精华内容
下载资源
问答
  • ensp双机热备实验

    2020-11-17 17:04:23
    ensp双机热备实验 防火墙FW1 接口进行配置IP: interface GigabitEthernet1/0/0 ip address 192.168.1.2 255.255.255.0 service-manage ping permit interface GigabitEthernet1/0/1 ip address 172.16.2.1 255....

    ensp双机热备实验
    实验拓补图

    防火墙FW1
    接口进行配置IP:
    
    interface GigabitEthernet1/0/0
    ip address 192.168.1.2 255.255.255.0
    service-manage ping permit
    
    interface GigabitEthernet1/0/1
    ip address 172.16.2.1 255.255.255.0
    service-manage ping permit
    
    interface GigabitEthernet1/0/2
    ip address 10.1.1.10 255.255.255.0
    service-manage ping permit
    
    接口分配区域
    
    firewall zone trust
    add interface GigabitEthernet1/0/0
    quit
    firewall zone untrust
    add interface GigabitEthernet1/0/2
    
    新建一个区域heartbeat存放心跳线的口
    
    firewall zone name heartbeat id 4
    set priority 80
    add interface GigabitEthernet1/0/1
    quit
    
    防火墙FW2
    接口进行配置IP:
    
    interface GigabitEthernet1/0/0
    ip address 192.168.1.3 255.255.255.0
    service-manage ping permit
    
    interface GigabitEthernet1/0/1
    ip address 172.16.2.2 255.255.255.0
    service-manage ping permit
    
    interface GigabitEthernet1/0/2
    ip address 192.168.2.3 255.255.255.0
    service-manage ping permit
    接口分配区域
    
    firewall zone trust
    add interface GigabitEthernet1/0/0
    quit
    firewall zone untrust
    add interface GigabitEthernet1/0/2
    quit
    新建一个区域heartbeat存放心跳线的口
    
    firewall zone name heartbeat id 4
    set priority 80
    add interface GigabitEthernet1/0/1
    quit
    
    基础配置完成
    FW1(主设备)进行配置VRRP1:
    
    interface GigabitEthernet1/0/0
    vrrp vrid 1 virtual-ip 192.168.1.254 active
    
    VRRP2的配置:
    interface GigabitEthernet1/0/2
    vrrp vrid 2 virtual-ip 192.168.2.254 active
    
    FW2(备用设备)进行配置VRRP1:
    interface GigabitEthernet1/0/0
    vrrp vrid 1 virtual-ip 192.168.1.254 standby
    
    VRRP2的配置:
    interface GigabitEthernet1/0/2
    vrrp vrid 2 virtual-ip 192.168.2.254 standby
    
    VRRP配置完成。配置心跳口
    
    FW1: hrp interface GigabitEthernet1/0/1 remote 192.168.3.2
    FW2: hrp interface GigabitEthernet1/0/1 remote 192.168.3.1
    
    两台设备都开启HRP:
    hrp enable
    hrp auto-sync
    
    然后进行配置安全策略:关闭CLI之后再进入FW1,直接在FW1配置安全策略即可,命令后面的(+B)即表示会同步到备用设备上
    

    类似

    HRP_M[FW1]security-policy (+B)
    HRP_M[FW1-policy-security]rule name ping (+B)
    HRP_M[FW1-policy-security-rule-ping]source-address 192.168.1.0 0.0.0.255 (+B)
    HRP_M[FW1-policy-security-rule-ping]destination-address 10.1.1.0 0.0.0.255 (+B)
    HRP_M[FW1-policy-security-rule-ping]service icmp (+B)
    HRP_M[FW1-policy-security-rule-ping]action  permit  (+B)
    

    ping命令验证
    心跳接口抓包

    关掉主设备(FW1)的一个口,再进行验证

    HRP_M[FW1]interface GigabitEthernet 1/0/0 (+B) # 这个关闭端口的命令不会同步到备用设备,可以放心使用
    HRP_M[FW1-GigabitEthernet1/0/0]shutdown
    HRP_M[FW1-GigabitEthernet1/0/0]quit

    展开全文
  • ensp双机热备

    2021-03-24 15:59:53
    双机热备实验 文章目录双机热备实验实验环境实验思路具体步骤1.配置ip地址2.将接口划分到相应安全区域3.创建VRRP备份组.配置HRP并开启个人总结 实验环境 实验思路 具体步骤 1.配置ip地址 PC1: AR1: [AR1]int...

    双机热备实验



    实验环境

    在这里插入图片描述


    实验思路


    具体步骤

    1.配置ip地址

    PC1:
    在这里插入图片描述

    AR1:

    [AR1]int g0/0/0
    
    [AR1-GigabitEthernet0/0/0]ip add 200.1.1.3 24
    
    [AR1]ip route-static 192.168.1.0 24 200.1.1.100
    

    FW1:

    [FW1]int g1/0/2
    
    [FW1-GigabitEthernet1/0/2]ip add 200.1.1.1 24
    
    [FW1-GigabitEthernet1/0/2]int g1/0/1
    
    [FW1-GigabitEthernet1/0/1]ip add 12.1.1.1 24
    
    [FW1-GigabitEthernet1/0/1]int g1/0/0
    
    [FW1-GigabitEthernet1/0/0]ip add 192.168.1.1 24
    

    FW2:

    [FW2]int g1/0/2
    
    [FW2-GigabitEthernet1/0/2]ip add 200.1.1.2 24
    
    [FW2-GigabitEthernet1/0/2]int g1/0/1
    
    [FW2-GigabitEthernet1/0/1]ip add 12.1.1.2 24
    
    [FW2-GigabitEthernet1/0/1]int g1/0/0
    
    [FW2-GigabitEthernet1/0/0]ip add 192.168.1.2 24
    

    2.将接口划分到相应安全区域

    FW1:

    [FW1]firewall zone trust
    
    [FW1-zone-trust]add int g1/0/0
    
    [FW1-zone-trust]firewall zone untrust
    
    [FW1-zone-untrust]add int g1/0/2
    
    [FW1-zone-untrust]firewall zone dmz
    
    [FW1-zone-dmz]add int g1/0/1
    

    FW2:

    [FW2]firewall zone  trust 
    
    [FW2-zone-trust]add int g1/0/0
    
    [FW2-zone-trust]firewall zone untrust
    
    [FW2-zone-untrust]add int g1/0/2
    
    [FW2-zone-untrust]firewall zone dmz
    
    [FW2-zone-dmz]add int g1/0/1
    

    3.创建VRRP备份组

    FW1:

    [FW1]int g1/0/0
    
    [FW1-GigabitEthernet1/0/0]vrrp vrid 2 virtual-ip 192.168.1.100 active
    
    [FW1-GigabitEthernet1/0/0]int g1/0/2
    
    [FW1-GigabitEthernet1/0/2]vrrp vrid 1 virtual-ip 200.1.1.100 active
    

    FW2:

    [FW2]int g1/0/0
    
    [FW2-GigabitEthernet1/0/0]vrrp vrid 2 virtual-ip 192.168.1.100 standby 
    
    [FW2-GigabitEthernet1/0/0]int g1/0/2
    
    [FW2-GigabitEthernet1/0/2]vrrp vrid 1 virtual-ip 200.1.1.100 standby 
    

    4.配置HRP并开启

    FW1:

    [FW1]hrp interface g1/0/1 remote 12.1.1.2
    
    [FW1]hrp enable
    

    FW2:

    [FW2]hrp int g1/0/1 remote 12.1.1.1
    
    [FW2]hrp enable
    

    5.进入Hrp配置安全策略

    FW1:

    HRP_M[FW1]security-policy  (+B)
    
    HRP_M[FW1-policy-security]rule name t_u (+B)
    
    HRP_M[FW1-policy-security-rule-t_u]source-zone trust (+B)
    
    HRP_M[FW1-policy-security-rule-t_u]destination-zone untrust  (+B)
    
    HRP_M[FW1-policy-security-rule-t_u]source-address 192.168.1.0 24 (+B)
    
    HRP_M[FW1-policy-security-rule-t_u]service icmp (+B)
    
    HRP_M[FW1-policy-security-rule-t_u]action permit  (+B)
    

    6.测试

    PC>ping 200.1.1.3 
    
    Ping 200.1.1.3: 32 data bytes, Press Ctrl_C to break
     
    From 200.1.1.3: bytes=32 seq=1 ttl=254 time=78 ms 
    From 200.1.1.3: bytes=32 seq=2 ttl=254 time=63 ms 
    From 200.1.1.3: bytes=32 seq=3 ttl=254 time=62 ms 
    From 200.1.1.3: bytes=32 seq=4 ttl=254 time=78 ms 
    From 200.1.1.3: bytes=32 seq=5 ttl=254 time=63 ms
    
     --- 200.1.1.3 ping statistics --- 
     5 packet(s) transmitted 
     5 packet(s) received 
     0.00% packet loss 
     round-trip min/avg/max = 62/68/78 ms
    

    在这里插入图片描述
    FW2无包,说明只使用FW1

    7.关掉FW1的上行接口g1/0/1

    关闭

    [FW1]int g 1/0/0
    
    [FW1-GigabitEthernet1/0/0]shutdown 
    

    ping:

    PC>ping 200.1.1.3 
    
    Ping 200.1.1.3: 32 data bytes, Press Ctrl_C to break 
    
    From 200.1.1.3: bytes=32 seq=2 ttl=254 time=47 ms
    From 200.1.1.3: bytes=32 seq=2 ttl=254 time=47 ms 
    From 200.1.1.3: bytes=32 seq=3 ttl=254 time=78 ms 
    From 200.1.1.3: bytes=32 seq=4 ttl=254 time=62 ms 
    From 200.1.1.3: bytes=32 seq=5 ttl=254 time=63 ms 
    
    --- 200.1.1.1 ping statistics --- 
    5 packet(s) transmitted 
    5 packet(s) received 0.00% packet loss 
    round-trip min/avg/max = 0/62/78 ms
    

    查看VRRP:

    HRP_S[FW2]di vrrp
    2021-03-25 00:01:17.900 
      GigabitEthernet1/0/0 | Virtual Router 1
        State :  Master
        Virtual IP : 192.168.1.100
        Master IP : 192.168.1.1
        PriorityRun : 120
        PriorityConfig : 100
        MasterPriority : 100
        Preempt : YES   Delay Time : 0 s
        TimerRun : 60 s
        TimerConfig : 60 s
        Auth type : NONE
        Virtual MAC : 0000-5e00-0101
        Check TTL : YES
        Config type : vgmp-vrrp
        Backup-forward : disabled
        Create time : 2021-03-24 23:55:50
        Last change time : 2021-03-24 23:55:50
    
      GigabitEthernet1/0/2 | Virtual Router 2
        State :  Master
        Virtual IP : 200.1.1.100
        Master IP : 200.1.1.1
        PriorityRun : 120
        PriorityConfig : 100
        MasterPriority : 100
        Preempt : YES   Delay Time : 0 s
        TimerRun : 60 s
        TimerConfig : 60 s
        Auth type : NONE
        Virtual MAC : 0000-5e00-0102
        Check TTL : YES
        Config type : vgmp-vrrp
        Backup-forward : disabled
        Create time : 2021-03-24 23:53:47
        Last change time : 2021-03-24 23:53:47
    

    此时FW2成为Master

    打开FW1接口:

    [FW1]int g1/0/0 
    
    [FW1-GigabitEthernet1/0/0]undo shutdown 
    
    HRP_M[FW1]
    

    ping:

    PC>ping 200.1.1.3 -t
    
    Ping 200.1.1.3: 32 data bytes, Press Ctrl_C to break From 200.1.1.3: bytes=32 seq=1 ttl=254 time=62 ms 
    From 200.1.1.3: bytes=32 seq=2 ttl=254 time=63 ms 
    From 200.1.1.3: bytes=32 seq=3 ttl=254 time=62 ms 
    From 200.1.1.3: bytes=32 seq=4 ttl=254 time=47 ms 
    From 200.1.1.3: bytes=32 seq=5 ttl=254 time=47 ms 
    From 200.1.1.3: bytes=32 seq=6 ttl=254 time=62 ms 
    Request timeout! 
    From 200.1.1.3: bytes=32 seq=97 ttl=254 time=62 ms 
    From 200.1.1.3: bytes=32 seq=98 ttl=254 time=94 ms 
    

    中途突然超时后又联通,说明转换成功


    个人总结

    双机热备技术是为了解决单点故障,使业务平滑过渡,VGMP协议和HRP协议用于保证主备防火墙的状态和路径保持一致而设定的协议,在防火墙上,所有的VRRP备份都会由一个VGMP组来集中管理,HRP报文即是主备防火墙用来沟通的报文,主墙通过心跳链路不断对备墙汇报自身状况,当HRP报文持续一段时间不发送,备墙就会把所有的VRRP都转换为Master。


    展开全文
  • 华为模拟器eNSP防火墙双机热备实验

    千次阅读 2020-06-11 16:30:50
    命令行配置 简要步骤如下: 配置所有接口IP 在防火墙上规划接口区域,所有接口允许被ping 防火墙配置安全策略,local到any 配置虚拟地址并分配VRRP组以及备用设备组(这一步配置完之后,在R1和R2测试ping网关) ...

    在这里插入图片描述

    命令行配置

    简要步骤如下:

    1. 配置所有接口IP
    2. 在防火墙上规划接口区域,所有接口允许被ping
    3. 防火墙配置安全策略,localany
    4. 配置虚拟地址并分配VRRP组以及备用设备组(这一步配置完之后,在R1R2测试ping网关)
    5. 主备防火墙配置HRP,以同步防火墙的策略和会话
    6. R1R2配置缺省路由,主防火墙放行TrustUntrust的策略

    首先需要开启防火墙,但是这里需要改一下备用防火墙FW2的防火墙服务端口GE 0/0/0的IP地址,不然会和主防火墙FW1GEn0/0/0端口IP产生冲突

    FW1:
    sys
    un in en
    sysname FW1
    dis ip int brief
    
    FW2:
    sys
    un in en
    sysname FW2
    dis ip int brief
    int g0/0/0 
    ip address 192.168.0.2 24
    dis this 
    quit
    

    防火墙接口配置IP地址并划分相应区域

    FW1:
    sys
    int g1/0/0
    ip add 192.168.1.254 24
    dis this
    int g1/0/6
    ip add 172.16.1.254 24
    dis this
    int g1/0/1
    ip add 202.1.1.254 24
    dis this
    quit
    firewall zone trust
    add int g1/0/0
    dis this
    firewall zone dmz
    add int g1/0/6
    dis this
    firewall zone untrust
    add int g1/0/1
    dis this
    quit
    
    FW2:
    sys
    int g1/0/0
    ip add 192.168.1.253 24
    dis this
    int g1/0/6
    ip add 172.16.1.253 24
    dis this
    int g1/0/1
    ip add 202.1.1.253 24
    dis this
    quit
    firewall zone trust
    add int g1/0/0
    dis this
    firewall zone dmz
    add int g1/0/6
    dis this
    firewall zone untrust
    add int g1/0/1
    dis this
    quit
    

    防火墙所有接口开启ping服务,配置localany的安全策略

    FW1:
    sys
    int g1/0/0
    service-manage ping permit
    dis this
    int g1/0/6
    service-manage ping permit
    dis this
    int g1/0/1
    service-manage ping permit
    dis this
    quit
    security-policy
    rule name local_to_any
    source-zone local
    destination-zone any
    action permit
    dis this
    quit
    
    FW2:
    sys
    int g1/0/0
    service-manage ping permit
    dis this
    int g1/0/6
    service-manage ping permit
    dis this
    int g1/0/1
    service-manage ping permit
    dis this
    quit
    security-policy
    rule name local_to_any
    source-zone local
    destination-zone any
    action permit
    dis this
    quit
    

    防火墙配置虚拟地址和VRRP组以及备用设备组

    FW1:
    int g1/0/0
    vrrp vrid 1 virtual-ip 192.168.1.1 active
    dis this
    int g1/0/1
    vrrp vrid 2 virtual-ip 202.1.1.1 active
    dis this
    dis vrrp bri
    quit
    
    FW2:
    int g1/0/0
    vrrp vrid 1 virtual-ip 192.168.1.1 standby
    dis this
    int g1/0/1
    vrrp vrid 2 virtual-ip 202.1.1.1 standby
    dis this
    dis vrrp bri 
    quit
    

    R1R2配置接口地址,并测试ping网关(即防火墙vrrp虚拟地址)

    R1:
    sys
    un in en
    sysname R1
    int e0/0/0
    ip add 192.168.1.2 24
    dis this
    quit
    
    R2:
    sys
    un in en
    sysname R2
    int e0/0/0
    ip add 202.1.1.1 24
    dis this
    quit
    

    验证结果:

    在这里插入图片描述
    在这里插入图片描述

    主备防火墙配置相应的HRP协议,以同步主备防火墙之间的策略和会话

    FW1:
    sys
    hrp enable
    hrp int g1/0/6 remote 172.16.1.253
    
    FW2:
    sys
    hrp enable
    hrp standby-device
    hrp int g1/0/6 remote 172.16.1.254
    

    注意 : 处于standby状态的设备不允许配置安全策略(可以其他的),只允许在主设备配置安全策略,且安全策略会自动同步到备用设备上面。主设备配置安全策略,且安全策略会自动同步到备用设备上面,主设备配置由trust_to_untrust放行策略,备用设备会自动同步策略

    R1R2上配置缺省路由并在主防火墙上配置trust_to_untrust的策略

    R1:
    sys
    ip route-static 0.0.0.0 0 192.168.1.1
    dis this
    quit
    dis ip routing-table
    
    R2: 
    sys
    ip route-static 0.0.0.0 0 202.1.1.2
    dis this 
    quit
    dis ip routing-table
    
    FW1:
    sys
    security-policy
    rule name trust_to_untrust
    source-zone trust
    destination-zone untrust
    action permit
    dis this
    quit
    quit
    dis security-policy all
    

    到这里配置过程就结束了,接下来进行测试,关闭主防火墙的接口,模拟主防火墙出现故障,看看能够还能ping202.1.1.2

    FW1:
    sys
    int g1/0/0
    shutdown
    dis this
    

    在这里插入图片描述

    shutdown掉了主防火墙的GE 1/0/0口,还是能够访问202.1.1.2,试验成功,其他的就懒的测试了

    防火墙Web端配置

    在这里插入图片描述
    在这里插入图片描述

    展开全文
  • ip 10.3.0.254 active [FW 2-GigabitEthernet1/0/1]vrrp vrid 1 virtual-ip 10.2.0.254 active [FW 2-GigabitEthernet1/0/2]vrrp vrid 2 virtual-ip 10.3.0.254 active 5、配置心跳接口并启动双机热备 [FW 1]hrp ...

    在这里插入图片描述
    注:左边为trust区,右边为untrust区,防火墙之间为DMZ区。

    1、配置默认路由

    [FW 1]ip route-static 0.0.0.0 0 10.3.0.3
    [FW 2]ip route-static 0.0.0.0 0 10.3.0.3
    

    2、配置心跳线规则

    [FW 1-policy-security]rule name permit_heat
    [FW 1-policy-security-rule-permit_heat]source-zone local 
    [FW 1-policy-security-rule-permit_heat]destination-zone dmz 
    [FW 1-policy-security-rule-permit_heat]action permit
    [FW 2-policy-security]rule name permit_heat
    [FW 2-policy-security-rule-permit_heat]source-zone local 
    [FW 2-policy-security-rule-permit_heat]destination-zone dmz 
    [FW 2-policy-security-rule-permit_heat]action permit
    

    3、配置其他规则

    [FW 1]security-policy
    [FW 1-policy-security]rule name permit_trust_untrust
    [FW 1-policy-security-rule-permit_trust_untrust]source-zone trust 
    [FW 1-policy-security-rule-permit_trust_untrust]destination-zone untrust 
    [FW 1-policy-security-rule-permit_trust_untrust]action permit 
    [FW 2]security-policy
    [FW 2-policy-security]rule name permit_trust_untrust
    [FW 2-policy-security-rule-permit_trust_untrust]source-zone trust 
    [FW 2-policy-security-rule-permit_trust_untrust]destination-zone untrust 
    [FW 2-policy-security-rule-permit_trust_untrust]action permit 
    

    4、配置VRRP备份组

    [FW 1-GigabitEthernet1/0/1]vrrp vrid 1 virtual-ip 10.2.0.254 active
    [FW 1-GigabitEthernet1/0/2]vrrp vrid 2 virtual-ip 10.3.0.254 active 
    [FW 2-GigabitEthernet1/0/1]vrrp vrid 1 virtual-ip 10.2.0.254 active 
    [FW 2-GigabitEthernet1/0/2]vrrp vrid 2 virtual-ip 10.3.0.254 active 
    

    5、配置心跳接口并启动双机热备

    [FW 1]hrp interface GigabitEthernet 1/0/0 remote 10.10.0.2	
    [FW 1]hrp enable
    [FW 2]hrp interface GigabitEthernet 1/0/0 remote 10.10.0.1
    [FW 2]hrp enable
    
    展开全文
  • 文章目录作业十八:综合实验实验要求实验环境实验步骤规划并配置IP划分区域配置OSPF配置双机热备配置静态路由配置VRRP配置心跳接口配置IPSec配置安全策略检查连通性配置访问公网的ClientNAT配置配置安全策略检查连通...
  • 华为网络 防火墙 双机热备
  • 当两端心跳有多根时,如果两端的running口不是一根链路,也可以正常通信 心跳线 双机热备组网中、心跳线是两台FW交互消息了解对端状态以及备份配置命令和各种表项的通道。心跳线两端的接口通常称为“心跳接口” ...
  • 华为防火墙双机热备基础教程 【华为官方视频】 https://ilearningx.huawei.com/courses/course-v1:HuaweiX+EBGTC00000189+2018.9/about 【CSDN博客】 https://blog.csdn.net/qq_38265137/article/details/80349439 ...
  • 华为USG6000v防火墙双机热备综合实验

    万次阅读 2019-03-02 23:20:11
    笔者最近在工作中接触到华为的防火墙,第一感触就是华为防火墙与其它厂商的防火墙在双机热备切换方面有点不同,华为引入了私有协议。 Vgmp(VRRP Group Management Protocol),VRRP组管理协议。由于双机热备导致...
  • 涉及的技术NAT、VRRP、OSPF、HA、VGMP,里面含命令和讲解,在我的博客上面有写Cisco的配置欢迎大家一起交流学习
  • 本文使用华为eNSP模拟器,实现了镜像模式下华为防火墙双机热备配置实例。 阅读本文,您需要有一定的防火墙配置基础和防火墙双机热备理论基础,如果您对此还存在困惑,欢迎查阅我博客内的其他文章,相信您一定会有所...
  • 今天继续给大家介绍HCIE安全系列相关内容。本文以华为eNSP模拟器为例,实现了配置防火墙双击热备技术...实验拓扑如上所示,现在要求FW1和FW1配置防火墙双机热备,上下行设备路由器,在整个拓扑内运行OSPF协议,实现路由

空空如也

空空如也

1 2 3 4
收藏数 64
精华内容 25
关键字:

ensp双机热备实验