG6000V-防火墙直路部署上下行连接交换机.pdf
05-12
华为防火墙USG6000V-防火墙直路部署上下行连接交换机.pdf
华为Web举例:防火墙直路部署上下行连接交换机.docx
09-30
华为Web举例:防火墙直路部署上下行连接交换
香港朗文6BC1-2测验借鉴.pdf
11-29
9. **固定搭配** - 第10题,"go straight along the road" 表示沿直路走,"turn left into Rock Road" 表示向左转进入Rock Road。 10. **完形填空** - 完形填空部分考察了上下文理解、词汇搭配以及语境应用。题目中...
基于自适应选路策略的VANETs路由协议
03-10
协议针对VANETs的链路频断性,引入携带-转发(carry-forward)机制,使协议能够适用于间断性连接的延迟容忍网络。通过对道路模型分析计算,获得路段连通性度量指标,用于选取最优路径。协议基于道路拓扑将数据包的转发过程...
双机热备上下行路由器主备组网实验
谢谢爱放鸽子的博客
08-02 3739
防火墙双机热备简单实验 实验topo: 实验目的: 熟悉双机热备原理 双机热备组网规划 实验需求: 企业部署双机热备,上下行路由器主备模式组网; IP地址配置如上图 全网互通 配置思路: 1.两个防火墙各接口配置相应的地址,并且加入区域(接口使用要一致)如果配置HRP后发现两个都是主,或者两个都是备,往往是接口没有加区域的原因: FW1: interface GigabitEthern...
2023-2024华为ICT大赛中国区 实践赛网络赛道 全国总决赛 理论部分真题
gaogao0305的博客
07-02 415
本文为2023-2024华为ICT大赛 中国区 全国总决赛 实践赛 网络赛道 理论部分考试真题,涵盖数通模块10题、安全模块7题、WLAN模块3题
计算机网络
m0_65621281的博客
07-03 567
为了保证传输的内容不被篡改,我们需要对内容计算出一个「指纹」,然后同内容一起传输给对方。对方收到后,先是对内容也计算出一个「指纹」,然后跟发送方发送的「指纹」做一个比较,如果「指纹」相同,说明内容没有被篡改,否则就可以判断出内容被篡改了。那么,在计算机里会用。
10_网络规划和管理
qq_45937810的博客
06-27 1138
本文主要介绍了嵌入式领域中网络规划和管理的相关知识点。
Unity udp通信详解
u014196765的博客
06-27 1048
在Unity中实现UDP通信,需要使用C#的System.Net和System.Net.Sockets命名空间。UDP(用户数据报协议)是一种无连接网络协议,它允许数据包在网络上发送和接收,但不保证数据包的到达顺序、完整性或可靠性。这使得UDP非常适合那些对实时性要求高的应用,如在线游戏和实时通信。首先,你需要创建一个UDP客户端来发送和接收数据。你可以使用UdpClient.Send方法来发送数据。接收数据稍微复杂一些,因为你通常需要在一个单独的线程或协程中进行监听,以避免阻塞主线程。
【计算机网络——1.2网络边缘】
最新发布
2301_76758064的博客
07-03 413
流量阻塞控制:比如A和B互通,会走某条线路,C和D也会经过这条路,或者这条路的一部分,就很有可能阻塞,当信息量太大时,交换节点就会丢东西,信息就不完整,TCP检测线路阻塞情况,从而限值发送速率。其实就是端系统/主机,上面运行着分布式系统,那么这些运行的网络应用就是网络存在的理由,应用由端系统的基础设施(操作系统,硬件,实体协议,网络核心,包括对方主机的应用层下面的基础设施)支撑。不需要握手,直接发送,直接回应,不可靠(TCP的特性一个不占),但是效率高,应用一些不需要数据太准确方面(视频,语音)
防火墙旁路部署和直连部署的区别
07-28
回答: 防火墙的旁路部署和直连部署有一些区别。在旁路部署中,网络入口流量会经过防火墙的旁路设备(NIP),同时也会经过防火墙本身。旁路设备会检测和分析应用层的攻击、漏洞、病毒、异常流量等,并将需要被阻断的报文信息发送给防火墙进行阻断操作。这种部署方式可以提供更高级的安全检测和防御功能。而在直连部署中,网络入口流量直接经过防火墙进行过滤和防御,没有经过旁路设备的检测和分析。直连部署更适用于用户不需要额外的安全检测和防御功能,只需要基本的防火墙保护的场景。 #### 引用[.reference_title] - *1* *3* [防火墙知识](https://blog.csdn.net/asdfghhklxm/article/details/129848829)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insert_down1,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* [IPS与IDS部署场景(直路部署,单臂部署,旁路部署,阻断)](https://blog.csdn.net/u012206617/article/details/120151771)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insert_down1,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值