防火墙的双机热备配置

最新推荐文章于 2023-08-30 17:53:41 发布
最新推荐文章于 2023-08-30 17:53:41 发布
阅读量2.6k 收藏 14
点赞数 1
文章标签: 网络 服务器 运维 华为 网络协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zszfs/article/details/127536663
版权

配置防火墙主备

组网需求

公司A基于确保内部网络安全性的考虑,在内外网络之间部署了防火墙。由于防火墙设备是所有信息流都必须通过的单一节点,故一旦防火墙设备出现故障所有信息流都会中断。为了增强网络的可靠性,保证当防火墙设备出现故障时不中断网络,公司A利用两台设备实现防火墙主备功能,如图1所示。

图1 配置防火墙主备示例

配置思路

正常情况下,公司A内的用户主机以RouterA为默认网关接入Internet,当RouterA出现故障时,RouterB接替RouterA继续进行工作。具体配置思路如下:

  1. 配置各设备接口IP地址及路由协议,以保证各设备间网络层连通。

  2. 在RouterA和RouterB上分别配置防火墙功能,实现公司内外网的安全隔离。

  3. 在RouterA和RouterB上配置VRRP备份组。其中,RouterA上配置较高优先级,作为主用设备承担流量转发;RouterB上配置较低优先级,作为备用设备。
  4. 在RouterA和RouterB上配置双机热备份功能,将RouterA上的业务信息通过备份链路批量备份和实时备份到RouterB上,保证在主设备故障时业务能够不中断地顺利切换到备份设备。
  5. 在RouterA和RouterB上分别使能防火墙主备功能,实现当主用防火墙设备RouterA出现故障时,备用防火墙设备RouterB启动防火墙功能,以保证网络的不间断运行。

操作步骤

  1. 配置设备间的网络互连。

    # 配置设备各接口的IP地址,以RouterA为例。RouterB的配置与之类似,详见配置文件。

    <Huawei> system-view
[Huawei] sysname RouterA
[RouterA] interface gigabitethernet 1/0/0
[RouterA-GigabitEthernet1/0/0] ip address 192.168.1.1 24
[RouterA-GigabitEthernet1/0/0] quit
[RouterA] interface gigabitethernet 2/0/0
[RouterA-GigabitEthernet2/0/0] ip address 10.1.1.1 24
[RouterA-GigabitEthernet2/0/0] quit
[RouterA] interface gigabitethernet 3/0/0
[RouterA-GigabitEthernet3/0/0] ip address 192.168.2.1 24
[RouterA-GigabitEthernet3/0/0] quit

    # 配置Switch的二层透传功能。

    <Huawei> system-view
[Huawei] sysname Switch
[Switch] vlan 100
[Switch-vlan100] quit
[Switch] interface gigabitethernet 0/0/1
[Switch-GigabitEthernet0/0/1] port hybrid pvid vlan 100
[Switch-GigabitEthernet0/0/1] port hybrid untagged vlan 100
[Switch-GigabitEthernet0/0/1] quit
[Switch] interface gigabitethernet 0/0/2
[Switch-GigabitEthernet0/0/2] port hybrid pvid vlan 100
[Switch-GigabitEthernet0/0/2] port hybrid untagged vlan 100
[Switch-GigabitEthernet0/0/2] quit

  2. 配置防火墙功能。

    # 在RouterA上配置防火墙功能,RouterB的配置与之类似,详见配置文件。

    [RouterA] firewall zone trust
[RouterA-zone-trust] priority 15
[RouterA-zone-trust] quit
[RouterA] firewall zone untrust
[RouterA-zone-untrust] priority 1
[RouterA-zone-untrust] quit
[RouterA] firewall interzone trust untrust
[RouterA-interzone-trust-untrust] firewall enable
[RouterA-interzone-trust-untrust] quit

    # 在RouterA上将接口加入安全区域,RouterB的配置与之类似,详见配置文件。

    [RouterA] interface gigabitethernet 1/0/0
[RouterA-GigabitEthernet1/0/0] zone untrust
[RouterA-GigabitEthernet1/0/0] quit
[RouterA] interface gigabitethernet 2/0/0
[RouterA-GigabitEthernet2/0/0] zone trust
[RouterA-GigabitEthernet2/0/0] quit
[RouterA] interface gigabitethernet 3/0/0
[RouterA-GigabitEthernet3/0/0] zone untrust
[RouterA-GigabitEthernet3/0/0] quit

  3. 配置VRRP备份组。

    # 在RouterA上创建VRRP备份组1,配置RouterA在该备份组中的优先级为120。

    [RouterA] interface gigabitethernet 2/0/0
[RouterA-GigabitEthernet2/0/0] vrrp vrid 1 virtual-ip 10.1.1.111
[RouterA-GigabitEthernet2/0/0] vrrp vrid 1 priority 120
[RouterA-GigabitEthernet2/0/0] quit

    # 在RouterB上创建VRRP备份组1,其在该备份组中的优先级为缺省值100。

    [RouterB] interface gigabitethernet 2/0/0
[RouterB-GigabitEthernet2/0/0] vrrp vrid 1 virtual-ip 10.1.1.111
[RouterB-GigabitEthernet2/0/0] quit

  4. 配置双机热备份功能,并使能防火墙主备功能。

    # 在RouterA上创建HSB主备服务0,并配置其主备通道IP地址和端口号。

    [RouterA] hsb-service 0
[RouterA-hsb-service-0] service-ip-port local-ip 192.168.1.1 peer-ip 192.168.1.2 local-data-port 10241 peer-data-port 10241
[RouterA-hsb-service-0] quit

    # 在RouterB上创建HSB主备服务0,并配置其主备通道IP地址和端口号。

    [RouterB] hsb-service 0
[RouterB-hsb-service-0] service-ip-port local-ip 192.168.1.2 peer-ip 192.168.1.1 local-data-port 10241 peer-data-port 10241
[RouterB-hsb-service-0] quit

    # 在RouterA上创建HSB备份组0,并配置其绑定HSB主备服务0和VRRP备份组1。RouterB的配置与之类似,详见配置文件。

    [RouterA] hsb-group 0
[RouterA-hsb-group-0] bind-service 0
[RouterA-hsb-group-0] track vrrp vrid 1 interface gigabitethernet 2/0/0
[RouterA-hsb-group-0] quit

    # 在RouterA上使能防火墙主备功能,RouterB的配置与之类似,详见配置文件。

    [RouterA] hsb-service-type firewall hsb-group 0

    # 在RouterA上使能HSB备份组0,使HSB备份组的相关配置生效。RouterB的配置与之类似,详见配置文件。

    [RouterA] hsb-group 0
[RouterA-hsb-group-0] hsb enable
[RouterA-hsb-group-0] quit

  5. 验证配置结果。

    # 完成上述配置以后, 在RouterA和RouterB上执行display hsb-group group-index命令,查看HSB备份组的运行情况。RouterA和RouterB上的显示信息如下。

    <RouterA> display hsb-group 0
Hot Standby Group Configuration:
----------------------------------------------------------
  HSB-group ID                : 0                                
  Vrrp Group ID               : 1                                
  Vrrp Interface              : GigabitEthernet2/0/0                        
  Service Index               : 0                                
  Group Vrrp Status           : Master                           
  Group Status                : Active                           
  Group Backup Process        : Realtime                         
  Peer Group Device Name      : Router                     
  Peer Group Software Version : V300R003
  Group Backup Modules        : Firewall                
    <RouterB> display hsb-group 0
Hot Standby Group Configuration:
----------------------------------------------------------
  HSB-group ID                : 0                                
  Vrrp Group ID               : 1                                
  Vrrp Interface              : GigabitEthernet2/0/0                        
  Service Index               : 0                                
  Group Vrrp Status           : Backup                           
  Group Status                : Inactive                         
  Group Backup Process        : Realtime                         
  Peer Group Device Name      : Router                     
  Peer Group Software Version : V300R003
  Group Backup Modules        : Firewall

    # 在RouterA的接口GE2/0/0上执行shutdown命令,模拟RouterA出现故障。

    [RouterA] interface gigabitethernet 2/0/0
[RouterA-GigabitEthernet2/0/0] shutdown
[RouterA-GigabitEthernet2/0/0] quit

    # 在RouterB上执行display hsb-group group-index命令查看HSB备份组状态信息,可以看到RouterB的状态是Master。

    <RouterB> display hsb-group 0
Hot Standby Group Configuration:
----------------------------------------------------------
  Hsb-group ID                : 0
  Vrrp Group ID               : 1
  Vrrp Interface              : GigabitEthernet2/0/0
  Service Index               : 0                                
  Group Vrrp Status           : Master                      
  Group Status                : Independent                      
  Group Backup Process        : Realtime                         
  Peer Group Device Name      : Router                     
  Peer Group Software Version : V300R003
  Group Backup Modules        : Firewall

配置文件

  • RouterA的配置文件

    #
sysname RouterA
#
hsb-service-type firewall hsb-group 0
#
interface GigabitEthernet1/0/0
 ip address 192.168.1.1 255.255.255.0
 zone untrust
#
interface GigabitEthernet2/0/0
 ip address 10.1.1.1 255.255.255.0
 vrrp vrid 1 virtual-ip 10.1.1.111
 vrrp vrid 1 priority 120
 zone trust
#
interface GigabitEthernet3/0/0
 ip address 192.168.2.1 255.255.255.0
 zone untrust
#
hsb-service 0
 service-ip-port local-ip 192.168.1.1 peer-ip 192.168.1.2 local-data-port 10241 peer-data-port 10241
# 
firewall zone trust
 priority 15
#                                                                               
firewall zone untrust                                                           
 priority 1                                                                     
#                                                                               
firewall interzone trust untrust                                                
 firewall enable
#
hsb-group 0
 track vrrp vrid 1 interface GigabitEthernet2/0/0
 bind-service 0
 hsb enable
#
return

  • RouterB的配置文件

    #
sysname RouterB
#
hsb-service-type firewall hsb-group 0
#
interface GigabitEthernet1/0/0
 ip address 192.168.1.2 255.255.255.0
 zone untrust
#
interface GigabitEthernet2/0/0
 ip address 10.1.1.2 255.255.255.0
 vrrp vrid 1 virtual-ip 10.1.1.111
 zone trust
# 
interface GigabitEthernet3/0/0
 ip address 192.168.2.2 255.255.255.0
 zone untrust
#
firewall zone trust
 priority 15
#                                                                               
firewall zone untrust                                                           
 priority 1                                                                     
#                                                                               
firewall interzone trust untrust                                                
 firewall enable
#              
hsb-service 0
 service-ip-port local-ip 192.168.1.2 peer-ip 192.168.1.1 local-data-port 10241 peer-data-port 10241
#
hsb-group 0
 track vrrp vrid 1 interface GigabitEthernet2/0/0
 bind-service 0
 hsb enable
#
return

  • Switch的配置文件

    #
sysname Switch
#
vlan batch 100
#
interface GigabitEthernet0/0/1
 port hybrid pvid vlan 100
 port hybrid untagged vlan 100
#
interface GigabitEthernet0/0/2
 port hybrid pvid vlan 100
 port hybrid untagged vlan 100
#
return
周三叁
关注
  • 1
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
防火墙双机热备配置及组网指导
07-16
防火墙双机热备配置及组网指导: 防火墙双机热备典型组网 防火墙双机热备命令行说明 ……
防火墙实验二——实现域间、域内双向NAT、双机热备实验
lml_0916的博客
09-12 1068
这个图是基于防火墙一的图,里面的基本配置都是基于上一个实验来进行的。这里的目的端口转换填写的是80;然后备用防火墙(FW2)变成了主用装态。添加一个新的防火墙和一个hub。同样还是在刚刚的界面;它的撞他已经改位是备用状态。对于源转换地址池的配置
双机热备配置
baidu_41701694的博客
06-29 1864
双机热备防火墙<USG 6000> 思路: 1-每设备先处理IP地址 2-配置双机热备 3-设置ospf协议使机器相同 注意:防火墙开启需要时间,本人在配双机热备十多次,命令都是正确的,但是使用命令查看时总是不成功,等待5-10分钟同步后才正常使用。 设置路由1的IP地址: 设置路由2的地址: 这里提示一个常用命令:undo information enable (undo info en) R3路由地址设置: 【注意:在这里我想到如果外网的网段是划分的vlan,则需要设置虚拟路由】
防火墙双机热备配置实例(一)
永远是少年
07-31 4442
今天继续给大家介绍HCIE安全。本文以华为eNSP模拟器为例,实现配置防火墙双击热备技术配置实例,采用的是上下行交换机配置VRRP的主备模式。 一、实验目的及拓扑 实验拓扑如上所示,现在两台防火墙上下行设备都是交换机,防火墙都是运行于路由模式,现在要求按照图示要求配置防火墙A/S模式双机热备组网。 二、实验配置命令 (一)接口VRRP配置命令 在本实验中,防火墙双机热备检测的是接口上的VRRP状态,其命令配置与普通VRRP配置大致相同,但是vrrp后面必须配置active或者standby表明此VRRP
防火墙防火墙双机热备
2301_76769041的博客
08-30 3126
双机热备需要两台硬件和软件配置均相同的华为防火墙,两台华为防火墙之间通过一条独立的链路连接,这条链路通常被称之为“心跳线”,两台华为防火墙通过心跳线了解对端的健康状况,向对端备份配置和表项(如会话表、IPSec SA等),当一台防火墙出现故障时,业务流量能平滑地切换到另一台设备上处理,使业务不中断。
华为防火墙双机热备配置及组网.pdf
11-03
华为防火墙双机热备配置及组网.pdf
防火墙双机热备3.3配置案例.pdf
03-27
防火墙双机热备3.3配置案例.pdf防火墙双机热备3.3配置案例.pdf防火墙双机热备3.3配置案例.pdf防火墙双机热备3.3配置案例.pdf防火墙双机热备3.3配置案例.pdf
SecPath-防火墙双机热备典型配置.doc
12-23
SecPath-防火墙双机热备典型配置.doc
ENSP配置防火墙和路由器双机热备
10-22
涉及的技术NAT、VRRP、OSPF、HA、VGMP,里面含命令和讲解,在我的博客上面有写Cisco的配置欢迎大家一起交流学习
华为防火墙双机热备配置手册
12-01
华为防火墙双机热备配置手册,适用于Quidway Eudemon 300/500/1000等型号
防火墙双机热备配置案例.pdf
01-10
防火墙双机热备配置案例.pdf
华为防火墙配置双机热备
1风天云月的博客
12-10 1万+
​ 目录 前言 一、双机热备概述 1、双机热备介绍 2、双机热备的要求 (1)硬件要求 (2)软件要求 (3)License要求 3、心跳线 4、心跳线和心跳接口的配置 5、心跳线和心跳接口的配置注意事项 6、双机热备工作模式 (1)主备备份模式 (2)负载分担模式 7、VGMP组 8、VGMP组的状态 二、双机热备配置 1、案例 2、配置过程 (1)USG1 (2)USG2 (3)AR1 (4)SW1 3、测试 (1)PC1 (2)PC2 结
防火墙双机热备(应用场景分析及配置
pink___floyd的博客
08-07 4389
vrrp vgmp hrp 上路下交
防火墙双机热备
dz804355207的博客
06-14 980
两台FW之间通过一条独立的链路连接(可以跨交换机、路由器或者直连)传递双端FW的状态、配置等信息,不传递业务报文,称之为心跳线,心跳线两端端口被称为心跳端口。对象: 包括邮件地址组、签名、安全配置文件(反病毒、入侵防御系统、URL过滤、文件过滤、内容过滤、应用行为控制、邮件过滤等)会话表、SeverMap表、IP监控表、分片缓存表、GTP表、黑名单、PAT方式端口映射表、NO-PAT方式地址映射表。策略: 包括安全策略、NAT策略、带宽管理、认证策略、攻击防范、黑名单、ASPF等。
华为计算机网络--防火墙双机热备及其实验配置
爱学习的JackYang的博客
12-15 2675
华为网络 防火墙 双机热备
防火墙双机热备配置实例(二)
永远是少年
07-31 2229
今天继续给大家介绍HCIE安全系列内容。本文使用华为eNSP模拟器,实现了镜像模式下华为防火墙双机热备配置实例。 阅读本文,您需要有一定的防火墙配置基础和防火墙双机热备理论基础,如果您对此还存在困惑,欢迎查阅我博客内的其他文章,相信您一定会有所收获! 推荐先导文章阅读: VGMP协议详解 HRP协议详解 防火墙双机热备技术详解 一、实验目的及拓扑 实验拓扑如上所示,现在要求两台防火墙配置透明模式下双机热备。 二、实验配置命令 当防火墙工作在透明模式下后,两台防火墙相当于一台防火墙来进行使用,他们的所有的配
防火墙——双机热备理论讲解
热门推荐
m0_49864110的博客
04-22 1万+
本端和对端协商失败。有可能是因为本端和对端设备的软件版本不一致、某端配置错误、对端设备的心跳接口状态为Down、HRP源或目的端口号被修改、或者底层链路不通等原因导致。会话表、SeverMap表、IP监控表、分片缓存表、GTP表、黑名单、PAT方式端口映射表、NO-PAT方式地址映射表。两台设备一主一备,正常情况下业务流量由主设备处理,当主设备故障时,业务流量平滑切换到备用设备进行处理,业务不中断。开启自动备份后,当主用设备配置了一条可备份的命令或产生了可备份的会话表状态时,会直接备份到备用设备上。
防火墙双机热备--命令行方式
weixin_49196285的博客
12-11 2743
1.搭建实验拓扑图: 2.对PC进行基础的信息配置 3.对Serve1进行信息配置: 4.对以上进行配置完成以后,开始对防火墙进行信息配置: FW4: <USG6000V1>u t m Info: Current terminal monitor is off. <USG6000V1>sy Enter system view, return user view with Ctrl+Z. [USG6000V1]sysname FW4 [FW4]int g1/0/0 [FW4-Gi
负载分担防火墙双机热备配置
最新发布
09-24
在负载分担防火墙双机热备配置中,需要进行以下步骤: 1. 启用HRP协议:HRP(Huawei Redundancy Protocol)协议用于实现动态状态数据和关键配置命令的备份。在双机热备组网中,主防火墙出现故障时,所有流量将切换...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

周三叁

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值