双机热备(负载分担模式)以及带宽管理

于 2024-07-18 01:38:25 发布
阅读量875 收藏 26
点赞数 9
文章标签: 网络 服务器 网络安全 防御
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_75189493/article/details/140507754
版权

一、实验拓扑

二、实验要求

 

1、DMZ区内的服务器,办公区仅能在办公时间内9:00-18:00)可以访问,生产区的设备全天可以访问
2、生产区不允许访问互联网,办公区和游客区允许访问互联网;
3、办公区设备10.0.2.10不允许访问DMZ区的FTP服务器和HTTP服务器,仅能ping通10.0.3.10
4、办公区分为市场部和研发部,研发部IP地址固定,访问DMZ区使用匿名认证,市场部需要用户绑定IP地址,访问DMZ区使用免认证;游客区人员不固定,不允许访问DMZ区和生产区,统一使用Guest用户登录,密码Admin@123,游客仅有访问公司门户网站和上网的权限,门户网站地址10.0.3.10;
5、生产区访问DMZ区时,需要进行protal认证,设立生产区用户组织架构,至少包括三个部门,每个部门三个用户,用户统一密码openlab123,首次登录需要修改密码,用户过期时间设定为10天用户不允许多人使用;
6、创建一个自定义管理员,要求不能拥有系统管理的功能;

7,办公区设备可以通过电信链路和移动链路上网(多对多的NAT,并且需要保留一个公网IP不能用来转换)
8,分公司设备可以通过总公司的移动链路和电信链路访问到Dmz区的http服务器
9,多出口环境基于带宽比例进行选路,但是,办公区中10.0.2.10该设备只能通过电信的链路访问互联网。链路开启过载保护,保护阈值80%;
10,分公司内部的客户端可以通过域名访问到内部的服务器,公网设备也可以通过域名访问到分公司内部服务器;
11,游客区仅能通过移动链路访问互联网;

12,对现有网络进行改造升级,将单个防火墙组网改成双机热备的组网形式,做负载分担模式,游客区和DMZ区走FW4,生产区和办公区的流量走FW1
13,办公区上网用户限制流量不超过100M,其中销售部人员在其基础上限制流量不超过60M,且销售部一共10人,每人限制流量不超过6M
14,销售部保证email应用在办公时间至少可以使用10M的带宽,每个人至少1M
15,移动链路采用的是100M的带宽,要求游客区用户仅能占用50M,并且基于在线地址进行动态均分
16,外网访问内网服务器,下行流量不超过40M,DMZ中的每台服务器限制对外提供的最大下行带宽不超过20M。

本篇文章着重问题12-16

三、实验步骤

1、问题12

(1)创建安全区域(防火墙FW1和防火墙FW4的配置相同)

(2)防火墙FW1的接口配置

  • G1/0/0接口下的DMZ区
  • GE1/0/1接口下的办公区
  • GE1/0/1接口下的生产区
  • G1/0/2接口下的电信
  • G1/0/4接口下的游客区
  • G1/0/6接口下的移动

  • HRP心跳线 ,两条链路聚合后的IP地址为10.0.3.1/24

 

(3)防火墙FW4的接口配置

  • HRP心跳线 ,两条链路聚合后的IP地址为10.0.3.2/24

(4)交换机LSW1的配置

之前的配置

现在补充:G0/0/4接口配置trunk干道,放行VLAN 2 和VLAN 3的流量

[Huawei]int g0/0/4
[Huawei-GigabitEthernet0/0/4]p l tr
[Huawei-GigabitEthernet0/0/4]p t a v 2 3

(5)配置双机热备—负载分担模式

以下两张截图,FW1和FW4配置相同 

 FW1的VRRP配置

注意:

  • 防火墙FW1的G1/0/1接口配置的实际IP地址对应于生产区和办公区分别是:生产区——10.0.1.2/24,办公区——10.0.2.2/24.
  • 防火墙FW4的G1/0/1接口配置的实际IP地址对应于生产区和办公区分别是:生产区——10.0.1.3/24,办公区——10.0.2.3/24
  • 虚拟网关VRRP1的IP地址为10.0.1.1/24,是生产区在防火墙FW1和FW4上的虚拟无效的地址;虚拟网关VRRP2的IP地址10.0.2.1/24,是办公区在防火墙FW1和FW4上的虚拟无效的额地址。

 

FW4的VRRP配置——配置内容同FW1相似

两台设备配置完之后,等待一分钟左右连接成功!

(6)做NAT策略和安全策略(只需要在一台防火墙上面做,之后可以同步配置)

测试以下:

各区分别ping一下外网环回测试地址1.1.1.1/24 

  • 生产区访问1.1.1.1/24 

  • 办公区访问1.1.1.1/24

  • 游客区访问1.1.1.1/24

  • DMZ区

 2、问题13—16(只需要在一台防火墙上面配置,之后可以同步配置)

13,办公区上网用户限制流量不超过100M,其中销售部人员在其基础上限制流量不超过60M,且销售部一共10人,每人限制流量不超过6M
14,销售部保证email应用在办公时间至少可以使用10M的带宽,每个人至少1M
15,移动链路采用的是100M的带宽,要求游客区用户仅能占用50M,并且基于在线地址进行动态均分
16,外网访问内网服务器,下行流量不超过40M,DMZ中的每台服务器限制对外提供的最大下行带宽不超过20M。

 

椛椛~
关注
  • 9
    点赞
  • 26
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
防火墙技术案例5_双机热备(负载分担)组网下的IPSec配置.pdf
11-26
防火墙技术案例5_双机热备(负载分担)组网下的IPSec配置.pdf
华为经典实验部分-防火墙加NAT【视频】
11-08
华为经典实验部分,防火墙加NAT,视频讲解。
防火墙第二次实验
最新发布
m0_74818048的博客
07-14 110
9,多出口环境基于带宽比例进行选路,但是,办公区中10.0.2.10该设备只能通过电信的链路访问互联网。10,分公司内部的客户端可以通过域名访问到内部的服务器,公网设备也可以通过域名访问到分公司内部服务器;7,办公区设备可以通过电信链路和移动链路上网(多对多的NAT,并且需要保留一个公网IP不能用来转换)8,分公司设备可以通过总公司的移动链路和电信链路访问到Dmz区的http服务器。11,游客区仅能通过移动链路访问互联网。办公区设备通过电信链路或移动链路上网。在FW1上配置全局选路策略。
防火墙NAT和智能选路实验详解(华为)
m0_64365018的博客
07-13 914
从我上面一个博客能够了解到NAT和防火墙选路原理 ——>防火墙nat和智能选路,这一章我通过实验来详解防火墙关于nat和智能选路从而能熟练使用和配置防火墙,这里使用的是华为USG6000V1、ensp模拟器进行实验。
网络安全综合实验(eNSP)(DHCP、OSPF、NAT、防火墙、ACL)
热门推荐
!不将就的博客
06-04 2万+
网络安全综合实验 一、概述 1.1 实验背景及要求 配置ACL,过滤具有某种特点的分组。 配置NAT。在企业内部结构化分层使用NAT地址。 实验测试一种网络攻击,比如SYN_Flood、MAC泛洪攻击或ARP攻击。 配置防火墙,禁止某种网络服务(防火墙在企业内网与外网之间)。 配置VPN。企业内网与外网之间可能有防火墙,也可能有NAT。从企业外部,用户不能直接访问企业内部。企业员工外出,或跨地区、跨国家企业都有跨越公众互联网,访问企业内部网络的需求。配置NAT某种VPN,比如L2TP VPN 或SSL V
华为eNSP配置NAT实验详解
m0_65992344的博客
01-21 5450
NAT(Network Address Translation)是一种网络协议,用于将私有IP地址转换为公共IP地址,实现私有网络与公共网络之间的通信。
mstp及vrrp双机热备负载均衡
12-27
所有修改都已在示例中注明,这意味着读者可以直接查看示例了解如何配置和调整MSTP和VRRP来实现双机热备负载均衡。 文件名称列表看似是随机生成的字符串,它们可能代表的是实验步骤、配置文件或网络设备的模拟模型...
Nginx+keepalived双机热备(主从模式
01-19
Nginx+keepalived双机热备(主从模式)是一种常见的负载均衡技术,用于实现高可用环境和故障转移。该技术通过将Nginx与keepalived结合,实现了前端负载均衡和高可用性。 Nginx是一款流行的开源Web服务器软件,具有...
防火墙技术案例双机热备负载分担组网下的IPSec配置.pdf
01-30
防火墙技术案例双机热备负载分担组网下的IPSec配置.pdf
双机热备负载均衡的设计与实现
04-16
针对OpenFlow SDN系统中的策略管理模块提出了一种新型的双机热备负载均衡方案,采用了服务器集群的方式,通过Keepalived和Heartbeat实现了双机热备模块,通过Nginx实现了代理服务器负载均衡模块。经工程验证有效...
服务器双机热备解决方案
08-17
数据信息是当今社会进步、发展的关键。面对日益庞大的计算机网络,用户的要求是网络能够可靠、高速、稳定地运行。当前大部分网络服务都是采用中心服务器模式(只有一台服务器),服务器的高可靠性、高可用性是网络安全运行的关键,一旦服务器出现故障,所提供的服务就会被中断,影响正常工作,并可能丢失关键数据,从而造成严重后果。无论对企业的有形和无形资产都带来不必要的损失。如何在故障情况下尽快恢复使用并保证数据的安全,已经成为一个日渐突出的问题。服务器双机热备份技术正是解决由软硬件故障引起可靠性降低的有效措施,该技术较为成熟,成本相对较低,具有安装维护简单、稳定可靠、监测直观等优点,在网络保障中获得了广泛的应用。
实战教程:如何建立双机热备系统
01-18
笔者是一名医院的网管,而医院的软件系统要求能够做到一周7×24小时工作,对于整个系统的核心服务器来说如果死机后果是灾难性的。所以采用网络服务器容错技术来保障计算机系统的可靠性是件大事!我们采用的是双机热备技术!相对于其它更高成本的容错技术来说,这是最经济且卓有成效的技术。
华为USG6000防火墙nat / nat server 配置(多出口情况)
weixin_45102241的博客
09-03 2487
FW1-policy-security-rule-lyshark] destination-zone untrust // 目标安全区域(外部)[FW1-policy-security-rule-lyshark] destination-address any // 目标地址区域。[FW1-policy-security-rule-lyshark] source-zone trust // 原安全区域(内部)[FW1] interface GigabitEthernet 1/0/2 // 选择外网接口。
华为模拟器防火墙配置实验(二)--安全策略配置部分以及NAT服务
m0_64402992的博客
01-26 1499
1,在上我们已经完成了可以点击链接查看相关配置2,现在我们只需要对进行实验配置即可剩下需要配置的需求如下:(3)生产区在工作时间内可以访问服务器区,仅可以访问HTTP服务器(4)办公区全天可以访问服务器区,其中10.0.2.10可以访问FTP服务器和HTTP服务器,10.0.2.20仅可以ping通10.0.3.10(5)办公区在访问服务器区时采用匿名认证的方式进行网上行为管理(6)办公区可以访问公网其他区域不可以。
使用eNSP配置OSPF多区域实验
滿浚的博客
04-20 1839
172.16.0.0/19 - 172.16.32.0/19 - 172.16.64.0/19 - 172.16.96.0/19 - 172.16.128.0/19 - 172.16.160.0/19 - 172.16.192.0/19 - 172.16.224.0/19 ------- 这8各网点选出6个作为私网网段其余两个作为备份网段。R3 - R4之间划分的共有网段为 --- 34.0.0.0/24。R4 - R5之间划分的共有网段为 --- 45.0.0.0/24。
【华为ensp】NAT实验汇总
m0_73767222的博客
04-21 1850
一.静态NAT配置实验实验拓扑实验需求配置静态NAT,使得PC1和PC2可以访问公网上的R3。实验步骤1.配置设备IP2.配置OSPF并配置默认路由,实现内网互通。3.配置静态NAT测试:二.动态NAT配置实验实验拓扑实验需求配置动态NAT,使得PC1和PC2可以访问公网上的R3。实验步骤设备配置IP、配置ospf和默认路由的流程与静态NAT一致不再赘述。创建地址池3.配置地址转换的ACL规则4.在接口视图下配置带地址池的NAT Outbound。
防火墙配置ENSP实验-USG6000V
weixin_38018494的博客
01-29 1801
内外网通过防火墙实现内外网互访的配置
¤转 Mysql双机热备实现
yunnick的专栏
04-11 1384
  ★预备知识 :1.双机热备 对于双机热备这一概念,我搜索了很多资料,最后,还是按照大多数资料所讲分成广义与狭义两种意义来说。 从广义上讲,就是对于重要的服务,使用两台服务器,互相备份,共同执行同一服务。当一台服务器出现故障时,可以由另一台服务器承担服务任务,从而在不需要人工干预的情况下,自动保证系统能持续提供服务。 从狭义上讲,双机热备就是使用互为备份的两台服务器共同执行同一服务,...
服务器双机热备概述
weixin_33859231的博客
06-11 612
双机热备工作意图如上所示。 问:什么时候需要双机热备呢? 答:这个问题其实比较简单,一般服务器要长年累月的工作,其备份工作就绝对少不了。所以,决定是否使用双机热备,笔者觉得应首先对系统的重要性,以及终端用户对服务中断的容忍程度进行考虑,然后再来决定是否使用双机热备。比如网络中的用户最...
负载分担防火墙双机热备配置
09-24
负载分担防火墙双机热备配置中,需要进行以下步骤: 1. 启用HRP协议:HRP(Huawei Redundancy Protocol)协议用于实现动态状态数据和关键配置命令的备份。在双机热备组网中,主防火墙出现故障时,所有流量将切换到备防火墙。为了保证流量的正常转发,需要启用HRP协议。 2. 配置会话快速备份功能:会话快速备份功能用于负载分担的工作方式,以应对报文来回路径不一致的场景。在负载分担组网下,由于两台防火墙都是主用设备,可能存在报文来回路径不一致的情况。为了防止业务中断,需要配置会话快速备份功能,使两台防火墙能够实时相互备份会话,保证回程报文能够查找到相应的会话表项。 3. 配置双机热备:通过冗余技术/协议实现动态的主备切换/负载分担双机热备技术提高了网络的可靠性,防止单点故障。可以使用VRRP虚拟路由器冗余协议来实现主备设备会话表的同步,并确保流量路径来回一致。 总结以上步骤,负载分担防火墙双机热备配置的关键是启用HRP协议、配置会话快速备份功能以及配置双机热备。这样可以确保防火墙的状态数据和配置命令得到备份,保证流量的正常转发,并提高网络的可靠性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值