网络设备主备配置系列3:华为防火墙(路由模式)
2024-05-11 20:51:45
自从推荐主备配置系列以来,许多网友一起与我沟通配置的方法。这两天终于有时间了,决定继续推出华为的。共分两部分,路由模式与透明模式!
双机热备,所谓双机热备其实是双机状态备份,当两台防火墙,在确定主从防火墙后,由主防火墙进行业务的转发,而从防火墙处于监控状态,同时主防火墙会定时向从防火墙发送状态信息和需要备份的信息,当主防火墙出现故障后,从防火墙会及时接替主防火墙上的业务运行。状态备份最主要的优点,是可以保护当前业务不会中断.
实现双机热备的基本步骤:
(1)在接口上配置VRRP(虚拟路由器冗余协议)备份组,来发现防火墙的故障情况;
(2)将VRRP备份组加入到VGMP( VRRP组管理协议)中,以实现对VRRP管理组的统一管理;
(3)使能HRP(华为冗余协议),实现双机情况下的信息备份。
设计思路:
1、其实就是个口字型网络,主备设备间起TRUNK, 交换机与防火墙互联为access口,
2、交换机与防火墙互为VRRP,A和B交换浮动IP192.168.0.3,防火墙浮动IP为192.168.0.6
C和D交换机浮动IP192.168.1.3,防火墙浮动IP为192.168.1.6
3、两个防火墙间通过一个网口作芯跳,HRP
4、上面和下面的两组交换机配置方法一样。本文只列出上面的。。
配置:交换机,此处就不配置TRUNK和ACCESS口的方法了。
三层A
interface Vlan-interface803
description To_Eudemon500A
ip address 192.168.0.1 255.255.255.248
vrrp vrid 4 virtual-ip 192.168.0.3
vrrp vrid 4 priority 120
description To_Eudemon500A
ip address 192.168.0.1 255.255.255.248
vrrp vrid 4 virtual-ip 192.168.0.3
vrrp vrid 4 priority 120
三层B
interface Vlan-interface803
description To_Eudemon500B
ip address 192.168.0.2 255.255.255.248
vrrp vrid 4 virtual-ip 192.168.0.3
interface Vlan-interface803
description To_Eudemon500B
ip address 192.168.0.2 255.255.255.248
vrrp vrid 4 virtual-ip 192.168.0.3
防火墙:
1,eudemon 500A配置:
sysname FW-E500-A
super password level 3 ciper huawei
web-manager enable
web-manager security enable
acl number 3000
description permit-all
rule permit ip
firewall zone trust
set priority 85
add int g1/0/0
firewall zone untrust
set priority 5
add int g1/0/1
firewall zone hrp
set priority 30
add int g4/0/1
int g1/0/0
de to_switch_A
ip address 192.168.0.4 255.255.255.248
vrrp vrid 10 virtual-ip 192.168.0.6
vrrp vrid 10 pri 120
int g1/0/1
de to_switch_C
ip address 192.168.1.4 255.255.255.248
vrrp vrid 15 virtual-ip 192.168.1.6
vrrp vrid 15 pri 120
de to_switch_C
ip address 192.168.1.4 255.255.255.248
vrrp vrid 15 virtual-ip 192.168.1.6
vrrp vrid 15 pri 120
int g4/0/1
de HA_to_E500-B
ip address 192.168.3.1 255.255.255.0
vrrp vrid 20 virtual-ip 192.168.1.3
vrrp vrid 20 pri 120
de HA_to_E500-B
ip address 192.168.3.1 255.255.255.0
vrrp vrid 20 virtual-ip 192.168.1.3
vrrp vrid 20 pri 120
vrrp group 1
add interface ethernet4/0/1 vrrp vrid 30 data
add interface ethernet4/0/1 vrrp vrid 30 data
transfer-only
add interface ethernet1/0/0 vrrp vrid 10 data
add interface ethernet1/0/1 vrrp vrid 20 data
vrrp-group pri 105
vrrp-group preempt
vrrp-group enable
add interface ethernet1/0/0 vrrp vrid 10 data
add interface ethernet1/0/1 vrrp vrid 20 data
vrrp-group pri 105
vrrp-group preempt
vrrp-group enable
hrp enable
hrp interface g4/0/1
fire intzone trust local
pack 3000 in
pack 3000 out
fire intzone untrust local
pack 3000 in
pack 3000 out
pack 3000 in
pack 3000 out
fire intzone trust untrust
aaa
local-user huawei password simple huawei
local-user huawei service-type web telnet ssh
local-user huawei level 0
user-interface vty 0 4
authentication-mode aaa
user privilege level 0
2、eudemon 500B配置
sysname FW-E500-B
super password level 3 ciper huawei
web-manager enable
web-manager security enable
acl number 3000
description permit-all
rule permit ip
firewall zone trust
set priority 85
add int g1/0/0
firewall zone untrust
set priority 5
add int g1/0/1
firewall zone hrp
set priority 30
add int g4/0/1
int g1/0/0
de to_switch-B
ip address 192.168.0.5 255.255.255.248
vrrp vrid 10 virtual-ip 192.168.0.6
int g1/0/1
de to_switCh-D
ip address 192.168.1.5 255.255.255.248
vrrp vrid 15 virtual-ip 192.168.1.6
de to_switCh-D
ip address 192.168.1.5 255.255.255.248
vrrp vrid 15 virtual-ip 192.168.1.6
int g4/0/1
de HA_to_FW-E500-B
ip address 192.168.3.2 255.255.255.0
vrrp vrid 20 virtual-ip 192.168.3.3
de HA_to_FW-E500-B
ip address 192.168.3.2 255.255.255.0
vrrp vrid 20 virtual-ip 192.168.3.3
vrrp group 1
add interface ethernet4/0/1 vrrp vrid 30 data transfer-
add interface ethernet4/0/1 vrrp vrid 30 data transfer-
only
add interface ethernet1/0/0 vrrp vrid 10 data
add interface ethernet1/0/1 vrrp vrid 20 data
vrrp-group preempt
vrrp-group enable
add interface ethernet1/0/0 vrrp vrid 10 data
add interface ethernet1/0/1 vrrp vrid 20 data
vrrp-group preempt
vrrp-group enable
hrp enable
hrp interface g4/0/1
fire intzone trust local
pack 3000 in
pack 3000 out
fire intzone untrust local
pack 3000 in
pack 3000 out
pack 3000 in
pack 3000 out
fire intzone trust untrust
pack 3002 in
pack 3001 out
pack 3002 in
pack 3001 out
aaa
local-user huawei password simple huawei
local-user huawei service-type web telnet ssh
local-user huawei level 0
user-interface vty 0 4
authentication-mode aaa
user privilege level 0
1. 双机热备的注意点
(1)对于双机热备目前只支持两台设置进行备份,不支持多台设备进行备份。但对于只使用VRRP的组网可以支持多台设备进行冗余备份;
(2)由于双机热备中具有备份机制可以备份动态信息和命令,因此要求进行双机热备的两台设备板卡的位置,以及接口卡的类型都要求相同,否则会出现主防火墙备份过去的信息,与从防火墙根本就无法进行搭配使用,如出现主备状态切换就会导致业务出问题。
(3)进行双机热备的两台防火墙中的配置文件最好为初始配置或保证两台设备配置相同,以免由于先前的配置而导致业务问题。
本文转自小侠唐在飞 51CTO博客,原文链接:http://blog.51cto.com/xiaoxia/64142,如需转载请自行联系原作者
网络设备主备配置系列3:华为防火墙(路由模式)相关推荐
- 华为防火墙路由模式配置(三)
实验背景: 由于公司在园区内扩展,将现网分享给另一个办公区域,同时加一台华为防火墙,为了尽量少改现网配置,并不将FW部署在出口,而是部署在出口路由与三层交换之间: 实验目的: 掌握简单配置防火墙路由模 ...
- juniper 防火墙主备配置同步不了解决方案
juniper 5200防火墙主备配置同步不了解决方案 登录防火墙查看日志,赫然显示双机冗余的配置不同步.登录备机防火墙,键入"exec nsrp sync global-config ch ...
- Nginx+Keepalived主备配置
一. 需求 Nginx以其高并发处理能力,CPU和内存的低占用,被越来越多的用来作为前端接入服务器,对于访问量一般的网站或者web服务器来说,可以在不配置lvs的情况下,由两台ngin ...
- 华为路由器(可网管)连接光猫配置(光猫为路由模式)
说明:拓扑中将sw3看做是光猫(光猫为路由模式)光猫的网关地址是192.168.1.1/24 sw1.sw2为接入层交换机 pc1.pc2的网关在R1上 R1为华为AR2220路由器:g0/0/0连接 ...
- Keepalived 无法自动转换主备角色,请关注 iptables 防火墙配置
最近在研究服务器高可用集群 (HA)-- 搭建了主备两台Keepalived,配置什么的全是网上照抄的,被验证过无数遍的示例-- 然而Master和Backup无法自动切换.两边会同时绑定浮动IP(V ...
- 华为路由器 VRRP主备配置
组网需求 如下图所示,PC1通过SW1双归属到R1和R2.为保证用户的各种业务在网络传输中不中断,需在R1和R2上配置VRRP主备备份功能. 正常情况下,主机以R1为默认网关接入Internet,当R ...
- Oracle -> DG主备配置
文章目录 1. 介绍主库是归档模式 2.安装前准备工作 3. 主库配置 4. 从库配置 5. DG操作 6. 完成 7. 测试 8. 设置开机启动 1. 介绍主库是归档模式 Oracle中有2种日志, ...
- linux中的keeplived源码装,keepalived源码安装及主备配置
keepavlied起初专门为LVS设计的,专门用来监控LVS集群系统中各个服务节点的状态,后来加入VRRP功能,因此除了配合LVS服务外,也可以作为其他服务(nginx,haproxy)的高可用软件 ...
- Keepalived 主备配置
keepalived主备或多主多备,配置都是一样配置方法,只是搭建多少的问题. 1.keepalived安装 参考:https://www.cnblogs.com/zwcry/p/9542867.ht ...
最新文章
- python训练数据集_python – 如何训练大型数据集进行分类
- l usr bin mysql,解决/usr/bin/ld: cannot find -lmysqlclient错误
- 142. Leetcode 93. 复原 IP 地址 (回溯算法-切割问题)
- C#调用百度地图API入门解决BMap未定义问题
- javascript --- repeat的用处
- Django10:Ajax介绍/发送数据/SweetAlert
- java并发编程之正确地终止一个线程interrupt/interrupted
- 一个切图仔的工作日常
- 文件路径存入mysql_网站的文件的上传,并将相对路径保存到数据库的代码实现。...
- js手机端图片弹出方法
- 红旗服务器安装Tuxedo中间件
- C语言 段错误Segmentation Fault
- java中UUID类生成32位随机数(附加 6 位随机数)
- Winform支付宝扫码支付
- 下列选项中不是具体的python序列类型的是_以下选项中,不是具体的Python序列类型的是...
- 微服务项目部署-POS收银系统
- TCP的乱序和丢包判断(附Reordering更新算法)-实例case
- 基于ARM裸机的知识点总结(9)------基于S5PV210的定时器、看门狗和RTC
- 使用Django创建一份在线简历
- 398、Java框架52 -【Hibernate - 分页、两种获取方式】 2020.10.27