防火墙学习3---防火墙旁挂交换机,交换机静态路由引流(主备部署)

最新推荐文章于 2025-03-11 22:46:55 发布
最新推荐文章于 2025-03-11 22:46:55 发布
阅读量4.1k 收藏 41
点赞数 16
分类专栏: 网络 文章标签: 学习 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_48030849/article/details/138799444
版权

备注:本人学习华为防火墙的笔记记录方式,如有错误,请指出。

目录

一、组网需求

二、组网拓扑

三、配置思路

四、具体配置步骤(命令)

1.路由器AR5配置(此处AR5客户换成支持3层功能的交换机)

2.AR6配置(此处AR6客户换成支持3层功能的交换机)

3.R1配置

4.R2配置

5.R3配置

6.SW1配置

7.SW2配置

8.FW1IP地址以及vrrp配置

9.FW2ip地址以及vrrp配置

10.hrp配置以及安全策略配置

五、状态查看

六、PCping测试并抓包查看以及主备切换

一、组网需求

如下图所示,两台FW旁挂在数据中心的核心交换机侧,保证数据中心网络安全。通过核心交换机的流量都会被引流到旁挂的FW上进行安全检测,引流的方式为静态路由方式。企业希望两台FW以主备备份方式工作。正常情况下,流量通过FW1转发。当FW1出现故障时,流量通过FW2转发,保证业务不中断。

二、组网拓扑

双机热备旁挂(静态路由引流)组网图

可以将上述图片理解成下述组网架构:

实际实验拓扑图以及地址规划如下所示:

三、配置思路

1.完成核心交换机SW1、SW2左侧(即内网)配置,运行OSPF协议;

2.完成核心交换机SW1、SW2右侧配置,运行OSPF协议;

3.配置vrrp组(由于FW与上下行交换机(Public和VRF)之间运行静态路由,因此需要在FW和交换机上分别配置VRRP备份组,使他们能够通过VRRP备份组的虚拟地址进行通信。在FW上需要配置静态路由,下一跳分别为VRRP备份组3和VRRP备份组2的地址。在Public上配置静态路由,下一跳为VRRP备份组4的地址。在VRF上配置静态路由,下一跳为VRRP备份组1的地址)

4.在SW1和SW2上面创建vpn-instance(如果希望通过静态路由方式将经过核心交换机的流量引导到FW,则需要在核心交换机上配置静态路由,下一跳为防火墙接口的地址。但是由于核心交换机与上行路由器和下行汇聚交换机之间运行OSPF,因此流量到达核心交换机后会直接被转发到上行或下行设备,而不会被引流到FW上。

所以如果希望通过静态路由引流,就必须在核心交换机上配置VRF功能

最低0.47元/天 解锁文章
防火墙虚拟系统与交换机虚拟系统(防火墙
earthtoearth的博客
06-22 1461
3路由规划:采用OSPF路由交换机对应不同用户的虚拟系统VRF_A和VRF_B分布对应区域1和区域2,防火墙上的两个虚拟系统VRF_A和VRF_B分布对应区域1和区域2,防火墙上的根系统和路由器接口对应区域0。2、交换机防火墙之间使用链路聚合,分别设置4个逻辑接口,这四个接口分别两两对应两个防火墙虚拟系统实例VRF_A和VRF_B,其中交换机侧使用VLANIF接口,防火墙侧使用子接口。在虚拟系统VRF_B中与在VRF_A总相同,此处省略............在虚拟系统中设置接口等内容。
防火墙部署 - PBR方式
阿呆花湖雨的博客
02-01 982
所有配置均基于HCL配置。基于PBR,不改变现有拓扑的方式进行防火墙引流
华为防火墙双机热负载模式组网,交换机(PBR)引流防火墙案例
最新发布
白话聊网络的博客
03-11 647
核心交换中值得注意的就是mqc模版是在内网口调用,这样匹配到的流量直接通过流动作就扔到了下一跳所在的防火墙上,通过防火墙的安全策略进行匹配和内网安全等进行流量清洗。丢一部分包,为什么丢包未知,当核心1中断后,sw3的stp状态已经切换,sw2的vrrp已经切换,不应该会不通,唯一的可能就是vrrp的重新发送免费arp的延迟导致。今天接了一个组网需求,课题是园区网络和通过MQC技术实现引流,那么一般来说,防火墙防火墙引流都是通过上下行vrrp,交换机通过vpn实例来实现。最终流量经过防火墙2。
HCIE-Security Day17:防火墙双机热实验(五):防火墙交换机交换机静态路由引流
小梁的博客
02-19 1万+
双机热比较常见的是部署在数据中心核心交换机上,且两台防火墙之间形成双机热。 目录 组网的优点 实验五:防火墙交换机交换机静态路由引流 需求和拓扑 操作步骤 1、公网部分 2、防火墙部分 3、核心交换部分 4、汇聚交换部分 5、接入交换部分 验证和分析 组网的优点 1、可以在不改变现有网络物理拓扑的情况下,将防火墙部署网络中。 2、可以有选择低将通过核心交换机的流量引导到防火墙上,即对需要进行安全检测的流量引导到防火墙上进行处理,对不需要进行...
安全防御——二、ENSP防火墙实验学习
热门推荐
钟言的博客
11-04 1万+
本篇为安全防御——二、防火墙的基本概念以及配置,Web界面的配置,使用,详细内容包含了:防火墙接口以及模式配置 1、untrust区域 2、trust区域 3、DMZ区域 4、接口对演示 防火墙的策略 1、定义与原理 2、防火墙策略配置 2.1 安全策略工作流程 2.2 查询和创建会话3.实验策略配置 3.1 trust-to-untrust 3.2 trust-to-dmz 3.3 untrust-to-dmz 、防火墙的区域等等
防火墙新型引流方案
接华为网络、网安方向小组作业,期末作业,课程设计、毕设等,有意可私信留言。
03-13 4370
核心设创建多VPN实例隔离不同通信域,在防火墙完成不同VRF路由交叉,完成引流
H3C V7 防火墙静态路由引流
zhangjian5412的博客
09-20 5718
H3C V7 防火墙静态路由引流 业务需求 企业新增防火墙,把防火墙在核心交换机边,需要交换机通过静态路由的方式将业务流量引向防火墙,实现防火墙网络的保护。 交换机要配置: dis cu version 7.1.075, Alpha 7571 sysname hexin-sw ip vpn-instance 1 ////创建VPN实例用于隔离、引流的流量 route-distinguisher 100:123 address-family ipv4 vpn-target 1
网络安全--防火墙部署方式和高可靠性技术
weixin_65685029的博客
09-25 4171
防火墙防火墙部署方式,防火墙高可靠技术,配置VRRP双机
防火墙部署+故障切换
qq_55707182的博客
12-11 976
华为ENSP。
华为策略路由引流防火墙
weixin_45457085的博客
11-08 1万+
拓扑图解释:由于没有ENSP防火墙插件,故用AR2代替防火墙,PC1与PC2模拟内网trust区域设,AR3模拟外网untrust区域 项目要求: 1.外网访问内网流量需要通过防火墙过滤再进入内网; 2.内网访问外网流量直接出站无需过滤。 配置思路: 1.首先配通底层,为了直观我这里采用手写静态路由,项目上为了方便可以直接跑内部动态路由协议; 2.在外网入站口AR1的G0/0/2上使用策略路由PBR进行流量重定向。 配置开始: 1.配通底层: SW1上: AR1上: ...
安全-防火墙路+PBR+状态检测
2301_81259159的博客
06-22 562
安全-防火墙路+PBR+状态检测。
防火墙三层部署(VRF)
August0821的博客
01-25 1998
需求:核心创建VRF用于隔离网关,使网关之间无法互相通信。内网防火墙与核心互联接口配置子接口,vlan以及地址与核心的VRF相对应。通过设管理地址,核心与内网防火墙建立OSPF邻居。核心VRF配置默认路由指向隔离防火墙子接口,隔离防火墙配置指向业务网段的路由,下一跳为核心的VRF互联地址。隔离防火墙引入静态路由,核心学习到VRF中的业务网段。实现流量经过隔离防火墙后返回核心,在隔离防火墙通过策略管控内网流量走向。
关于防火墙的问题
luoyunjie123456789的博客
01-07 9518
实验拓扑: 实验环境: PC1: IP:192.168.1.1 网关地址:192.168.1.254 PC2: IP:192.168.2.2 网关地址:192.168.2.254 R1: G0/0/0:192.168.1.254 G0/0/1:192.168.2.254 g0/0/2:12.1.1.1 g4/0/0::13.1.1.1 FW3:g0/0/0:12.1.1....
防火墙,策略路由引流
weixin_34001430的博客
04-04 1万+
1、案例拓扑图 2、核心设AR2的要配置 2.1AR2#acl number 2000 rule 5 permit source 192.168.1.0 0.0.0.255 //匹配需要过滤的路由#traffic classifier liu operator orif-match acl 2000#traffic behavior liuredirect ip-nexthop 2.1.1...
防火墙 —— 初级
2401_84389418的博客
04-15 1009
防火墙配置
H3C华三防火墙
weixin_45457085的博客
12-09 1万+
适用场景: 防火墙部署 注意事项: 1.接入与汇聚都是二层部署,流量之间可以透传到防火墙 2.防火墙与汇聚交换机之间双线互联,一条做子接口起网关剥掉VLAN,一条做三层口用来路由,保证来回流量路径一致 3.汇聚与核心之间可以不通过OSPF,直接指静态路由,接入端VLAN比较多还是推荐动态协议比较方便。 配置思路: 1.首先配置接入与汇聚,打通二层。 2.配置防火墙与汇聚的互联与起网关 3.配通汇聚与接入OSPF 4.测试配置 配置开始 接入交换机上: vlan 2...
防火墙(USG6000V)实验
weixin_72910567的博客
06-09 3532
本实验通过配置防火墙,实现了内网用户访问外网的安全过滤功能。通过配置策略路由,将内网用户访问外网的流量(回包)重定向到防火墙上,使流量经过防火墙的安全检测后再返回交换机。通过配置DHCP服务,为内网用户分配IP地址。通过配置安全策略,控制不同区域之间的流量访问权限。本实验加深了对防火墙的理解和应用,提高了网络安全性。
防火墙(VRF&VFW)
weixin_43311721的博客
01-09 2548
核心利用VRF方式将流量引流到FW进行检测,检测后FW回注到核心全局路由表;FW在此基础上还可以部署VFW,允许不同的VPN实例通信
--策略路由引流
小簸箕
03-08 1831
策略路由 引流
H3C交换机命令学习模拟器HW-RouteSim
标题中提到的“用来学习H3C交换机命令的模拟器”是指出一种模拟软件工具,这种工具专门设计用来模拟H3C(华三通信技术有限公司)品牌网络交换机的命令行接口(CLI),以便用户能够在没有实际硬件设的情况下学习和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值