防火墙的双机热备实验

已于 2023-08-20 16:53:49 修改
阅读量274 收藏
点赞数 1
文章标签: 服务器 运维
于 2023-04-04 11:42:10 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_64033212/article/details/129931623
版权

防火墙一:

 步骤一:

完成USG6330-1上、下行业务接口的配置。配置各接口IP地址并加入相应安全区域。

[USG6000V1]interface GigabitEthernet 1/0/1

[USG6000V1-GigabitEthernet1/0/1]ip address 10.1.2.1 24

[USG6000V1]interface GigabitEthernet 1/0/4
[USG6000V1-GigabitEthernet1/0/4]ip address 40.1.1.1 24
[USG6000V1-GigabitEthernet1/0/4]q 

[USG6000V1]firewall zone trust
[USG6000V1-zone-trust]add interface GigabitEthernet 1/0/1
[USG6000V1-zone-trust]q
[USG6000V1]firewall zone untrust
[USG6000V1-zone-untrust]add interface GigabitEthernet 1/0/4
[USG6000V1-zone-untrust]q 

步骤二:

1.配置接口GigabitEthernet1/0/4的VRRP备份组1,并加入到状态为Active的VGMP 管理组。

[USG6000V1]interface GigabitEthernet 1/0/4 
[USG6000V1-GigabitEthernet1/0/4]vrrp vrid 1 virtual-ip 2.2.2.1 24 active
[USG6000V1-GigabitEthernet1/0/4]q 

2.配置接口GigabitEthernet1/0/1的VRRP备份组2,并加入到状态为Active的VGMP 管理组。

 [USG6000V1]interface GigabitEthernet 1/0/1
[USG6000V1-GigabitEthernet1/0/1]vrrp vrid 2 virtual-ip 10.1.2.3 active
[USG6000V1-GigabitEthernet1/0/1]q

步骤三:

完成USG6330-1的心跳线配置,配置GigabitEthernet1/0/3的IP地址。

[USG6000V1]interface GigabitEthernet 1/0/3
[USG6000V1-GigabitEthernet1/0/3]ip address 30.1.1.1 24
[USG6000V1-GigabitEthernet1/0/3]q 

步骤四:

1.配置GigabitEthernet1/0/3加入DMZ区域。

 [USG6000V1]firewall zone dmz
[USG6000V1-zone-dmz]add interface GigabitEthernet 1/0/3
[USG6000V1-zone-dmz]q

2.指定GigabitEthernet1/0/3为心跳口

[USG6000V1]hrp interface GigabitEthernet 1/0/3 remote 30.1.1.2

步骤五:

配置Trust区域和Untrust区域的域间转发策略

[USG6000V1]security-policy
[USG6000V1-policy-security]rule name policy_sec 
[USG6000V1-policy-security-rule-policy_sec]source-zone trust 
[USG6000V1-policy-security-rule-policy_sec]destination-zone untrust
[USG6000V1-policy-security-rule-policy_sec]action permit
[USG6000V1-policy-security-rule-policy_sec]q
[USG6000V1-policy-security]q 

步骤六:

启用HRP备份功能

步骤七:

查看VRRP信息

[USG6000V1]hrp enable

HRP_M[USG6000V1]display vrrp

HRP_M[USG6000V1]telnet server enable                //开启Telnet服务

防火墙二:(与防火墙一类似)

 步骤一:

完成USG6330-1上、下行业务接口的配置。配置各接口IP地址并加入相应安全区域。

[USG6000V1]interface GigabitEthernet 1/0/1
[USG6000V1-GigabitEthernet1/0/1]ip address 10.1.2.2 24
[USG6000V1-GigabitEthernet1/0/1]interface GigabitEthernet 1/0/4
[USG6000V1-GigabitEthernet1/0/4]ip address 40.1.1.2 24
[USG6000V1-GigabitEthernet1/0/4]q
[USG6000V1]firewall zone trust
[USG6000V1-zone-trust]add interface GigabitEthernet 1/0/1
[USG6000V1-zone-trust]q
[USG6000V1]firewall zone untrust
[USG6000V1-zone-untrust]add interface GigabitEthernet 1/0/4
[USG6000V1-zone-untrust]q 

步骤二:

1.配置接口GigabitEthernet1/0/4的VRRP备份组1,并加入到状态为Active的VGMP 管理组。

 [USG6000V1]interface GigabitEthernet 1/0/4   
[USG6000V1-GigabitEthernet1/0/4]vrrp vrid 1 virtual-ip 2.2.2.1 24 active
[USG6000V1-GigabitEthernet1/0/4]q

2.配置接口GigabitEthernet1/0/1的VRRP备份组2,并加入到状态为Active的VGMP 管理组。

[USG6000V1]interface GigabitEthernet 1/0/1
[USG6000V1-GigabitEthernet1/0/1]vrrp vrid 1 virtual-ip 10.1.2.3 active
[USG6000V1-GigabitEthernet1/0/1]q

步骤三:

完成USG6330-1的心跳线配置,配置GigabitEthernet1/0/3的IP地址

[USG6000V1]interface GigabitEthernet 1/0/3
[USG6000V1-GigabitEthernet1/0/3]ip address 30.1.1.2 24
[USG6000V1-GigabitEthernet1/0/3]q

步骤四:

1.配置GigabitEthernet1/0/3加入DMZ区域。

[USG6000V1]firewall zone dmz
[USG6000V1-zone-dmz]add interface GigabitEthernet 1/0/3
[USG6000V1-zone-dmz]q

2.指定GigabitEthernet1/0/3为心跳口

[USG6000V1]hrp interface GigabitEthernet 1/0/3 remote 30.1.1.1

步骤五:

配置Trust区域和Untrust区域的域间转发策略

[USG6000V1]security-policy
[USG6000V1-policy-security]rule name policy_sec
[USG6000V1-policy-security-rule-policy_sec]source-zone trust 
[USG6000V1-policy-security-rule-policy_sec]destination-zone untrust 
[USG6000V1-policy-security-rule-policy_sec]action permit
[USG6000V1-policy-security-rule-policy_sec]q
[USG6000V1-policy-security]q 

步骤六:

启用HRP备份功能

[USG6000V1]hrp enable

步骤七:

查看VRRP信息

 HRP_S[USG6000V1]display vrrp 

HRP_M[USG6000V1]telnet server enable         //开启Telnet服务

编程浪漫史
关注
防火墙双机热备实验
earthtoearth的博客
07-11 869
实验目的:在FW1和FW2上设置双机热备、配置VRRP虚拟地址及IPSECvpn,实现与FW3能够通过互访。(三)在内网R1/FW1/FW2上配置ospf并宣告路由10.1.0.0。(一)按拓扑所示配置接口地址(此处省略)(二)在防火墙上配置默认路由指向公网地址。(一)配置防火墙双机热备。一、实验目的及网络拓扑。
HCIE-Security Day15:防火墙双机热备实验(三)防火墙透明接入,上下行连接交换机
小梁的博客
02-18 3953
如果防火墙上下行都接入二层交换机,则其上下行接口也都应该配置成二层接口,没有ip地址,所以vgmp组无法通过使用vrrp备份组或者直接检测接口状态,这时vgmp组使用的故障监测方法是通过vlan监控接口状态。 具体是将二层接口加入vlan,vgmp组监控vlan,通过控制vlan是否转发流量的方式来保证流量引导到主用设备上。当vgmp组状态为active,组内的vlan转发流量,如果vgmp组状态为standby,组内的vlan被禁用,不能转发流量。 当vgmp组中的接口故障时,vgmp组会通过...
防火墙双机热备技术(实验
zljszn的博客
10-14 1242
这里需要注意的是不但是内网的接口需要运行VRRP,外网的接口也需要运行VRRP,而且两端的接口要加入同一个VRRP的组才能实现虚拟冗余技术,内网的VRRP组配置的虚拟IP充当内网主机的网关实现冗余备份,后面添加了active的命令的意思是说哪台路由器在VRRP的组当中充当master,因为master在VRRP组当中是充当流量转发的任务的,而backup是充当master的备份,这里就不详细讲了,可以参观datacom文章中VRRP的章节。
防火墙双机热备
qq_67758645的博客
07-17 1329
因为VRRP彼此是独立的,所以,一个VRRP组进行切换不会其他组同步切换,而在防火墙双机热备场景下,上下有俩个VRRP组,需要同步切换,使用传统的上行链路监控,比肩复杂,因为要监控所有的接口。冷备的概念:仅工作一台设备,备份一台设备,备份设备仅同步配置,并不工作,只有主设备出现故障时,再由管理员替换工作,冷备可能会造成较长时间的业务中断。每个组里面有两个状态,一个active状态,一个standby状态。5,FW2的VGMP组状态发生变化,则组中的VRRP组的状态同步发生变化,都从standby切。
防火墙双机热备
Jianyu's blog
04-04 577
防火墙双机热备 文章目录防火墙双机热备实验环境实验目的具体步骤结果测试总结 实验环境 实验目的 实现防火墙双机热备 注意:这里的VGMP、HRP协议为华为独有协议 具体步骤 1.规划网络并配置IP PC1 IP:192.168.1.3 掩码 24 网关:192.168.1.100 R1 <Huawei>sys [Huawei]sys R1 [R1]int g0/0/0 [R1-GigabitEthernet0/0/0]ip ad 200.1.1.3 24 [R1-GigabitEthern
防火墙双机热备配置实验
ChenD的学习笔记
12-12 2804
一、实验拓扑 二、配置云 三、配置防火墙 四、分配FW的接口地址与安全区域 五、按图示进行配置 六、双机热备的配置 七、配置NAT 八、模拟双机热备的切 防火墙双机热备配置实验
防火墙双机热备实验.zip
03-03
防火墙双机热备实验
HCIE-Security Day13:防火墙双机热备实验(一)防火墙直路部署,上下行连接交换机
小梁的博客
02-15 2306
实验一:防火墙直路部署,上下行连接交换机 需求和拓扑 企业的两台FW的业务接口都工作在三层,上下行分别连接二层交换机。上行交换机连接运营商的接入点,运营商为企业分配的IP地址为1.1.1.1。现在希望两台FW以主备备份方式工作。正常情况下,流量通过FW_A转发。当FW_A出现故障时,流量通过FW_B转发,保证业务不中断。 操作步骤 1、配置接口地址和安全区域 注意心跳线要加入同一安全区域,内网设备的默认网关地址是vrrp备份组2的虚拟ip地址。 2、配置路由 ...
防火墙防火墙双机热备
2301_76769041的博客
08-30 4889
双机热备需要两台硬件和软件配置均相同的华为防火墙,两台华为防火墙之间通过一条独立的链路连接,这条链路通常被称之为“心跳线”,两台华为防火墙通过心跳线了解对端的健康状况,向对端备份配置和表项(如会话表、IPSec SA等),当一台防火墙出现故障时,业务流量能平滑地切换到另一台设备上处理,使业务不中断。
防火墙双机热备技术
热门推荐
曹世宏的博客
05-17 2万+
双机热备技术原理 双机热备技术产生的原因: 传统组网中,只有一台防火墙部署在出口,当防火墙出现故障后,内部网络中所有以防火墙作为默认网关的主机与外部网络之间的通讯中断,通讯可靠性无法保证。 双机热备份技术的出现改变了可靠性难以保证的尴尬状态,通过在网络出口位置部署两台或多台网关设备,保证了内部网络于外部网络之间的通讯畅通。 USG防火墙作为安全设备,一般会部署在需要保护的网络和不受保护...
HCIE-Security Day16:防火墙双机热备实验(四)防火墙直路部署,上行连接路由器(OSPF),下行连接交换机
小梁的博客
02-18 2224
目录 需求和拓扑 操作步骤 1、配置接口ip和安全区域 2、配置ospf动态路由 3、配置双机热备 3.1 配置vrrp备份组 3.2 配置心跳线 3.3 配置检测上行链路 3.4 开启双机热备 4、配置安全策略 验证和分析 1、检查vrrp备份组建立情况 2、检查vgmp组状态 3、检查r3的路由情况 4、检查f1和f2通告的一类lsa情况 5、在f1和f2上检查到达r3的路由情况 实验四:防火墙直路部署,上行连接路由器(OSPF),下行连接交换机 需求...
网络安全之防火墙 双机热备实验
qq_57289939的博客
03-31 2179
点击系统-->高可用-->双机热备热备-->配置。配置的IP地址需要与自己电脑所开启的。因为配置了同步,所以此时FW2也自动。华为防火墙默认用户名 ---断开SW2的0/0/1端口。FW2新建虚拟IP地址池。配置 g 1/0/0 口。配置 g 1/0/1 口。配置 g 1/0/0 口。配置 g 1/0/1 口。FW1新建虚拟IP地址池。,但要求两个端口可以。
防火墙双机热备
qixusiyu的博客
07-16 829
因为VRRP彼此是独立的,所以,一个VRRP组进行切换不会直接导致其他组同步切换,在防火墙双机热备场景下,上下有两个VRRP组,需要同步切换,使用传统的上行链路监控,比较复杂,所以,设计了VGMP协议,来对VRRP组进行统一的切换管理。hello报文周期就是保活报文的发送周期,默认是1S,可以修改,但是,需要两边同时修改,否则可能导致对接不上hello报文周期就是保活报文的发送周期,默认是1S,可以修改,但是,需要两边同时修改,否则可能导致对接不上。3,快速备份 : 该备份方式仅针对负载分担的场景。
ensp防火墙双机热备云端
最新发布
08-27
Ensp(Enterprise Network Security Platform)防火墙是一种企业级网络安全解决方案,通常用于提供高级别的网络访问控制和安全保护。所谓的“双机热备”是指通过部署两台或多台防火墙设备,并配置它们之间同步和备份策略,当主设备出现问题时,可以快速切换到备用设备,确保网络服务的连续性和高可用性。 云环境下的ensp防火墙双机热备,意味着这些防火墙系统是在云计算平台如AWS、Azure或阿里云上运行,通过虚拟化技术实现资源的弹性伸缩和故障转移。这种架构的优势包括: 1. 灵活性:可以根据需要动态调整资源,适应业务流量变化。 2. 高可用性:云环境中的冗余设计提高了系统的可靠性。 3. 节省成本:按需付费,避免了传统硬件投资和维护成本。 4. 易于管理:云服务商通常提供统一的管理和监控工具。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

编程浪漫史

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值