ensp华为防火墙的VRRP、HRP、双机热备配置
2024-06-09 17:35:22
作业十三:防火墙的双机热备
实验环境
实验思路
- 规划并配置IP
- 安全区域划分
- 配置静态路由
- 配置VRRP
- 配置心跳接口
- 配置安全策略
- 检验连通性
- 主备切换
- 备用设备抢占
实验步骤
规划并配置IP
R1:
[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]ip add 200.1.1.3 24
FW1:
[FW1]int g1/0/2
[FW1-GigabitEthernet1/0/2]ip add 200.1.1.1 24[FW1-GigabitEthernet1/0/2]int g1/0/1
[FW1-GigabitEthernet1/0/1]ip add 12.1.1.1 24[FW1-GigabitEthernet1/0/1]int g1/0/0
[FW1-GigabitEthernet1/0/0]ip add 192.168.1.1 24
FW2:
[FW2]int g1/0/2
[FW2-GigabitEthernet1/0/2]ip add 200.1.1.2 24[FW2-GigabitEthernet1/0/2]int g1/0/1
[FW2-GigabitEthernet1/0/1]ip add 12.1.1.2 24[FW2-GigabitEthernet1/0/1]int g1/0/0
[FW2-GigabitEthernet1/0/0]ip add 192.168.1.2 24
PC1:
安全区域划分
FW1:
[FW1]firewall zone trust
[FW1-zone-trust]add int g1/0/0[FW1-zone-trust]firewall zone untrust
[FW1-zone-untrust]add int g1/0/2[FW1-zone-untrust]firewall zone dmz
[FW1-zone-dmz]add int g1/0/1
FW2:
[FW2]firewall zone trust
[FW2-zone-trust]add int g1/0/0[FW2-zone-trust]firewall zone untrust
[FW2-zone-untrust]add int g1/0/2[FW2-zone-untrust]firewall zone dmz
[FW2-zone-dmz]add int g1/0/1
配置静态路由
R1:
[R1]ip route-static 192.168.1.0 24 200.1.1.100
配置VRRP
FW1:
[FW1]int g1/0/0
[FW1-GigabitEthernet1/0/0]vrrp vrid 2 virtual-ip 192.168.1.100 active [FW1-GigabitEthernet1/0/0]int g1/0/2
[FW1-GigabitEthernet1/0/2]vrrp vrid 1 virtual-ip 200.1.1.100 active
FW2:
[FW2]int g1/0/0
[FW2-GigabitEthernet1/0/0]vrrp vrid 2 virtual-ip 192.168.1.100 standby [FW2-GigabitEthernet1/0/0]int g1/0/2
[FW2-GigabitEthernet1/0/2]vrrp vrid 1 virtual-ip 200.1.1.100 standby
配置心跳接口
FW1:
[FW1]hrp int g1/0/1 remote 12.1.1.2
[FW1]hrp enable
FW2:
[FW2]hrp int g1/0/1 remote 12.1.1.1
[FW2]hrp enable
配置安全策略
FW1:
HRP_M[FW1]security-policy (+B)
HRP_M[FW1-policy-security]rule name t_u (+B)
HRP_M[FW1-policy-security-rule-t_u]source-zone trust (+B)
HRP_M[FW1-policy-security-rule-t_u]destination-zone untrust (+B)
HRP_M[FW1-policy-security-rule-t_u]source-address 192.168.1.0 24 (+B)
HRP_M[FW1-policy-security-rule-t_u]service icmp (+B)
HRP_M[FW1-policy-security-rule-t_u]action permit (+B)
FW2查看同步的安全策略配置 :
HRP_S[FW2]display current-configuration
检验连通性
PC1 ping 200.1.1.3:
PC>ping 200.1.1.3Ping 200.1.1.3: 32 data bytes, Press Ctrl_C to break
From 200.1.1.3: bytes=32 seq=1 ttl=254 time=172 ms
From 200.1.1.3: bytes=32 seq=2 ttl=254 time=63 ms
From 200.1.1.3: bytes=32 seq=3 ttl=254 time=62 ms
From 200.1.1.3: bytes=32 seq=4 ttl=254 time=62 ms
From 200.1.1.3: bytes=32 seq=5 ttl=254 time=46 ms--- 200.1.1.3 ping statistics ---5 packet(s) transmitted5 packet(s) received0.00% packet lossround-trip min/avg/max = 46/81/172 ms
对FW1的g1/0/2抓包:
主备切换
FW1关闭上行接口:
HRP_M[FW1]int g1/0/2 (+B)
HRP_M[FW1-GigabitEthernet1/0/2]shutdown
FW1查看VRRP表:
HRP_S[FW1-GigabitEthernet1/0/2]dis vrrp
2021-03-24 08:43:20.690 GigabitEthernet1/0/2 | Virtual Router 1State : InitializeVirtual IP : 200.1.1.100Master IP : 0.0.0.0PriorityRun : 120PriorityConfig : 100MasterPriority : 0Preempt : YES Delay Time : 0 sTimerRun : 60 sTimerConfig : 60 sAuth type : NONEVirtual MAC : 0000-5e00-0101Check TTL : YESConfig type : vgmp-vrrpBackup-forward : disabledCreate time : 2021-03-24 07:53:44Last change time : 2021-03-24 08:42:56GigabitEthernet1/0/0 | Virtual Router 2State : BackupVirtual IP : 192.168.1.100Master IP : 192.168.1.2PriorityRun : 120PriorityConfig : 100MasterPriority : 120Preempt : YES Delay Time : 0 sTimerRun : 60 sTimerConfig : 60 sAuth type : NONEVirtual MAC : 0000-5e00-0102Check TTL : YESConfig type : vgmp-vrrpBackup-forward : disabledCreate time : 2021-03-24 07:51:28Last change time : 2021-03-24 08:42:56
FW2查看VRRP表:
HRP_M[FW2]dis vrrp
2021-03-24 08:44:43.560 GigabitEthernet1/0/2 | Virtual Router 1State : MasterVirtual IP : 200.1.1.100Master IP : 200.1.1.2PriorityRun : 120PriorityConfig : 100MasterPriority : 120Preempt : YES Delay Time : 0 sTimerRun : 60 sTimerConfig : 60 sAuth type : NONEVirtual MAC : 0000-5e00-0101Check TTL : YESConfig type : vgmp-vrrpBackup-forward : disabledCreate time : 2021-03-24 07:55:21Last change time : 2021-03-24 08:42:55GigabitEthernet1/0/0 | Virtual Router 2State : MasterVirtual IP : 192.168.1.100Master IP : 192.168.1.2PriorityRun : 120PriorityConfig : 100MasterPriority : 120Preempt : YES Delay Time : 0 sTimerRun : 60 sTimerConfig : 60 sAuth type : NONEVirtual MAC : 0000-5e00-0102Check TTL : YESConfig type : vgmp-vrrpBackup-forward : disabledCreate time : 2021-03-24 07:54:50Last change time : 2021-03-24 08:42:55
PC1 ping 200.1.1.3
PC>ping 200.1.1.3Ping 200.1.1.3: 32 data bytes, Press Ctrl_C to break
From 200.1.1.3: bytes=32 seq=1 ttl=254 time=78 ms
From 200.1.1.3: bytes=32 seq=2 ttl=254 time=46 ms
From 200.1.1.3: bytes=32 seq=3 ttl=254 time=62 ms
From 200.1.1.3: bytes=32 seq=4 ttl=254 time=62 ms
From 200.1.1.3: bytes=32 seq=5 ttl=254 time=47 ms--- 200.1.1.3 ping statistics ---5 packet(s) transmitted5 packet(s) received0.00% packet lossround-trip min/avg/max = 46/59/78 ms
FW2上对g1/0/2抓包:
备用设备抢占
重连上行接口:
HRP_S[FW1-GigabitEthernet1/0/2]undo shutdown
PC1持续 ping 200.1.1.3 无丢包现象
查看FW1的VRRP表:
HRP_M[FW1-GigabitEthernet1/0/2]dis vrrp
2021-03-24 08:56:42.530 GigabitEthernet1/0/2 | Virtual Router 1State : MasterVirtual IP : 200.1.1.100Master IP : 200.1.1.1PriorityRun : 120PriorityConfig : 100MasterPriority : 120Preempt : YES Delay Time : 0 sTimerRun : 60 sTimerConfig : 60 sAuth type : NONEVirtual MAC : 0000-5e00-0101Check TTL : YESConfig type : vgmp-vrrpBackup-forward : disabledCreate time : 2021-03-24 07:53:44Last change time : 2021-03-24 08:56:07GigabitEthernet1/0/0 | Virtual Router 2State : MasterVirtual IP : 192.168.1.100Master IP : 192.168.1.1PriorityRun : 120PriorityConfig : 100MasterPriority : 120Preempt : YES Delay Time : 0 sTimerRun : 60 sTimerConfig : 60 sAuth type : NONEVirtual MAC : 0000-5e00-0102Check TTL : YESConfig type : vgmp-vrrpBackup-forward : disabledCreate time : 2021-03-24 07:51:28Last change time : 2021-03-24 08:56:07
查看FW2的VRRP表:
HRP_S[FW2]dis vrrp
2021-03-24 08:58:15.540 GigabitEthernet1/0/2 | Virtual Router 1State : BackupVirtual IP : 200.1.1.100Master IP : 200.1.1.1PriorityRun : 120PriorityConfig : 100MasterPriority : 120Preempt : YES Delay Time : 0 sTimerRun : 60 sTimerConfig : 60 sAuth type : NONEVirtual MAC : 0000-5e00-0101Check TTL : YESConfig type : vgmp-vrrpBackup-forward : disabledCreate time : 2021-03-24 07:55:21Last change time : 2021-03-24 08:56:06GigabitEthernet1/0/0 | Virtual Router 2State : BackupVirtual IP : 192.168.1.100Master IP : 192.168.1.1PriorityRun : 120PriorityConfig : 100MasterPriority : 120Preempt : YES Delay Time : 0 sTimerRun : 60 sTimerConfig : 60 sAuth type : NONEVirtual MAC : 0000-5e00-0102Check TTL : YESConfig type : vgmp-vrrpBackup-forward : disabledCreate time : 2021-03-24 07:54:50Last change time : 2021-03-24 08:56:06
实验总结
本次实验学习了VGMP以及HRP的原理和配置。VGMP的作用是将所有的VRRP备份组集中管理,控制状态同一切换。HRP则负责双机之间的数据同步,能备份会话和部分配置。处于Active状态的接口会定期发送 Hello报文,若有一个VRRP备份组故障则优先级减2。两台防火墙之间备份的数据是通过心跳口发送和接收的,通过心跳链路传输。配置VGMP后VRRP失效,优先级变为VRRP的优先级。
ensp华为防火墙的VRRP、HRP、双机热备配置相关推荐
- 安全防御(二)--- 防火墙域间双向NAT、域内双向NAT、基于VRRP的双机热备
目录 一.防火墙支持那些NAT技术,主要应用场景是什么? 二.当内网PC通过公网域名解析访问内网服务器时,会存在什么问题,如何解决?请详细说明 三.防火墙使用VRRP实现双机热备时会遇到什么问题,如何 ...
- 华为防火墙双机热备配置实例
拓扑解释 两台防火墙FW1与FW2做双机热备冗余,SW2方向做trust区域,SW3方向做UNtrust区域 适用场景 一般园区网中 配置开始 先搞定底层的交换机 SW2上:(SW3上相同) vlan ...
- 防火墙双机热备配置实例(三)
今天继续给大家介绍HCIE安全系列相关内容.本文以华为eNSP模拟器为例,实现了配置防火墙双击热备技术配置实例,采用的是上下行交换机配置VRRP的主备模式. 阅读本文,您需要有一定的防火墙配置基础和防 ...
- 防火墙双机热备配置实例(一)
今天继续给大家介绍HCIE安全.本文以华为eNSP模拟器为例,实现了配置防火墙双击热备技术配置实例,采用的是上下行交换机配置VRRP的主备模式. 阅读本文,您需要有一定的防火墙配置基础和防火墙双机热备 ...
- Eudemon防火墙双机热备配置及实现
Eudemon防火墙双机热备配置及实现,上下联为两台二层交换机#上联地址 int g 0/0/1ip addr 192.168.10.253 24 vrrp vrid 10 virtual-ip 19 ...
- Heartbeat双机热备配置
Heartbeat双机热备配置 简介 Heartbeat 项目是 Linux-HA 工程的一个组成部分,它实现了一个高可用集群系统.心跳服务和集群通信是高可用集群的两个关键组件,在 Heartbeat ...
- mysql双机热备 配置文件,MYSQL 双机热备配置手册()
[原创] MYSQL 双机热备配置手册[原创] http://www.chinaunix.net 作者:squall1 发表于:2007-07-23 19:01:43 [发表评论][查看原文][存储 ...
- 华为防火墙实现双机热备配置详解
一提到防火墙,一般都会想到企业的边界设备,是内网用户与互联网的必经之路.防火墙承载了非常多的功能,比如:安全规则.IPS.文件类型过滤.内容过滤.应用层过滤等.也正是因为防火墙如此的重要,如果防火墙一 ...
- ensp 双机热备 配置_【解忧番外篇】基于eNSP USG6000v的双机热备实验
前言 本实验使用华为模拟器eNSP中USG6000v完成实验. 实验拓扑 配置过程 一.导入设备包 由于USG6000v模拟器需要导入设备包才能使用,所以需要在华为企业专网下载USG6000v的设备包 ...
最新文章
- BigData:大数据开发的简介、核心知识(linux基础+Java/Python编程语言+Hadoop{HDFS、HBase、Hive}+Docker)、经典场景应用之详细攻略
- Mongodb 集群加keyFile认证,Mongodb用户管理(转:http://blog.csdn.net/wlzjsj/article/details/61421230)
- MySQL count函数的具体介绍
- 韦东山Linux嵌入式学习——硬件复习
- 计算机没有本地网络,网络连接里没有本地连接
- 国内财务软件公司排名
- 解决复制网页文本多一个空格的问题
- 你的健身方法真的正确吗
- 《系统集成项目管理工程师》必背41-60题
- SaaS多租户管理系统是什么?SaaS多租户平台应用管理功能有哪些?
- IDEA与GitHub的仓库相关联,幼儿园教学(狗头保命)
- 学着搭建流媒体服务器
- Flutter 打包出错 报Gradle build failed to produce an .apk file. It’s likely that this file was generated
- wxpython基本控件
- python中字符串的基本操作_python字符串的基本操作
- python爬取糗事百科内容
- View 事件分发规律总结(超详细)
- 关于event.preventDefault()的用法
- 在jcreator中一直显示 Error,:,Invalid,path,,
- 设计模式6--适配器模式