一个实验练习irf堆叠、聚合链路、防火墙安全域,安全策略

已于 2024-02-29 18:01:27 修改
阅读量916 收藏 15
点赞数 23
文章标签: 安全 网络
于 2024-02-29 17:40:55 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_48726314/article/details/136375343
版权

网络拓扑图,如下图。使用防火墙隔开两个网络,分别是10.1.1.0/24和192.168.1.0/24。实现目标是左侧网络可以访问右侧,右侧不能访问左侧,为实现左侧网络高可靠配置堆叠。
在这里插入图片描述
第一步配置防火墙
登陆防火墙配置网关和安全域和安全策略
username:admin
password:admin
#创建vlan 左侧在vlan100 右侧在vlan11
vlan 100 11
#创建三层链路聚合
int route-aggregation 10
qu
#将G1/0/2 G1/0/3添加到聚合链路10中
int range G1/0/2 G1/0/3
port link-aggregation group 10
qu
#查看聚合情况
dis link-aggregation vebose

#创建子接口配置IP
int route-aggregation 10.100
ip add 10.1.1.1 24
#dot1q终结子接口实现vlan通信。
vlan-type dot1q vid 100
#创建G1/0/1子接口并配置IP
int G1/0/1.11
ip add 192.168.1.1 24
vlan-type dot1q vid 11
#查询配置结果
dis int brief
#将相应接口加入到安全域。(所有接口“包括虚拟接口”都要加入到域才能够通信)
security-zone trust
import int route-aggragetion 10
import int route-aggregation 10.100
qu
security-zone untrust
import int G1/0/1
import int G1/0/1.11
qu
#查看配置结果
dis security-zone

#配置安全策略,实现左侧网络能够访问右侧单右侧无法访问左侧。
#H3C防火墙支持ipv6的策略,在配置是需要指定自己配置的策略是针对ipv4还是ipv6
security-policy ip
rule name trust-untrust
source-zone trust
destionction-zone untrust
source-ip 10.1.1.0
destination-ip 192.168.1.0
action pass
qu
#为验证10.1.1.10访问防火墙网关,测试连通性,需添加trust对local的访问。
rule name trust-local
source-zone trust
destination-zone local
source-ip-host 10.1.1.10
destination-ip-host 10.1.1.1
action pass
qu

第二部配置堆叠
堆叠设备的irf链路需要使用FGE1/0/53接口,这是一个带宽40G的口
#第一部登陆irf 1设备,配置优先级 0-32 数值越大优先级越高
irf member 1 priority 32
#登陆irf 2 配置设备号为2,然后重启才能生效。
irf member 1 renumber 2
save
qu
reboot

#登陆1配置irf链路,要加入到irf链路的接口需要先关闭接口
int F1/0/53
shutdown
qu
irf-port 1/2
port group int F1/0/53
qu
int F1/0/53
undo shutdown
save
irf-port-configure active

#登陆2设备配置irf链路
int F2/0/53
shutdown
qu
irf-port 2/1
port group int F2/0/53
qu
int F2/0/53
undo shutdown
qu
save
irf-port-configure active

查看堆叠状态
dis irf configure
dis irf link
#链路都是up状态后配置mad bfd 防止irf链路中断出现双主现象
vlan 21
qu
int range G1/0/20 G2/0/20
port access vlan 21
qu
int vlan 21
mad bfd enable
mad ip add 192.168.10.1 24 member 1
mad ip add 192.168.10.2 24 member 2
qu
#配置二层聚合对接防火墙
int bridge-aggregation 10
qu
int range G1/0/1 G2/0/1
port link-aggregation group 10
qu
int bridge-aggregation 10
port link-type trunk
port trunk permit vlan 100
qu
int G1/0/10
port access vlan 100
qu
#配置pcIP就可以访问防火墙了。

#左侧交换机配置就比较简单了只要实现携带vlan11的标签到达防火墙即可。
至此就是先了我们的需求。

初生牛犊!
关注
  • 23
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
交换机设备上的G口、F口、E口、S口区别是什么?一台交换机有哪些接口呢?每个接口都有哪些作用?
代码讲故事
12-17 3136
交换机设备上的G口、F口、E口、S口区别是什么? 一台交换机有哪些接口呢?每个接口都有哪些作用?
H3C IRF堆叠链路聚合实验hcl模拟器工程文件
04-27
H3C IRF堆叠链路聚合实验hcl模拟器工程文件(已经完整的配置好了) 启动时导入到HCL即可,由于模拟器性能原因DHCP需要等待几分钟PC才能获取IP地址 详细实验文档 https://www.orcy.net.cn/2330.html
华三堆叠技术加加链路聚合
m0_59156616的博客
09-08 1933
port link-aggregation group 1 -------------将这两个接口接入聚合组1。port link-aggregation group 1 -------------将这两个接口接入聚合组1。undo shutdown -------------------进入40GE接口53和54口,将其激活。undo shutdown -------------------进入40GE接口53和54口,将其激活。
Redis面试题_关于irf组网linense策略说法正确的有 (2),2024年最新2024软件测试春招面试真题详解
最新发布
m0_54903333的博客
04-17 649
缓存穿透一般的缓存系统,都是按照 key 去缓存查询,如果不存在对应的 value,就应该去后端系统查找(比如DB)。一些恶意的请求会故意查询不存在的 key,请求量很大,就会对后端系统造成很大的压力。这就叫做缓存穿透。如何避免?1:对查询结果为空的情况也进行缓存,缓存时间设置短一点,或者该 key 对应的数据 insert 了之后清理缓存。2:对一定不存在的 key 进行过滤。可以把所有的可能存在的 key 放到一个大的 Bitmap 中,查询时通过该 bitmap 过滤。
H3C交换机配置链路聚合
Richardlygo的博客
03-22 2万+
华三链路聚合
华三交换机配置链路聚合
热门推荐
qq_42906357的博客
05-01 3万+
华三和华为交换机叫 链路聚合 思科交换机叫 端口聚合 华三配置 一、聚合方式: 1、lacp 静态链路聚合 动态链路聚合 2、手工负载分担 二、配置步骤 静态端口聚合(两台交换机都按照下面命令配置) //创建动态链路聚合口1 [SWB]interface Bridge-Aggregation 1 [SWB-Bridge-Aggregation1]port link-type trunk [SWB-Bridge-Agg...
华为华三交换-链路聚合配置
网络重启工程师的博客
06-15 6801
链路聚合 华为 华三 Eth-trunk Bridge-aggregation 描述 增加带宽优势,最大带宽=各个接口带宽之和。 增加可靠性,当有条链路挂逼了,其他链路还可以使用。 负载分担,一条链路聚合,可以在各个成员接口上负载分担。 两端设备都支持动态LACP,推荐使用LACP模式。 链路聚合条件:...
IRF(智能弹性架构)-堆叠
Welcome To OpenClouds World !!!
04-10 2276
IRF(智能弹性架构)- 堆叠
华三HLC模拟器IRF堆叠&链路聚合实验
04-28
实验的主要目标是实现IRF堆叠链路聚合,形成一个高可用性的网络拓扑结构。 IRF(Intelligent Resilient Framework)是一种高可用性的网络架构,它可以将多个交换机组合成一个逻辑上的交换机,从而提高网络的可靠...
H3C_堆叠IRF/链路聚合的HCL基础配置文件压缩包
10-08
H3C_堆叠IRF/链路聚合的HCL基础配置文件压缩包,里面包含标题的两种基础配置文件,自己做的,需要的朋友请下载,用H3C模式器(HCL3.0.1)打开,各位如果需要HCL3.0.1模拟器的安装包,可以留言或私信。
H3C_IRF堆叠)基础配置案例
04-20
同时,通过`display interface brief`命令查看所有端口是否已整合为一个逻辑接口,表明堆叠完成。 4. **整体配置语句**:在双线配置下,完整的配置语句包括设置MAC地址持久性、IRF自动更新、取消链路延迟、定义各...
20170801-H3C 防火墙产品 配置指导(V7)
12-04
20170801-H3C 防火墙产品 配置指导(V7)(R9121_R9310_R9313_E9504_E8204_R8209_E8503)-6W105
华三IRF 堆叠 精讲版 笔记
06-26
华三IRF堆叠技术是指Intelligent Resilient Framework,智能弹性架构,它是一种软件虚拟化技术。其核心思想是将多台设备通过IRF物理端口连接在一起,进行必要的配置后,虚拟化成一台“分布式设备”。使用这种虚拟化...
IRF的配置
豆傻小饼干随记
01-03 1万+
IRF堆叠 智能弹性架构技术(H3C开发的软件虚拟化技术) 将多台设备堆叠在一起,在逻辑上形成一台虚拟的逻辑主设备。主设备的运行状态与从设备的运行状态保持同步。提高了高可靠性。实现了多台设备的协同管理,统一工作,和不间断维护。 优点:简化管理、提高性能、弹性扩展、高可靠性。 成员:master和slave 在配置成功后需要进行重启才能狗正常运作。 缺省情况下,设备的成员优先级均为1。
H3C IRF2典型应用
小健健的博客
10-31 3091
有些网络基础的朋友都知道: Cisco设备可以通过HSRP来实现双机热备,可参考博文:Cisco设备实现双击热备配置详解 华为设备可以通过VRRP来实现双机热备,可参考博文:华为防火墙实现双机热备配置详解 那么H3C设备如果想要实现双机热备,就需要使用到——IRF 博文大纲: 一、IRF2.0概述; 二、IRF的优点; 三、IRF的基本概念; 四、IRF2的运行模式与配置方式; 五、IRF的...
华三IRF的配置
VictoryKingLIU的博客
02-04 1万+
#拓扑结构1 配置成员编号(重启)2 配置成员优先级(大的主设备)3 配置IRF端口(关闭端口,irf端口视图绑定,激活端口。保存配置,激活IRF端口的配置)4 配置链路负载分担类型    /可选5 配置IRF链路down延迟上报功能(缺省延迟4S)/可选#配置1<H3C>system-view[H3C]int range Ten-GigabitEthernet 1/0/49 to T...
网络设备-华三-防火墙F1020-IRF虚拟化实战终结配置篇
weixin_34075551的博客
04-08 6716
此篇h3c-IRF的实战配置,同样与前面华为的堆叠一样路子,我们先聊聊为啥要做这个?为什么不玩双机,要玩IRF。其实弄懂这一点,对于售前来讲,在外面做方案也是思路相当清晰的一点。以前我们常规的双机方案如下图:架构特点:1.全网无单点故障,完整的解决因为单电源或者单一设备故障引起的业务不可用。2.核心交换区-使用华为stack堆叠(前面有文章单独介绍)3.防火墙HA(Ju...
h3c 链路聚合测试_【H3C实验链路聚合,虽易做,但易错!
weixin_42576186的博客
01-14 2342
最近有朋友学习网络技术,咨询我链路聚合的技术,其中某一接口未聚合成功。再此,也给大家分享一下。 现场还原:SW1查看链路聚合现象,[SW1]dis link-aggregation summary 发现只有一个聚合接口,于是通过[SW1]dis link-aggregation verbose 发现G1/0/2接口的Flag字段:{AC},也就说该接口已经加入聚合口,但是为什么未成功加入...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值