精华内容
下载资源
问答
  • 作业十三:防火墙的双机热备 实验环境 实验思路 规划并配置IP 安全区域划分 配置静态路由 配置VRRP 配置心跳接口 配置安全策略 检验连通性 主备切换 备用设备抢占 实验步骤 规划并配置IP R1: [R1]int g0/0/0 [R1...

    作业十三:防火墙的双机热备

    实验环境

    在这里插入图片描述

    实验思路

    • 规划并配置IP
    • 安全区域划分
    • 配置静态路由
    • 配置VRRP
    • 配置心跳接口
    • 配置安全策略
    • 检验连通性
    • 主备切换
    • 备用设备抢占

    实验步骤

    规划并配置IP

    R1:

    [R1]int g0/0/0
    [R1-GigabitEthernet0/0/0]ip add 200.1.1.3 24
    

    FW1:

    [FW1]int g1/0/2
    [FW1-GigabitEthernet1/0/2]ip add 200.1.1.1 24
    
    [FW1-GigabitEthernet1/0/2]int g1/0/1
    [FW1-GigabitEthernet1/0/1]ip add 12.1.1.1 24
    
    [FW1-GigabitEthernet1/0/1]int g1/0/0
    [FW1-GigabitEthernet1/0/0]ip add 192.168.1.1 24
    

    FW2:

    [FW2]int g1/0/2
    [FW2-GigabitEthernet1/0/2]ip add 200.1.1.2 24
    
    [FW2-GigabitEthernet1/0/2]int g1/0/1
    [FW2-GigabitEthernet1/0/1]ip add 12.1.1.2 24
    
    [FW2-GigabitEthernet1/0/1]int g1/0/0
    [FW2-GigabitEthernet1/0/0]ip add 192.168.1.2 24
    

    PC1:

    在这里插入图片描述

    安全区域划分

    FW1:

    [FW1]firewall zone trust
    [FW1-zone-trust]add int g1/0/0
    
    [FW1-zone-trust]firewall zone untrust
    [FW1-zone-untrust]add int g1/0/2
    
    [FW1-zone-untrust]firewall zone dmz
    [FW1-zone-dmz]add int g1/0/1
    

    FW2:

    [FW2]firewall zone trust
    [FW2-zone-trust]add int g1/0/0
    
    [FW2-zone-trust]firewall zone untrust
    [FW2-zone-untrust]add int g1/0/2
    
    [FW2-zone-untrust]firewall zone dmz
    [FW2-zone-dmz]add int g1/0/1
    
    配置静态路由

    R1:

    [R1]ip route-static 192.168.1.0 24 200.1.1.100
    
    配置VRRP

    FW1:

    [FW1]int g1/0/0
    [FW1-GigabitEthernet1/0/0]vrrp vrid 2 virtual-ip 192.168.1.100 active 
    
    [FW1-GigabitEthernet1/0/0]int g1/0/2
    [FW1-GigabitEthernet1/0/2]vrrp vrid 1 virtual-ip 200.1.1.100 active
    

    FW2:

    [FW2]int g1/0/0	
    [FW2-GigabitEthernet1/0/0]vrrp vrid 2 virtual-ip 192.168.1.100 standby 
    
    [FW2-GigabitEthernet1/0/0]int g1/0/2
    [FW2-GigabitEthernet1/0/2]vrrp vrid 1 virtual-ip 200.1.1.100 standby
    
    配置心跳接口

    FW1:

    [FW1]hrp int g1/0/1 remote 12.1.1.2
    [FW1]hrp enable
    

    FW2:

    [FW2]hrp int g1/0/1 remote 12.1.1.1
    [FW2]hrp enable
    
    配置安全策略

    FW1:

    HRP_M[FW1]security-policy (+B)
    HRP_M[FW1-policy-security]rule name t_u (+B)
    HRP_M[FW1-policy-security-rule-t_u]source-zone trust (+B)
    HRP_M[FW1-policy-security-rule-t_u]destination-zone untrust (+B)
    HRP_M[FW1-policy-security-rule-t_u]source-address 192.168.1.0 24 (+B)
    HRP_M[FW1-policy-security-rule-t_u]service icmp (+B)
    HRP_M[FW1-policy-security-rule-t_u]action permit  (+B)
    

    FW2查看同步的安全策略配置 :

    HRP_S[FW2]display current-configuration 
    

    在这里插入图片描述

    检验连通性

    PC1 ping 200.1.1.3:

    PC>ping 200.1.1.3
    
    Ping 200.1.1.3: 32 data bytes, Press Ctrl_C to break
    From 200.1.1.3: bytes=32 seq=1 ttl=254 time=172 ms
    From 200.1.1.3: bytes=32 seq=2 ttl=254 time=63 ms
    From 200.1.1.3: bytes=32 seq=3 ttl=254 time=62 ms
    From 200.1.1.3: bytes=32 seq=4 ttl=254 time=62 ms
    From 200.1.1.3: bytes=32 seq=5 ttl=254 time=46 ms
    
    --- 200.1.1.3 ping statistics ---
      5 packet(s) transmitted
      5 packet(s) received
      0.00% packet loss
      round-trip min/avg/max = 46/81/172 ms
    

    对FW1的g1/0/2抓包:
    在这里插入图片描述

    主备切换

    FW1关闭上行接口:

    HRP_M[FW1]int g1/0/2 (+B)
    HRP_M[FW1-GigabitEthernet1/0/2]shutdown
    

    FW1查看VRRP表:

    HRP_S[FW1-GigabitEthernet1/0/2]dis vrrp
    2021-03-24 08:43:20.690 
      GigabitEthernet1/0/2 | Virtual Router 1
        State : Initialize
        Virtual IP : 200.1.1.100
        Master IP : 0.0.0.0
        PriorityRun : 120
        PriorityConfig : 100
        MasterPriority : 0
        Preempt : YES   Delay Time : 0 s
        TimerRun : 60 s
        TimerConfig : 60 s
        Auth type : NONE
        Virtual MAC : 0000-5e00-0101
        Check TTL : YES
        Config type : vgmp-vrrp
        Backup-forward : disabled
        Create time : 2021-03-24 07:53:44
        Last change time : 2021-03-24 08:42:56
    
      GigabitEthernet1/0/0 | Virtual Router 2
        State : Backup
        Virtual IP : 192.168.1.100
        Master IP : 192.168.1.2
        PriorityRun : 120
        PriorityConfig : 100
        MasterPriority : 120
        Preempt : YES   Delay Time : 0 s
        TimerRun : 60 s
        TimerConfig : 60 s
        Auth type : NONE
        Virtual MAC : 0000-5e00-0102
        Check TTL : YES
        Config type : vgmp-vrrp
        Backup-forward : disabled
        Create time : 2021-03-24 07:51:28
        Last change time : 2021-03-24 08:42:56
    

    FW2查看VRRP表:

    HRP_M[FW2]dis vrrp
    2021-03-24 08:44:43.560 
      GigabitEthernet1/0/2 | Virtual Router 1
        State : Master
        Virtual IP : 200.1.1.100
        Master IP : 200.1.1.2
        PriorityRun : 120
        PriorityConfig : 100
        MasterPriority : 120
        Preempt : YES   Delay Time : 0 s
        TimerRun : 60 s
        TimerConfig : 60 s
        Auth type : NONE
        Virtual MAC : 0000-5e00-0101
        Check TTL : YES
        Config type : vgmp-vrrp
        Backup-forward : disabled
        Create time : 2021-03-24 07:55:21
        Last change time : 2021-03-24 08:42:55
    
      GigabitEthernet1/0/0 | Virtual Router 2
        State : Master
        Virtual IP : 192.168.1.100
        Master IP : 192.168.1.2
        PriorityRun : 120
        PriorityConfig : 100
        MasterPriority : 120
        Preempt : YES   Delay Time : 0 s
        TimerRun : 60 s
        TimerConfig : 60 s
        Auth type : NONE
        Virtual MAC : 0000-5e00-0102
        Check TTL : YES
        Config type : vgmp-vrrp
        Backup-forward : disabled
        Create time : 2021-03-24 07:54:50
        Last change time : 2021-03-24 08:42:55
    

    PC1 ping 200.1.1.3

    PC>ping 200.1.1.3
    
    Ping 200.1.1.3: 32 data bytes, Press Ctrl_C to break
    From 200.1.1.3: bytes=32 seq=1 ttl=254 time=78 ms
    From 200.1.1.3: bytes=32 seq=2 ttl=254 time=46 ms
    From 200.1.1.3: bytes=32 seq=3 ttl=254 time=62 ms
    From 200.1.1.3: bytes=32 seq=4 ttl=254 time=62 ms
    From 200.1.1.3: bytes=32 seq=5 ttl=254 time=47 ms
    
    --- 200.1.1.3 ping statistics ---
      5 packet(s) transmitted
      5 packet(s) received
      0.00% packet loss
      round-trip min/avg/max = 46/59/78 ms
    

    FW2上对g1/0/2抓包:

    在这里插入图片描述

    备用设备抢占

    重连上行接口:

    HRP_S[FW1-GigabitEthernet1/0/2]undo shutdown
    

    PC1持续 ping 200.1.1.3 无丢包现象

    查看FW1的VRRP表:

    HRP_M[FW1-GigabitEthernet1/0/2]dis vrrp
    2021-03-24 08:56:42.530 
      GigabitEthernet1/0/2 | Virtual Router 1
        State : Master
        Virtual IP : 200.1.1.100
        Master IP : 200.1.1.1
        PriorityRun : 120
        PriorityConfig : 100
        MasterPriority : 120
        Preempt : YES   Delay Time : 0 s
        TimerRun : 60 s
        TimerConfig : 60 s
        Auth type : NONE
        Virtual MAC : 0000-5e00-0101
        Check TTL : YES
        Config type : vgmp-vrrp
        Backup-forward : disabled
        Create time : 2021-03-24 07:53:44
        Last change time : 2021-03-24 08:56:07
    
      GigabitEthernet1/0/0 | Virtual Router 2
        State : Master
        Virtual IP : 192.168.1.100
        Master IP : 192.168.1.1
        PriorityRun : 120
        PriorityConfig : 100
        MasterPriority : 120
        Preempt : YES   Delay Time : 0 s
        TimerRun : 60 s
        TimerConfig : 60 s
        Auth type : NONE
        Virtual MAC : 0000-5e00-0102
        Check TTL : YES
        Config type : vgmp-vrrp
        Backup-forward : disabled
        Create time : 2021-03-24 07:51:28
        Last change time : 2021-03-24 08:56:07
    

    查看FW2的VRRP表:

    HRP_S[FW2]dis vrrp
    2021-03-24 08:58:15.540 
      GigabitEthernet1/0/2 | Virtual Router 1
        State : Backup
        Virtual IP : 200.1.1.100
        Master IP : 200.1.1.1
        PriorityRun : 120
        PriorityConfig : 100
        MasterPriority : 120
        Preempt : YES   Delay Time : 0 s
        TimerRun : 60 s
        TimerConfig : 60 s
        Auth type : NONE
        Virtual MAC : 0000-5e00-0101
        Check TTL : YES
        Config type : vgmp-vrrp
        Backup-forward : disabled
        Create time : 2021-03-24 07:55:21
        Last change time : 2021-03-24 08:56:06
    
      GigabitEthernet1/0/0 | Virtual Router 2
        State : Backup
        Virtual IP : 192.168.1.100
        Master IP : 192.168.1.1
        PriorityRun : 120
        PriorityConfig : 100
        MasterPriority : 120
        Preempt : YES   Delay Time : 0 s
        TimerRun : 60 s
        TimerConfig : 60 s
        Auth type : NONE
        Virtual MAC : 0000-5e00-0102
        Check TTL : YES
        Config type : vgmp-vrrp
        Backup-forward : disabled
        Create time : 2021-03-24 07:54:50
        Last change time : 2021-03-24 08:56:06
    

    实验总结

    ​ 本次实验学习了VGMP以及HRP的原理和配置。VGMP的作用是将所有的VRRP备份组集中管理,控制状态同一切换。HRP则负责双机之间的数据同步,能备份会话和部分配置。处于Active状态的接口会定期发送 Hello报文,若有一个VRRP备份组故障则优先级减2。两台防火墙之间备份的数据是通过心跳口发送和接收的,通过心跳链路传输。配置VGMP后VRRP失效,优先级变为VRRP的优先级。

    展开全文
  • 华为防火墙虚拟化配置

    千次阅读 2018-03-03 17:13:25
    Root Firewall配置如下system-viewsysname root-firewall #防火墙命名vlan batch 41 71 73 100 to 200 1000 to 2000 3001 to 3100 #创建vlaninterface eth-trunk 0 #创建聚合组0 (为HRP所使用)trunkport ...

    Root Firewall配置如下

    system-view
    sysname root-firewall #防火墙命名
    vlan batch 41 71 73 100 to 200 1000 to 2000 3001 to 3100 #创建vlan
    interface eth-trunk 0 #创建聚合组0 (为HRP所使用)
     trunkport GigabitEthernet1/0/0 #添加聚合组成员
     trunkport GigabitEthernet1/0/1 #添加聚合组成员
     ip address 1.1.1.1 255.255.255.0 #配置聚合组地址
    quit #退出聚合组模式

    interface eth-trunk 1 #创建聚合组1(出口链路聚合)
     portswitch #切换至二层聚合模式
     trunkport 10GE 1/0/8 #添加聚合组成员
     trunkport 10GE 1/0/9 #添加聚合组成员
     port link-type trunk #端口类型trunk
     undo port trunk allow-pass vlan 1 #拒绝vlan1通过
     port trunk allow-pass vlan 41 71 73 100 to 200 1000 3000 to 3100 #允许vlan 41 71 73 100 to 200 1000 3000到3100
     alias eth-trunk1 #聚合组命名eth-trunk1
    quit

    将聚合组加入不同区域
    firewall zone dmz
     add interface Eth-Trunk0 #HRP聚合组加入到DMZ区域

    firewall zone trust
     add interface Eth-Trunk1 #出口链路聚合加入到Trust区域
     add interface Virtual-if0
    备注:建议Eth-Trunk1和 Virtual-if接口属于不同区域(因为华为防火墙只存在区域间策略)------默认同一个zone的流量是可以通信的,可以基于源目的地址做安全策略

    vsys enable #开启虚拟系统

    resource-class r1 # 配置资源类
    resource-item-limit session reserved-number 10000 maximum 50000
    resource-item-limit policy reserved-number 300
    resource-item-limit user reserved-number 300
    resource-item-limit user-group reserved-number 10
    resource-item-limit bandwidth-ingress maximum 100000

    vsys name vsysA #创建虚拟子墙A
    vsys name vsysB #创建虚拟子墙B
    quit #退出
    quit #退出

    为外联、业务创建虚拟子接口
    interface Eth-Trunk1.109 #创建电信子接口
     description link-to-gateway-DianXin#该接口描述
     ip address 123.126.109.166 255.255.255.128 #设置接口公网地址
     arp-proxy enable #开启ARP代理功能
     vlan-type dot1q 109 #本接口属于vlan109
     alias Eth-Trunk1.109 #别名为Eth-Trunk1.109
     service-manage ping permit #允许ping

    interface Eth-Trunk1.73 创建专网子接口
     description link-to-gateway-ZhuanXian #该接口描述
     ip address  172.16.1.1 255.255.255.0 #设置接口公网地址
     vlan-type dot1q 73#本接口属于vlan73
     alias Eth-Trunk1.73#别名为Eth-Trunk73
     service-manage ping permit #允许ping

    interface Eth-Trunk1.128 创建业务子接口
     description link-to-ZhuHu1 #该接口描述
     ip address  192.168.1.254 255.255.255.0 #设置接口公网地址
     vlan-type dot1q 128#本接口属于vlan128
     alias Eth-Trunk1.128#别名为Eth-Trunk128
     service-manage ping permit #允许ping

    interface Eth-Trunk1.129 创建业务子接口
     description link-to-ZhuHu2 #该接口描述
     ip address  192.168.2.254 255.255.255.0 #设置接口公网地址
     vlan-type dot1q 129#本接口属于vlan129
     alias Eth-Trunk1.129#别名为Eth-Trunk129
     service-manage ping permit #允许ping

    将虚拟子接口加入到不同接口
    firewall zone trust
     add interface Eth-Trunk1.73 ##添加子接口
     add interface Virtual-if0 #虚拟逻辑根接口用于和虚拟墙通信

    firewall zone name DianXin #创建 DianXin区域
      set priority 4
      add interface Eth-Trunk1.109 #添加子接口


    firewall zone trust
     add interface Virtualif 0


    security-policy  #安全策略
     default action permit #默认动作允许

    ip route-static 0.0.0.0 0.0.0.0 123.126.109.129 #缺省路由到电信运营商
    ip route-static 123.126.109.182 255.255.255.255 ***-instance vsysA #将vsysA内员工访问Internet的回程流量引入VSYSA

    ip route-static 123.126.109.164 255.255.255.255 ***-instance vsysB #公网地址下放到子墙B
    ip route-static 192.168.1.0 255.255.255.0 ***-instance vsysA #专线地址下放到子墙A
    ip route-static 192.168.2.0 255.255.255.0 ***-instance vsysB #专线地址下放到子墙B
    ip route-static 172.21.125.0 255.255.255.0 172.20.1.1 description Mangement


    虚拟FirewallA配置说明如下:
    switch vsys vsysA #切换至虚拟子墙A
     assign interface Eth-Trunk1.128 #分配虚拟子接口(业务网关)
     assign resource-class r1 #分配资源类r1
     assign global-ip 172.16.1.2 172.16.1.2 exclusive #分配全局地址172.16.1.2为独占型
     assign global-ip 123.126.109.182 123.126.109.182 exclusive #分配全局地址123.126.109.182为独占型
     assign interface GigabitEthernet 1/0/3 分配接口


    firewall zone untrust
     add interface Virtual-if1 #添加虚拟子接口(Virtualif的编号会根据系统中ID占用情况自动分配)
    firewall zone trust
     add interface Eth-Trunk1.128


    aaa #为虚拟系统创建管理员

     manager-user admin@@vsysa
     password
    Enter Password:                                                                 
    Confirm Password:                                                               
     service-type web telnet ssh
     level 15

    ip route-static 0.0.0.0 0.0.0.0 public #将vsysA内员工访问Internet的流量引入根系统(public根墙)

    security-policy #配置安全策略  
     default action permit #允许所有通过

    nat address-group Zhuanxian #为专线创建NAT地址组
     mode pat 模式
     section 0 172.16.1.2 172.16.1.2 #地址组为172.16.1.2

    nat address-group DianXin #为电信创建NAT地址组
     mode pat
     section 0 123.126.109.182 123.126.109.182

    nat-policy #配置NAT策略

     rule name no-nat #规则命名no-nat
      source-zone trust #源区域trust
      destination-zone untrust #目的区域untrust
      source-address 192.168.1.0 mask 255.255.255.0 #定义源192.168.1.0网段
      destination-address 172.16.1.0 mask 255.255.255.0 #定义目的172.16.1.0网段
      destination-address 192.168.2.0 mask 255.255.255.0 #定义目的192.168.2.0网段
      action no-nat #动作不转换
     rule name DianXin #规则名DianXian
      source-zone trust #源区域trust
      destination-zone untrust #目的区域untrust
      source-address 192.168.1.0 mask 255.255.255.0 #源地址段为192.168.1.0/24
      action nat address-group DianXin

    配置服务器端口映射
     nat server 1 protocol tcp global 123.126.109.182 3389 inside 192.168.1.1 3389 #将内部私网地址192.168.1.1端口3389映射成公网地址123.126.109.182的3389


    虚拟FirewallB配置说明如下:
    vsys name vsysB
     assign interface Eth-Trunk1.129#分配虚拟子接口(业务网关)
     assign resource-class r1 #分配资源类r1
     assign global-ip 172.16.1.3 172.16.1.3 exclusive  #分配全局地址172.16.1.3为独占型
     assign global-ip 123.126.109.164 123.126.109.164 exclusive  #分配全局地址123.126.109.164为独占型

    firewall zone untrust
     add interface Virtual-if2
    firewall zone trust
     add interface Eth-Trunk1.129

    ip route-static 0.0.0.0 0.0.0.0 public #缺省路由扔向public(public根墙)

    security-policy
     default action permit #允许所有通过

    nat address-group Zhuanxian #为专线创建NAT地址组
     mode pat 模式
     section 0 172.16.1.2 172.16.1.2 #地址组为172.16.1.3

    nat address-group DianXin #为电信创建NAT地址组
     mode pat
     section 0 123.126.109.164 123.126.109.164

    nat-policy #进入nat策略视图(做域间策略)
     rule name no-nat #规则命名no-nat
      source-zone trust #源区域trust
      destination-zone untrust #目的区域untrust
      source-address 192.168.2.0 mask 255.255.255.0 #定义源192.168.2.0网段
      destination-address 172.16.1.0 mask 255.255.255.0 #定义目的172.16.1.0网段
      destination-address 192.168.1.0 mask 255.255.255.0 #定义目的192.168.1.0网段
      action no-nat #动作不转换
     rule name DianXin #规则名DianXian
      source-zone trust #源区域trust
      destination-zone untrust #目的区域untrust
      source-address 192.168.2.0 mask 255.255.255.0 #源地址段为192.168.2.0/24
      action nat address-group DianXin

    配置服务器端口映射
     nat server 1 protocol tcp global 123.126.109.164 3389 inside 192.168.1.1 3389 #将内部私网地址192.168.1.1端口3389映射成公网地址123.126.109.164的3389


    转载于:https://blog.51cto.com/maguangjie/2082649

    展开全文
  • 直接上图:因为设备较多,配置也较多,因此不展示配置,相关配置直接下载附件即可。另外:配置就是eNSP保存的文档,直接eNSP模拟器打开即可。没有txt、doc、pdf格式(整理比较麻烦) 转载于:...

    直接上图:
    160824urdmgz4r7xwxblxq.jpg 


    因为设备较多,配置也较多,因此不展示配置,相关配置直接下载附件即可。
    另外:配置就是eNSP保存的文档,直接eNSP模拟器打开即可。没有txt、doc、pdf格式(整理比较麻烦)

    转载于:https://blog.51cto.com/9238665/1534090

    展开全文
  • 防火墙双机热备配置及组网指导防火墙双机热备,主要是提供冗余备份的功能...11:防火墙双机热备命令行说明防火墙的双机热备的配置主要涉及到HRP配置,VGMP的配置,以及VRRP的配置防火墙的双机热备组网配置需要根...

    防火墙双机热备配置及组网指导

    防火墙双机热备,主要是提供冗余备份的功能,在网络发生故障的时候避免业务出现

    中断。

    防火墙双机热备组网根据防火墙的模式,

    分路由模式下的双机热备组网和透明模式下

    的双机热备组网,下面分别根据防火墙的不同模式下的组网提供组网说明及典型配置。

    1

    1

    :防火墙双机热备命令行说明

    防火墙的双机热备的配置主要涉及到

    HRP

    的配置,

    VGMP

    的配置,以及

    VRRP

    的配置,

    防火墙的双机热备组网配置需要根据现网的业务和用户的需求来进行调整,

    下面就防火墙的

    双机热备配置涉及到的命令行做一个解释说明。

    1.1

    1.1

    HRP

    命令行配置说明

    HRP

    是华为的冗余备份协议,

    Eudemon

    防火墙使用此协议进行备份组网,

    达到链路状

    态备份的目的,从而保证在设备发生故障的时候业务正常。

    HRP

    协议是华为自己开发的协议,主要是在

    VGMP

    协议的基础上进行扩展得到的;

    VGMP

    是华为的私有协议,主要是用来管理

    VRRP

    的,

    VGMP

    也是华为的私有协议,是在

    VRRP

    的基础上进行扩展得到的。不管是

    VGMP

    的报文,还是

    HRP

    的报文,都是

    VRRP

    报文,

    只是防火墙在识别这些报文的时候能根据自己定义的字段能判断出是

    VGMP

    的报文,

    HRP

    的报文,或者是普通的

    VRRP

    的报文。

    Eudemon

    防火墙上,

    hrp

    的作用主要是备份防火墙的会话表,

    备份防火墙的

    servermap

    表,备份防火墙的黑名单,备份防火墙的配置,以及备份

    ASPF

    模块中的公私网地址映射表

    和上层会话表等。

    两台防火墙正确配置

    VRRP

    VGMP

    ,以及

    HRP

    之后,将会形成主备关系,这个时候

    防火墙的命令行上会自动显示防火墙状态是主还是备,

    如果命令行上有

    HRP_M

    的标识,

    示此防火墙和另外一台防火墙进行协商之后抢占为主防火墙,如果命令行上有

    HRP_S

    的标

    识,

    表示此防火墙和另外一台防火墙进行协商之后抢占为备防火墙。

    防火墙的主备状态只能

    在两台防火墙之间进行协商,并且协商状态稳定之后一定是一台为主状态另外一台为备状

    态,不可能出现两台都为主状态或者都是备状态的。

    在防火墙的

    HRP

    形成主备之后,

    我们称

    HRP

    的主备状态为

    HRP

    主或者是

    HRP

    备状态,

    在形成

    HRP

    的主备状态之后默认是一部分配置在主防火墙上配置之后能自动同步到备防火

    墙上的,而这些命令将不能在备防火墙的命令行上执行,这些命令包括

    ACL

    ,接口加入域

    等,但其中一些命令行是不会从主防火墙上备份到备防火墙上。

    HRP

    的配置命令的功能和使用介绍如下:

    hrp enable

    HRP

    使能命令,使能

    HRP

    之后防火墙将形成主备状态。

    hrp configuration check acl

    :检查主备防火墙两端的

    ACL

    的配置是否一致。执行此

    display

    hrp

    configuration check acl

    来查看两边的配置是否一致。

    展开全文
  • 本文为大家介绍使用两台华为Eudemon200E防火墙实现双机双心跳的HRP热备的配置实例,主要的知识点包括:华为防火墙HRP、VRRP的配置,定义防火墙区域。 一、网络拓扑: 二、配置要求: 1、两台防火墙为E200E-...
  • 华为防火墙双机热备基础教程 【华为官方视频】 https://ilearningx.huawei.com/courses/course-v1:HuaweiX+EBGTC00000189+2018.9/about 【CSDN博客】 https://blog.csdn.net/qq_38265137/article/details/80349439 ...
  • 案例比较典型,中大型企业网部署较多,当然了,生产网络中内外路由器的数量会增多(冗余),这里是仿真...老规矩,直接上图上配置配置是eNSP打开直接就有了) 转载于:https://blog.51cto.com/9238665/1534091...
  • Vgmp VRRP Group Management Protocol由于双机热备导致设备出问题时可能会来回路径不一致,因为主备切换了配置VGMP保证一个组内的VRRP全为master,如果有一个不是,则全部切换至slaveHRP ( Huawei Redundancy ...
  • 防火墙为什么需要有双机热备? 解决单点故障问题,通过心跳线热备,使业务平滑过渡。 双机---------华为目前只能支持两台 热备---------通过心跳线同步各种状态信息(比如会话表等)以及关键配置 双机热备框架: ...
  • 华为防火墙双机热备实验 拓扑 说明 防火墙的G1/0/0口接外网,开启easy-ip NAT转发 虚拟ip为192.168.1.200/24 防火墙的G1/0/1口接内网 虚拟IP为172.16.1.200/24 防火墙G1/0/6用作hrp心跳线,区域为DMZ区域...
  • 本文为大家介绍使用两台华为Eudemon200E防火墙实现双机双心跳的HRP热备的配置实例,主要的知识点包括:华为防火墙HRP、VRRP的配置,定义防火墙区域。 一、网络拓扑:    二、配置要求: 1、两台防火墙为E200E...
  • 背景:在内网部署好应用服务器...简单拓扑:一、IP分布1、内网服务器IP:192.168.37.205 内网服务器提供的端口:222、防火墙版本 HRP_M<HSX-FW-2.PT.HB_ZXCN2_E1000-3>display version 19:36:34 ...
  • 防火墙FW1配置如下: ip-link check enable ip-link name dx destination 200.1.1.5 mode icmp # hrp enable hrp interface GigabitEthernet1/0/1 remote 1.1.1.2 hrp track ip-link dx # interface GigabitEthernet...
  • 华为防火墙VRRP知识点

    2016-11-29 15:40:13
    未启用允许配置备用设备的功能,所有可以备份的信息都只能在主用设备上配置,不能在备用设备上配置vrrp vrid 1 virtual-ip 192.168.100.254 255.255.255.0 activehrp enable #启用HRP备份功能(必须)hrp interface ...
  • 一、华为防火墙双机热备概述1.1 防火墙双机热备概念1.2 防火墙双机热备特点1.2.1 VGMP的优先级1.3 华为防火墙双机热备方式1.4 VGMP的状态转换与工作过程1.5 VGMP的工作原理(主备模式下)1.6 HRP协议基本原理1.7 HRP...
  • 配置所有接口IP在防火墙上规划接口区域,所有接口允许被ping防火墙配置安全策略,local到any配置虚拟地址并分配VRRP组以及备用设备组(这一步配置完之后,在R1和R2测试ping网关)主备防火墙配置HRP,以同步防火墙的...
  • 华为模拟器eNSP防火墙双机热备实验

    千次阅读 2020-06-11 16:30:50
    主备防火墙配置HRP,以同步防火墙的策略和会话 R1、R2配置缺省路由,主防火墙放行Trust到Untrust的策略 首先需要开启防火墙,但是这里需要改一下备用防火墙FW2的防火墙服务端口GE 0/0/0的IP地址,不然会和主...
  • USG6000v是虚拟防火墙。 实验拓扑 配置过程 一、导入设备包 由于USG6000v模拟器需要导入设备包才能使用,所以需要在华为企业专网下载USG6000v的设备包才能使用,根据自己eNSP的版本下载对应版本的设备包...
  • 华为USG6000v防火墙双机热备综合实验

    千次阅读 2019-03-02 23:20:11
    笔者最近在工作中接触到华为的防火墙,第一感触就是华为防火墙与其它厂商的防火墙在双机热备切换方面有点不同,华为引入了私有协议。 Vgmp(VRRP Group Management Protocol),VRRP组管理协议。由于双机热备导致...
  • 设备IP编址、接口VLAN见下表:实验需求1. 设备IP、VLAN规划如上表所示;2. PC1(VLAN10)PC2(VLAN20)的网关在FW1及FW2上(VRRP组1及组2的虚拟IP地址);...两台防火墙的GE0/0/2口为心跳接口,专用于HRP,同时将...
  • 概述:防火墙支持双机热备是标配,所以,大部分防火墙厂商都支持双机热备功能,区别在于实现技术不同。...1、华为USG6600系列防火墙。 实现思路:VRRP + VGMP + HRP,实现主备防火墙。 原理说明:VRRP作为单方面...
  • 防火墙双机热备

    2021-04-04 13:26:03
    注意:这里的VGMP、HRP协议为华为独有协议 具体步骤 1.规划网络并配置IP PC1 IP:192.168.1.3 掩码 24 网关:192.168.1.100 R1 <Huawei>sys [Huawei]sys R1 [R1]int g0/0/0 [R1-GigabitEthernet0/0/0]ip ad ...
  • 本文结合业务与软件产品线工程师开局需要对Eudemon系列防火墙数据准备给出指导,并对其常见配置进行描述。满足业务与软件产品常见组网应用开局配置需求。 本文不详细介绍用到的命令行格式和配置细节,相关信息请参考...
  • 【网络知识点】防火墙主备冗余技术本文以思科Failover技术为主备冗余技术,华为方面的主备冗余技术为VRRP+HRP,可自行查看华为相关配置资料,实际实现上两者没什么区别,只是实现原理上有点差别,华为做相互主备A/A...
  • 防火墙双机热备实验     实验拓扑图:   实验需求: ...2.防火墙双机备份 ... 第一步:配置思路 ... 1.配置ip ... 2.配置区域 ... 3.配置安全策略 ... 4.配置VRRP和hrp   第二步:实验操作 配...

空空如也

空空如也

1 2
收藏数 28
精华内容 11
关键字:

华为防火墙hrp配置