ensp 双机热备 配置_【解忧番外篇】基于eNSP USG6000v的双机热备实验
前言
本实验使用华为模拟器eNSP中USG6000v完成实验。
实验拓扑
配置过程
一、导入设备包
由于USG6000v模拟器需要导入设备包才能使用,所以需要在华为企业专网下载USG6000v的设备包才能使用,根据自己eNSP的版本下载对应版本的设备包,推荐使用eNSP500或eNSP510。比如我的eNSP版本是510,那么需要进入该链接:eNSP各版本下载链接 进行设备包的下载。
下载设备包需要一个华为账户,注册一个华为账户即可完成下载。
下载完成后是以压缩包的形式存在,需要解压缩,解压缩之后的vfw_usg.vdi文件如下图所示。
进入eNSP,将USG6000v拖出来右键启动,会提示导入设备包,点击浏览选择刚才下好的vfw_usg.vdi文件即可成功导入,导入之后再次右键启动设备。
如果无法正常启动可以查看eNSP中帮助文档中FAQ部分进行错误排查。
说明:如何查看eNSP版本。进入eNSP菜单-->帮助-->关于eNSP,如图所示即可查看到eNSP的版本信息,我使用的就是510。
二、登陆USG6000v
当防火墙可以正常开启后需要输入登陆密码并确认密码,该密码用于你以后登陆该设备的登陆密码。
system-view //进入系统视图
Enter system view, return user view with Ctrl+Z.
[USG6000V1]sysname FW2 //将设备名修改为FW2
[FW2]三、配置接口IP地址
根据IP地址规划表配置路由器,防火墙以及PC等的IP地址和网关。配置过程略。
设备IP地址网关地址
FW1-G1/0/010.1.13.3/24-
FW1-G1/0/110.1.1.253/24-
FW1-G1/0/610.1.34.3/34-
FW2-G1/0/010.1.14.4/24-
FW2-G1/0/110.1.1.252/24-
FW2-G1/0/610.1.34.4/24-
AR1-G0/0/0100.1.12.1/24-
AR1-G0/0/110.1.13.1/24-
AR1-G0/0/210.1.14.1/24-
AR2-G0/0/0100.1.12.2/24-
AR2-G0/0/1100.1.1.254/24-
PC110.1.1.1/2410.1.1.254
HTTP-Server100.1.1.1/24100.1.1.254 给出FW1的G1/0/1端口的IP地址配置,其他端口配置类似,配置如下:
[FW1]interface GigabitEthernet 1/0/1 //进入G1/0/1端口
[FW1-GigabitEthernet1/0/1]ip address 10.1.1.253 24 //配置IP地址四、配置防火墙安全区域
根据规划表划分防火墙安全区域。
防火墙端口安全区域
FW1-G1/0/0Untrust
FW1-G1/0/1Trust
FW1-G1/0/6DMZ
FW2-G1/0/0Untrust
FW2-G1/0/1Trust
FW3-G1/0/6DMZ配置过程以FW1为例,FW2类似配置,配置如下:
[FW1]firewall zone trust //进入trust区域
[FW1-zone-trust]add interface GigabitEthernet 1/0/1 //将G1/0/1加入trust区域
[FW1-zone-trust]quit
[FW1]firewall zone trust
[FW1-zone-trust]add interface GigabitEthernet 1/0/1
[FW1-zone-trust]quit
[FW1]firewall zone dmz
[FW1-zone-dmz]add interface GigabitEthernet 1/0/6
[FW1-zone-dmz]quit五、配置内网路由器协议OSPF
在FW1、FW2和AR1上开启OSPFv2进程1。
[FW1]ospf 1 router-id 10.1.3.3
[FW1-ospf-1]area 0
[FW1-ospf-1-area-0.0.0.0]network 10.1.13.3 0.0.0.0
[FW1-ospf-1-area-0.0.0.0]network 10.1.1.253 0.0.0.0
[FW1-ospf-1-area-0.0.0.0]quit
[FW1-ospf-1]quit
#
[FW2]ospf 1 router-id 10.1.4.4
[FW2-ospf-1-area-0.0.0.0]network 10.1.14.4 0.0.0.0
[FW2-ospf-1-area-0.0.0.0]network 10.1.1.252 0.0.0.0
[FW2-ospf-1-area-0.0.0.0]quit
[FW2-ospf-1]quit
#
[AR1]ospf 1 router-id 10.1.1.1
[AR1-ospf-1]area 0
[AR1-ospf-1-area-0.0.0.0]network 10.1.13.1 0.0.0.0
[AR1-ospf-1-area-0.0.0.0]network 10.1.14.1 0.0.0.0
[AR1-ospf-1-area-0.0.0.0]quit
[AR1-ospf-1]quit五、配置VRRP
在FW1和FW2链接PC的网段部署主备模式VRRP,实现网关冗余备份,其中FW1为主设备。
[FW1]interface GigabitEthernet 1/0/1 //进入FW1链接PC网段的端口
[FW1-GigabitEthernet1/0/1]vrrp vrid 1 virtual-ip 10.1.1.254 active //将FW1配置为VRRP主设备
[FW1-GigabitEthernet1/0/1]quit
#
[FW2]interface GigabitEthernet 1/0/1 //进入FW2链接PC网段的端口
[FW2-GigabitEthernet1/0/1]vrrp vrid 1 virtual-ip 10.1.1.254 standby //将FW1配置为VRRP备设备
[FW2-GigabitEthernet1/0/1]quit 分别在FW1和FW2上使用display vrrp brief查看VRRP状态,FW1为Master,FW2为Backup。
在FW1和FW2上配置根据VGMP状态调整OSPF Cost值功能。
[FW1]hrp adjust ospf-cost enable
#
[FW2]hrp adjust ospf-cost enable六、配置IP-Link联动双机热备
在FW1和FW2上配置GigabitEthernet 1/0/0和GigabitEthernet 1/0/1加入同一Link-group管理组。
[FW1]interface GigabitEthernet 1/0/0
[FW1-GigabitEthernet1/0/0]link-group 1
[FW1-GigabitEthernet1/0/0]quit
[FW1]interface GigabitEthernet 1/0/1
[FW1-GigabitEthernet1/0/1]link-group 1
[FW1-GigabitEthernet1/0/1]quit
#
[FW2]interface GigabitEthernet 1/0/0
[FW2-GigabitEthernet1/0/0]link-group 1
[FW2-GigabitEthernet1/0/0]quit
[FW2]interface GigabitEthernet 1/0/1
[FW2-GigabitEthernet1/0/1]link-group 1
[FW2-GigabitEthernet1/0/1]quit 在FW1和FW2上配置VGMP组监控业务接口G1/0/0和G1/0/1。
[FW1]hrp track interface GigabitEthernet 1/0/0
[FW1]hrp track interface GigabitEthernet 1/0/1
#
[FW2]hrp track interface GigabitEthernet 1/0/0
[FW2]hrp track interface GigabitEthernet 1/0/1 在FW1和FW2上配置IP-Link,监控网络出接口。
[FW1]ip-link check enable //开启IP-Link检测功能
[FW1]ip-link name link1
[FW1-iplink-link1]destination 100.1.1.254 interface GigabitEthernet 1/0/0
[FW1-iplink-link1]quit
#
[FW2]ip-link check enable
[FW2]ip-link name link1
[FW2-iplink-link1]destination 100.1.1.254 interface GigabitEthernet 1/0/0
[FW2-iplink-link1]quit 在FW1和FW2上配置双机热备与IP-Link联动,由VGMP管理组监控IP-Link。
[FW1]hrp track ip-link link1 //HRP联动IP-Link
#
[FW2]hrp track ip-link link1 在FW1和FW2上配置HRP备份通道。
[FW1]hrp interface GigabitEthernet 1/0/6 remote 10.1.34.4
#
[FW2]hrp interface GigabitEthernet 1/0/6 remote 10.1.34.3 将FW2上配置为HRP备设备。
[FW2]hrp standby-device 在FW1和FW2上启动HRP。
[FW1]hrp enable
#
[FW2]hrp enable
说明:可能存在FW1和FW2开启HRP后,FW2为主设备Master,FW1为备设备Stanby,需要后续配置放行IP-Link流量的策略就可以恢复正常,以下的配置均在Master设备完成,可能是HRP_M[FW1]或HRP_M[FW2]。其中名字中M代表设备为Master,S代表设备为Stanby。本例中FW2在配置放行IP-Link流量之前被选举为了Master,所以配置均在FW2上完成。
在Master上启动配置命令的自动备份
HRP_M[FW2]hrp auto-sync config八、配置安全策略
在Master(本例中为FW2)上配置安全策略,使得内网主机可以访问外网服务器的HTTP服务。策略会自动同步到备份设备所以无需再备份设备配置。在配置策略后如果在Master上配置完一条命令后出现(+B)则表示配置被同步到备份设备了。
HRP_M[FW2]security-policy
HRP_M[FW2-policy-security]rule name http
HRP_M[FW2-policy-security-rule-http]source-zone trust
HRP_M[FW2-policy-security-rule-http]destination-zone untrust
HRP_M[FW2-policy-security-rule-http]source-address 10.1.1.0 24
HRP_M[FW2-policy-security-rule-http]destination-address 100.1.1.0 24
HRP_M[FW2-policy-security-rule-http]service http
HRP_M[FW2-policy-security-rule-http]action permit
HRP_M[FW2-policy-security-rule-http]quit
HRP_M[FW2-policy-security]quit 在Master上配置安全策略,放行与上行Untrust区域的路由器之间的OSPF报文。
HRP_M[FW2]security-policy
HRP_M[FW2-policy-security]rule name ospf
HRP_M[FW2-policy-security-rule-ospf]source-zone local untrust
HRP_M[FW2-policy-security-rule-ospf]destination-zone local untrust
HRP_M[FW2-policy-security-rule-ospf]action permit
HRP_M[FW2-policy-security-rule-ospf]quit
HRP_M[FW2-policy-security]quit 在AR1上通过display ospf peer brief命令查看OSPF邻居是否进入FULL状态。
在Master上配置安全策略,放行IP-Link的流量。
HRP_M[FW2]security-policy
HRP_M[FW2-policy-security]rule name link
HRP_M[FW2-policy-security-rule-link]source-zone local
HRP_M[FW2-policy-security-rule-link]destination-zone untrust
HRP_M[FW2-policy-security-rule-link]service icmp
HRP_M[FW2-policy-security-rule-link]action permit
HRP_M[FW2-policy-security-rule-link]quit
HRP_M[FW2-policy-security]quit
说明:当配置完成放行IP-Link的流量后,FW1会在抢占延时60s后成为Master,会成为HRP_M[FW1],但抢占延时默认为60s,所以可以通过在FW2上执行undo hrp enable和hrp enable重启HRP进程,即可快速完成选举。 在FW1上执行display hrp state verbose命令查看HRP的角色和联动端口的状态。
九、配置NAT
在Master-FW1上配置NAT地址池,开启端口地址转换,实现公网IP地址复用。
HRP_M[FW1]nat address-group group1
HRP_M[FW1-address-group-group1]mode pat
HRP_M[FW1-address-group-group1]section 100.1.2.1 100.1.2.3 //地址池的地址范围
HRP_M[FW1-address-group-group1]route enable
HRP_M[FW1-address-group-group1]quit 配置源NAT策略,实现私网指定网段访问Internet时自动进行源地址转换。
HRP_M[FW1]nat-policy
HRP_M[FW1-policy-nat]rule name nat1
HRP_M[FW1-policy-nat-rule-nat1]source-zone trust
HRP_M[FW1-policy-nat-rule-nat1]destination-zone untrust
HRP_M[FW1-policy-nat-rule-nat1]source-address 10.1.1.0 24
HRP_M[FW1-policy-nat-rule-nat1]action nat address-group group1
HRP_M[FW1-policy-nat-rule-nat1]quit
HRP_M[FW1-policy-nat]quit 在FW1和FW2上配置缺省路由,使私网流量可以正常转发至公网。
HRP_M[FW1]ip route-static 0.0.0.0 0 10.1.13.1
HRP_S[FW2]ip route-static 0.0.0.0 0 10.1.14.1 在FW1和FW2上执行display security-policy all命令查看策略是否配置完成。
十、配置外网路由
在AR1和AR2之间配置静态路由实现外网互通。
[AR1]ip route-static 0.0.0.0 0 100.1.12.2 //在R1上配置缺省静态路由下一跳为R2用于访问公网
#
[AR2]ip route-static 100.1.2.1 32 100.1.12.1 //在R2上配置指向公网地址池的静态路由用于数据返回
[AR2]ip route-static 100.1.2.2 32 100.1.12.1
[AR2]ip route-static 100.1.2.3 32 100.1.12.1 在FW1和FW2上将公网地址池的路由引入OSPF。当配置了公网地址池之后,地址池的地址会以UNR路由的形式出现在路由表中,所以需要在防火墙上将其引入OSPF,使得AR1可以学到公网地址池的路由,进而可以将数据转发回内网。在Master上配置ACL之后可以在Stanby设备同步。
HRP_M[FW1]acl 2000 //配置ACL2000匹配公网地址池的地址
HRP_M[FW1-acl-basic-2000]rule permit source 100.1.2.1 0
HRP_M[FW1-acl-basic-2000]rule permit source 100.1.2.2 0
HRP_M[FW1-acl-basic-2000]rule permit source 100.1.2.3 0
HRP_M[FW1-acl-basic-2000]quit
HRP_M[FW1]route-policy nat permit node 10 //配置路由策略匹配ACL 2000
HRP_M[FW1-route-policy]if-match acl 2000
HRP_M[FW1-route-policy]quit
HRP_M[FW1]ospf 1
HRP_M[FW1-ospf-1]import-route unr route-policy nat //将UNR路由引入OSPF
#
HRP_S[FW2]route-policy nat permit node 10
HRP_S[FW2-route-policy]if-match acl 2000
HRP_S[FW2-route-policy]quit
HRP_S[FW2]ospf 1
HRP_S[FW2-ospf-1]import-route unr route-policy nat配置验证
配置服务器,指定文件根目录为一个测试文件夹(该文件夹需要自己创建,并在文件夹中添加一个任意的文件),指定完成后即可在下面的框中看到文件夹中文件的名字。并启动HTTP服务器。
二、在PC1上进行HTTP测试
在PC1地址栏中输入http://100.1.1.1测试HTTP服务。
如果看到下图所示则试验成功。
说明:本实验中使用的PC为模拟器中的Client,具备HTTP客户端的功能,请注意。
如果各位对技术感兴趣,可以添加下方公众号,更多技术信息等你找到!
本帖最后由 nice_vay 于 2018-04-24 13:59 编辑
ensp 双机热备 配置_【解忧番外篇】基于eNSP USG6000v的双机热备实验相关推荐
- iOS冰与火之歌(番外篇) - 基于PEGASUS(Trident三叉戟)的OS X 10.11.6本地提权
0x00 序 这段时间最火的漏洞当属阿联酋的人权活动人士被apt攻击所使用的iOS PEGASUS(又称Trident三叉戟)0day漏洞了.为了修复该漏洞,苹果专门发布了一个iOS 9.3.5版本. ...
- python分类汇总_数据分析番外篇13_利用Python实现分类汇总
自己建立了一个数据分析兴趣小组群,在分享了一篇有关Python的介绍后,这两天大家的学习热情高涨,于是纷纷将自己的问题扔到群里诱使大家来解决,比如:如何代码实现去除文本里面的多余空格,如何将一个27万 ...
- 魔方cfop公式软件_【番外篇】CFOP玩法进阶技巧与衍生解法介绍大全!
本篇文章汇总了在CFOP玩法之上衍生出的更高级的解法,目的是向大家分享更多的魔方知识,并不涉及任何具体的公式教程,如对某些方法感兴趣,可自行了解 (★注意:以下分解图不表示先后顺序,"+&q ...
- 20.番外篇——Vue如何自定义组件并且进行全局配置
20.番外篇--如何自定义组件并且进行全局配置 前言 1.创建自定义组件 2.导出自定义组件 3.main.js中引入自定义的公共组件并挂在到Vue 4.使用自定义的公共组件 前言 通过之前的系列文章 ...
- 番外篇:STM32之GPIO口速率配置究竟代表什么
番外篇:STM32之GPIO口速率配置究竟代表什么 用过STM32的童鞋们都知道,STM32在GPIO配置时都需要选择一个GPIO速率,对于STM32F103系列芯片来说最快的配置应该是50Mhz左右 ...
- 安卓开发学习日记第四天番外篇_用Kotlin炒冷饭——越炒越小_莫韵乐的欢乐笔记
安卓开发学习日记第四天番外篇--用Kotlin炒冷饭--越炒越小 前情提要 安卓开发学习日记第一天_Android Studio3.6安装 安卓开发学习日记第二天_破坏陷阱卡之sync的坑 安卓开发学 ...
- 机器人鸣人是哪一集_火影忍者596集剧情介绍番外篇九尾抢夺指令_鸣人VS机器人版鸣人...
亲爱的火影迷们,没想到火影忍者本周竟然更新了两集,终于可以一饱眼福了,在火影忍者596集中,不仅是晓,就连大蛇丸都加入了九尾的抢夺中,袭击木叶,看鸣人等木叶的伙伴们如何迎敌,下面本网为您介绍一下火影忍 ...
- 动态正则化权重系数_蘑菇街增量学习番外篇三:deepFM的动态正则实践
欢迎关注公众号: 『诗品算法』,禁止一切未经本人@琦琦许可的转载.转载必须注明出处. 0.引言 这篇文章仍是在蘑菇街 增量学习背景下的实践,增量学习的理论很简单,但实践起来,还是有很多细节和trick ...
- 教你从0到1搭建秒杀系统-Canal快速入门(番外篇)
Canal用途很广,并且上手非常简单,小伙伴们在平时完成公司的需求时,很有可能会用到.本篇介绍一下数据库中间件Canal的使用. 很多时候为了缩短调用延时,我们会对部分接口数据加入了缓存.一旦这些数据 ...
最新文章
- String和C#中的string有什么区别?
- 计算机英语多层,多层式结构,multi-layer structure,在线英语词典,英文翻译,专业英语...
- Pycharm切换anaconda的环境
- c语言中通过分隔符取字符串,C语言切割多层字符串(strtok_r strtok使用方法)
- Docker 安装 redis 、Redis docker 方式部署
- 一文讲透数仓临时表的用法
- mqtt发布json数据_微服务实战:从架构到发布(一)
- 实训作业 4(界面2)
- ubuntu离线安装fish
- ExtJs 入门教程
- H.266/VVC代码学习:普通量化和率失真优化量化(RDOQ)
- 16个最新创意品牌Logo设计 —— “形神”兼具的设计,方显高级和质感
- 读书笔记:《群论彩图版》
- 聊一聊推荐系统中ExploitExplore算法
- 浙大计算机非全日制考试科目,浙江大学非全日制教育硕士考试科目及参考书目...
- QSSQ-Windows 10 Windows11系统版本一键切换工具
- 即构科技廖念波:构建产品矩阵,加快音视频技术全面开花
- 哈夫曼编码--贪心算法
- android7程序自启动管理在哪,开机启动管理最新版-开机启动管理软件下载v3.7.1 安卓版-腾牛安卓网...
- Jade_Primer---first program--JADE OPTIONS