HCIE-Security Day16:防火墙双机热备实验(四)防火墙直路部署,上行连接路由器(OSPF),下行连接交换机
目录
需求和拓扑
操作步骤
1、配置接口ip和安全区域
2、配置ospf动态路由
3、配置双机热备
3.1 配置vrrp备份组
3.2 配置心跳线
3.3 配置检测上行链路
3.4 开启双机热备
4、配置安全策略
验证和分析
1、检查vrrp备份组建立情况
2、检查vgmp组状态
3、检查r3的路由情况
4、检查f1和f2通告的一类lsa情况
5、在f1和f2上检查到达r3的路由情况
实验四:防火墙直路部署,上行连接路由器(OSPF),下行连接交换机
需求和拓扑
两台FW的业务接口都工作在三层,上行连接路由器,下行连接二层交换机。FW与路由器之间运行OSPF协议。现在希望两台FW以主备备份方式工作。正常情况下,流量通过FW_A转发。当FW_A出现故障时,流量通过FW_B转发,保证业务不中断。
分析:上行由于连接路由器,无法配置vrrp备份组,所以只能在下行配置vrrp备份组,同时为了监控上行链路,需要配置hrp检测上行链路。即这是一个单vrrp备份组配合动态路由的双机热备案例。
操作步骤
1、配置接口ip和安全区域
2、配置ospf动态路由
配置完成后应该r3能够和r1、r2建立ospf邻居关系,r1和r2分别和fw1和fw2建立邻居关系,fw1能够和fw2、r1建立邻居关系,fw2能够和fw1、r2建立邻居关系。
r3上检查是否存在由fw1/fw2发布的10.3.0.0/24的路由,fw1/fw2上检查是否存在由r3发布3.3.3.3/32的路由。
f1
dis ip routing-table | inc 3.3.3.3Destination/Mask Proto Pre Cost Flags NextHop Interface3.3.3.3/32 OSPF 10 2 D 10.2.0.2 GigabitEthernet1/0/1f2
dis ip routing-table | inc 3.3.3.3Destination/Mask Proto Pre Cost Flags NextHop Interface3.3.3.3/32 OSPF 10 2 D 10.2.1.2 GigabitEthernet1/0/1
r3
<r3>dis ip routing-table | inc 10.3.0.0Destination/Mask Proto Pre Cost Flags NextHop Interface10.3.0.0/24 OSPF 10 3 D 13.1.1.1 GigabitEthernet0/0/0
10.3.0.0/24 OSPF 10 3 D 23.1.1.2 GigabitEthernet0/0/1注意这时候,r3去往10.3.0.0/24网段的下一跳是负载的,即经过f1和f2的开销是一样的。
3、配置双机热备
3.1 配置vrrp备份组
//f1
interface GigabitEthernet1/0/0vrrp vrid 1 virtual-ip 10.3.0.3 active
//f2
interface GigabitEthernet1/0/0vrrp vrid 1 virtual-ip 10.3.0.3 standby3.2 配置心跳线
//f1
hrp interface GigabitEthernet1/0/6 remote 10.10.0.2
//f2
hrp interface GigabitEthernet1/0/6 remote 10.10.0.23.3 配置检测上行链路
//f1/f2hrp track interface GigabitEthernet1/0/13.4 开启双机热备
hrp enable4、配置安全策略
//仅需在f1配置,f2会自动同步的
security-policyrule name 1source-zone trustdestination-zone untrustaction permit
验证和分析
1、检查vrrp备份组建立情况
HRP_M[f1]dis vrrp
2022-02-18 06:02:35.670 GigabitEthernet1/0/0 | Virtual Router 1State : MasterVirtual IP : 10.3.0.3Master IP : 10.3.0.1PriorityRun : 120PriorityConfig : 100MasterPriority : 120Preempt : YES Delay Time : 0 sTimerRun : 60 sTimerConfig : 60 sAuth type : NONEVirtual MAC : 0000-5e00-0101Check TTL : YESConfig type : vgmp-vrrpBackup-forward : disabledCreate time : 2022-02-18 00:56:39Last change time : 2022-02-18 01:02:21
2、检查vgmp组状态
//f1
HRP_M[f1]dis hrp state verbose
2022-02-18 06:03:39.420
Role: active, peer: standbyRunning priority: 45000, peer: 45000Detail information:GigabitEthernet1/0/0 vrrp vrid 1: activeGigabitEthernet1/0/1: upospf-cost: +0
//f2
HRP_S[f2]dis hrp state verbose
2022-02-18 06:04:51.380 Role: standby, peer: activeRunning priority: 45000, peer: 45000Detail information:GigabitEthernet1/0/0 vrrp vrid 1: standbyGigabitEthernet1/0/1: upospf-cost: +65500vgmp对备份组的操作是对其ospf开销增加了65500,导致上下行选路从f2经过时开销加65500,从而不被优选。
3、检查r3的路由情况
<r3>dis ip routing-table 10.3.0.0
Route Flags: R - relay, D - download to fib
------------------------------------------------------------------------------
Routing Table : Public
Summary Count : 1
Destination/Mask Proto Pre Cost Flags NextHop Interface10.3.0.0/24 OSPF 10 3 D 13.1.1.1 GigabitEthernet0/0/04、检查f1和f2通告的一类lsa情况
<r3>dis ospf lsdb router 11.11.11.11OSPF Process 1 with Router ID 3.3.3.3Area: 0.0.0.0Link State Database Type : RouterLs id : 11.11.11.11Adv rtr : 11.11.11.11 Ls age : 89 Len : 60 Options : E seq# : 8000001a chksum : 0x6019Link count: 3* Link ID: 10.2.0.2 Data : 10.2.0.1 Link Type: TransNet Metric : 1* Link ID: 10.3.0.3 Data : 255.255.255.255 Link Type: StubNet Metric : 1 Priority : Medium* Link ID: 10.3.0.1 Data : 10.3.0.1 Link Type: TransNet Metric : 1<r3>dis ospf lsdb router 22.22.22.22OSPF Process 1 with Router ID 3.3.3.3Area: 0.0.0.0Link State Database Type : RouterLs id : 22.22.22.22Adv rtr : 22.22.22.22 Ls age : 100 Len : 48 Options : E seq# : 80000014 chksum : 0x4e3fLink count: 2* Link ID: 10.2.1.2 Data : 10.2.1.1 Link Type: TransNet Metric : 65500* Link ID: 10.3.0.1 Data : 10.3.0.2 Link Type: TransNet Metric : 65500
metric值说明了一切。
5、在f1和f2上检查到达r3的路由情况
RP_M[f1]dis ip rou 3.3.3.3
2022-02-18 06:14:15.280
Route Flags: R - relay, D - download to fib
------------------------------------------------------------------------------
Routing Table : Public
Summary Count : 1
Destination/Mask Proto Pre Cost Flags NextHop Interface3.3.3.3/32 OSPF 10 2 D 10.2.0.2 GigabitEthernet1/0/1
HRP_S[f2]dis ip rou 3.3.3.3
2022-02-18 06:14:44.610
Route Flags: R - relay, D - download to fib
------------------------------------------------------------------------------
Routing Table : Public
Summary Count : 1
Destination/Mask Proto Pre Cost Flags NextHop Interface3.3.3.3/32 OSPF 10 65501 D 10.2.1.2 GigabitEthernet1/0/1
这个开销是怎么来的呢?并不是r3通告1类lsa的时候赋予的,也不是r1或者r2通过1类lsa的时候赋予的,而是其自己的1类lsa中transnet的链路类型赋予的,然后进行累加形成的。
HRP_S[f2]dis ospf lsdb router 22.22.22.22
2022-02-18 06:19:20.300 OSPF Process 1 with Router ID 22.22.22.22Area: 0.0.0.0Link State Database Type : RouterLs id : 22.22.22.22Adv rtr : 22.22.22.22 Ls age : 471 Len : 48 Options : E seq# : 80000014 chksum : 0x4e3fLink count: 2* Link ID: 10.2.1.2 Data : 10.2.1.1 Link Type: TransNet Metric : 65500* Link ID: 10.3.0.1 Data : 10.3.0.2 Link Type: TransNet Metric : 65500
但是从内网访问外网的上行链路的选路并不是ospf的开销主导的,而是由于vrrp的arp通告导致的,作为active的fw1,也即master设备,会主动向下游设备通告虚拟网关ip对应的虚拟mac,引导流量从自己经过。
假如f1的直连链路出现故障,这实际上是两步操作,第一是调整了vrrp中的master设备,第二是调整了ospf的开销,从而保证上下行流量路径一致。
HCIE-Security Day16:防火墙双机热备实验(四)防火墙直路部署,上行连接路由器(OSPF),下行连接交换机相关推荐
- 华为防火墙双机热备(VGMP+HRP)理论+实操!
文章目录 前言 一:华为防火墙双机热备理论 1.1:概念 1.2:特点 1.3:华为防火墙双机热备的方式 二:华为防火墙双机热备实验 2.1:环境 2.2:拓扑图 2.3:实验目的 2.4:实验过程 ...
- 华为eNSP下防火墙双机热备的实现以及在HRP配置错误时的现象
华为防火墙双机热备基础教程 [华为官方视频] https://ilearningx.huawei.com/courses/course-v1:HuaweiX+EBGTC00000189+2018.9/ ...
- 华为防火墙双机热备技术:HRP、VGMP、VRRP,三大技术值得一学!
防火墙双机热备,主要是提供冗余备份的功能,在网络发生故障的时候避免业务出现中断.防火墙双机热备组网根据防火墙的模式, 分路由模式下的双机热备组网和透明模式下的双机热备组网,下面分别根据防火墙的不同模式 ...
- 华为防火墙双机热备学习笔记(V500)
华为防火墙双机热备学习笔记(V500) 双机产生背景 防火墙与路由器.三层交换机设备双机部署的差别 双机热备协议架构 HRP 心跳线 防火墙的双机部署 VRRP 虚拟路由冗余协议 VGMP vrrp组 ...
- 防火墙实验二——实现域间、域内双向NAT、双机热备实验
实验的拓扑图 这个图是基于防火墙一的图,里面的基本配置都是基于上一个实验来进行的 图片里面交换机.防火墙等的配置 域间双向NAT 首先建立一个新的域间双向的NAT策略 对于源转换地址池的配置 对于目的 ...
- 防火墙双机热备配置实例(三)
今天继续给大家介绍HCIE安全系列相关内容.本文以华为eNSP模拟器为例,实现了配置防火墙双击热备技术配置实例,采用的是上下行交换机配置VRRP的主备模式. 阅读本文,您需要有一定的防火墙配置基础和防 ...
- 防火墙双机热备配置实例(一)
今天继续给大家介绍HCIE安全.本文以华为eNSP模拟器为例,实现了配置防火墙双击热备技术配置实例,采用的是上下行交换机配置VRRP的主备模式. 阅读本文,您需要有一定的防火墙配置基础和防火墙双机热备 ...
- 防火墙双机热备,DHCP服务器,核心交换机负载分担及冗余设计
文章目录 目录: 一.防火墙双机热备技术概念 二.配合使用的相关技术指导 三.设计要求及拓扑图 四:配置过程及相应命令 总结 一.防火墙热备概述: 一般而言,防火墙部署于公司网络的出口 ...
- 防火墙双机热备+负载分担
防火墙双机热备+负载分担实验步骤 防火墙双机热备+负载分担实验以及两者之间的区别,通过实验.配置思路加深理解 负载分担: 防火墙双击热备和负载分担的区别就在于在双机热备模式下,fw1既是pc1的网关, ...
- 华为ENSP之防火墙双机热备
实验目的 防火墙现网典型应用-双机热备 实验过程 分别实现二层,三层的双机热备配置 a.上下联二层环境 接口IP配置举例 int g1/0/0 ip add 10.1.12.253 24 int g1 ...
最新文章
- Hibernate学习笔记(一)----针对不同的数据库不同的配置
- winformDatagridview无法编辑的问题
- 布谷鸟哈希函数的参数_用于并发读密集型的乐观Cuckoo(布谷鸟) Hashing
- 轻量级NuGet—BaGet
- 不止代码:保留道路(ybtoj 最小生成树)
- Aixs2发布webservice服务
- Spring MVC源码——Servlet WebApplicationContext
- Codeforces Round #617 (Div. 3) String Coloring(E1.E2)
- node.js超过php,在nodejs中如何解决超出最大的调用栈错误
- java extjs 教程_Extjs项目实战视频教程
- 何凯明:Single Image Haze Removal Using Dark Channel Prior[CVPR 2009]
- 华为手机如何连计算机,华为手机如何连接电脑 华为手机助手怎么连接华为手机...
- matlab qpsk 星座图,QPSK误码率和星座图MATLAB仿真
- 10分钟快速搭建多方视频会议系统
- AMCL代码详解(二)位姿初始化
- 学习计算机基本知识,怎样按序学习计算机基本知识
- 世界时、国际原子时、协调世界时到底有什么联系(最简单易懂版)
- win10纯净版安装教程
- 关于c++中的一个母牛生小牛的问题详细解答与体会
- 猿创征文 | DevOps运维的10个日常使用工具分享