Cisco 实现路由防火墙 双机热备(项目记录)
最近收到一个新的项目,双路由器、双防火墙、双交换机实现全网互通
因实际项目采用全Cisco 设备,故这次展示及命令为Cisco,华为也尝试过也能完全实现,若有需求我会在发一份华为的配置
在EVE上模拟整个项目:
网络拓扑图如下:Cisco
华为拓扑图如下:(ENSP大家都可以自己搭建来玩玩)
这篇文章我们仅对Cisco设备进行描述,ok我们开始进入正题
================================================================================================
首先,因为EVE没办法模拟VSS故我们用一台交换机来替代,VPC1代表DB-ZONE、VPC2代表APP-ZONE
VPC1:172.16.10.1 24/172.16.10.254
VPC2:172.16.20.1 24/172.16.20.254
交换机作为2层交换机,防火墙做单臂路由,因为客户要实现APP和DB放在不同的DMZ区进行隔离
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------
开始配置:
VPC1:
ip 172.16.10.1 255.255.255.0 172.16.10.254
save
VPC2:
ip 172.16.20.1 255.255.255.0 172.16.20.254
save
交换机配置
en
config t
hostname VSS
vlan 10
vlan20
int vlan 10
ip add 172.16.10.2 255.255.255.0
int vlan 20
ip add 172.16.20.2 255.255.255.0
interface GigabitEthernet0/0
switchport trunk encapsulation dot1q
switchport mode trunk
negotiation auto
interface GigabitEthernet0/1
switchport trunk encapsulation dot1q
switchport mode trunk
negotiation auto
interface GigabitEthernet0/2
switchport access vlan 10
switchport mode access
negotiation auto
interface GigabitEthernet0/3
switchport access vlan 20
switchport mode access
negotiation auto
ok重点开始了 防火墙配置 OSPF,failover,单臂路由
ASA-A(主防火墙)
先配置单臂接口和其他子接口:
interface Ethernet0
nameif DMZ
security-level 50
ip address 172.16.30.1 255.255.255.0 standby 172.16.30.2
interface Ethernet1
no nameif
no security-level
no ip address
interface Ethernet1.10
vlan 10
nameif DB
security-level 100
ip address 172.16.10.254 255.255.255.0
interface Ethernet1.20
vlan 20
nameif APP
security-level 100
ip address 172.16.20.254 255.255.255.0
interface Ethernet2
description STATE Failover Interface (同步会话)
interface Ethernet3
description LAN Failover Interface (同步配置)
端口配置完成后 我们开始放行流量为了 保证全部验证通过 先permit any any
same-security-traffic permit inter-interface---------------------(同安全级别的子接口互访)
access-list acl_DB extended permit ip any any
access-list acl_DB extended permit icmp any any
access-list acl_APP extended permit icmp any any
access-list acl_APP extended permit ip any any
access-list acl_DMZ extended permit ip any any
access-list acl_DMZ extended permit icmp any any
access-group acl_DMZ in interface DMZ
access-group acl_DB in interface DB
access-group acl_APP in interface APP
全部放通以后,一定要先测试是否能通到172.16.10.254 和20.254 以及DB和APP是否能能够互通
如图:
然后配置双机热备:
failover
failover lan unit primary ------------------------------------------------设置为主
failover lan interface HA Ethernet3----------------------------------设置failover的接口,此接口用来检测心跳和同步配置
failover link stateful Ethernet2----------------------------------------设置名称
failover interface ip HA 1.1.1.1 255.255.255.0 standby 1.1.1.2---设置failover主备地址
failover interface ip stateful 2.1.1.1 255.255.255.0 standby 2.1.1.2-设置failover link主备地址
主防火墙这里就全部配置完成这里为了偷懒 我起了OSPF配置如下:
router ospf 100
network 172.16.10.0 255.255.255.0 area 0
network 172.16.20.0 255.255.255.0 area 0
network 172.16.30.0 255.255.255.0 area 0
log-adj-changes
default-information originate ----------------------------下发缺省
主防火墙到这里就全部配置完成、我们开始配置备防火墙
interface eth3
no shutdown
failover lan unit secondary
failover lan interface ha eth3
failover interface ip ha 1.1.1.1 255.255.255.0 standby 1.1.1.2
failover
这样我们就配置完成,后续的所有配置都会自动同步到备上,
ok我们开始配置路由器,主要配置的技术有nat,ospf、HSRP
同理我们先配置端口,这里就不写上去了
配置ospf:
router ospf 100
network 172.16.30.0 0.0.0.255 area 0
network 192.168.10.0 0.0.0.255 area 0
default-information originate
然后我们配置HSRP
interface GigabitEthernet0/3
ip address 172.16.30.3 255.255.255.0
ip nat inside ----------------------这里先写了 用于nat
ip virtual-reassembly in
standby 10 ip 172.16.30.254 ----vip
standby 10 priority 101--------------优先级
standby 10 preempt-----------------开启抢占模式
standby 10 track 10 decrement 10----链路检测机制
track 10 interface GigabitEthernet0/0 line-protocol-----先定义track
nat:
access-list 10 permit 172.16.30.0 0.0.0.255
access-list 10 permit 172.16.10.0 0.0.0.255
access-list 10 permit 172.16.20.0 0.0.0.255-----------------先设置规则
ip nat inside source list 10 interface GigabitEthernet0/0 overload
ip route 0.0.0.0 0.0.0.0 202.106.1.1
自从 我们整个网络就全部完成啦,备的配置请查考主路由器。
测试:
测试主防火墙shutdown
完成整个实验。
后续如果有需要华为的配置人多的话,我也会整理一份出来。
Cisco 实现路由防火墙 双机热备(项目记录)相关推荐
- 防火墙双机热备三大协议(VRRP-VGMP-HRP)原理
防火墙双机热备技术 双机热备概述: 为什么需要要双机热备? 解决单点故障,实现业务的平滑过渡(会话表需要同步的) 双机热备的两种部署方式: 主备方式 负载分担分时. 防火墙双机热备产生的原因,详细内容 ...
- 防火墙双机热备配置实例(三)
今天继续给大家介绍HCIE安全系列相关内容.本文以华为eNSP模拟器为例,实现了配置防火墙双击热备技术配置实例,采用的是上下行交换机配置VRRP的主备模式. 阅读本文,您需要有一定的防火墙配置基础和防 ...
- 华为防火墙双机热备技术:HRP、VGMP、VRRP,三大技术值得一学!
防火墙双机热备,主要是提供冗余备份的功能,在网络发生故障的时候避免业务出现中断.防火墙双机热备组网根据防火墙的模式, 分路由模式下的双机热备组网和透明模式下的双机热备组网,下面分别根据防火墙的不同模式 ...
- 防火墙双机热备技术详解
今天继续给大家介绍HCIE安全相关内容.本文主要介绍防火墙双机热备技术. 阅读本文,您需要对防火墙相关理论知识有一定了解,如果您对此还存在困惑,欢迎您查阅我博客内的其他文章,相信您一定会有所收获! 一 ...
- 华为防火墙双机热备(VGMP+HRP)理论+实操!
文章目录 前言 一:华为防火墙双机热备理论 1.1:概念 1.2:特点 1.3:华为防火墙双机热备的方式 二:华为防火墙双机热备实验 2.1:环境 2.2:拓扑图 2.3:实验目的 2.4:实验过程 ...
- 防火墙双机热备配置实例(一)
今天继续给大家介绍HCIE安全.本文以华为eNSP模拟器为例,实现了配置防火墙双击热备技术配置实例,采用的是上下行交换机配置VRRP的主备模式. 阅读本文,您需要有一定的防火墙配置基础和防火墙双机热备 ...
- 防火墙双机热备,DHCP服务器,核心交换机负载分担及冗余设计
文章目录 目录: 一.防火墙双机热备技术概念 二.配合使用的相关技术指导 三.设计要求及拓扑图 四:配置过程及相应命令 总结 一.防火墙热备概述: 一般而言,防火墙部署于公司网络的出口 ...
- 华为防火墙双机热备学习笔记(V500)
华为防火墙双机热备学习笔记(V500) 双机产生背景 防火墙与路由器.三层交换机设备双机部署的差别 双机热备协议架构 HRP 心跳线 防火墙的双机部署 VRRP 虚拟路由冗余协议 VGMP vrrp组 ...
- 防火墙双机热备+负载分担
防火墙双机热备+负载分担实验步骤 防火墙双机热备+负载分担实验以及两者之间的区别,通过实验.配置思路加深理解 负载分担: 防火墙双击热备和负载分担的区别就在于在双机热备模式下,fw1既是pc1的网关, ...
- 配置华为防火墙双机热备
Web配置防火墙双机热备: 命令行配置防火墙双机热备: FW1 [FW1]int g1/0/1 //进入接口 [FW1-GigabitEthernet1/0/1]vrrp vrid 1 virtual ...
最新文章
- Python中的一些“小坑”
- XML-RPC协议学习
- 前端学习(2937):vue对象之间的实例属性
- Zookeeper 辅助 API
- 关于无法获取客户端IP地址
- GitHub 报告:中国755万开发者排全球第二
- 微服务升级_SpringCloud Alibaba工作笔记0001---新一代网关spring gateway和zuul的关系说明
- JS与PHP向函数传递可变参数的区别
- python模块 - re模块使用示例
- 简单区块链Python实现
- C语言程序的开发过程
- 泛微OA设置系统默认水印
- 植物大战僵尸修改办法
- IDEA格式化js代码
- PX4中四元数更新(毕卡求解法与一阶龙格库塔)
- OpenCV-Python+Moviepy 结合进行视频特效处理
- 打造你的微信自动回复智障机器人
- java七年_阿里七年Java程序员的总结,献给还在迷茫中的你!
- 网站前端开发必会基础知识有哪些?
- Redis淘汰机制(Eviction policies)