精华内容
下载资源
问答
  • 华为防火墙二层HRP主备注意事项 华为防火墙没有STP协议并且透传BPDU报文以至于不能阻断端口,造成防火墙与交换机形成广播风暴,可以参考此种模式解决防火墙热备形成环路问题 !

    华为防火墙二层HRP主备注意事项
    华为防火墙没有STP协议并且透传BPDU报文以至于不能阻断端口,造成防火墙与交换机形成广播风暴,可以参考此种模式解决防火墙热备形成环路问题
    交换机上面跑动态路由协议,下层跑二层及vrrp协议
    !交换机上面跑动态路由协议,下层跑二层及vrrp协议

    展开全文
  • 本文为大家介绍使用两台华为Eudemon200E防火墙实现双机双心跳的HRP热备的配置实例,主要的知识点包括:华为防火墙HRP、VRRP的配置,定义防火墙区域。 一、网络拓扑: 二、配置要求: 1、两台防火墙为E200E-...

     

        本文为大家介绍使用两台华为Eudemon200E防火墙实现双机双心跳的HRP热备的配置实例,主要的知识点包括:华为防火墙HRP、VRRP的配置,定义防火墙区域。

    一、网络拓扑:

     

     

     

    二、配置要求:

    1、两台防火墙为E200E-A和E200E-B,在两台防火墙上配置HRP和VRRP,实现双机双心跳热备。

     

    2、定义防火墙区域DMZ,把Eth-Trunk1划分到DMZ区域。

     

    三、配置过程

    E200E-A上设置

    #

     hrp enable                              

     hrp interface Eth-Trunk1

    #

    interface Eth-Trunk1

     description Link_to_E200E-A_E200E-B

     ip address 172.29.141.26 255.255.255.248

     vrrp vrid 10 virtual-ip 172.29.141.25 master

    #

    interface Ethernet1/0/0

     speed 100

     duplex full

     description Link_to_E200E-B-E1/0/0

     eth-trunk 1

    #

    interface Ethernet2/0/0

     speed 100

     duplex full

     description Link_to_E200E-B-E2/0/0

     eth-trunk 1

    #

    firewall zone dmz                        

     set priority 50

     add interface Eth-Trunk1

     

     

    E200E-B上设置

    #

     hrp enable                              

     hrp interface Eth-Trunk1

    #

    interface Eth-Trunk1

     description Link_to_E200E-B_E200E-A

     ip address 172.29.141.27 255.255.255.248

     vrrp vrid 10 virtual-ip 172.29.141.25 slave

    #

    interface Ethernet1/0/0

     speed 100

     duplex full

     description Link_to_E200E-A-E1/0/0

     eth-trunk 1

    #

    interface Ethernet2/0/0

     speed 100

     duplex full

     description Link_to_E200E-A-E2/0/0

     eth-trunk 1

    #

    firewall zone dmz                        

     set priority 50

     add interface Eth-Trunk1

     

     

     

    参数补充:

    VRRP备份组配置

    添加虚拟IP地址  vrrp vrid virtual-router-ID virtual-ip virtual-address

    配置备份组的优先级  vrrp vrid virtual-router-ID priority priority-value

    配置备份组的抢占方式和延迟时间  vrrp vrid virtual-router-ID preempt-mode [ timer delay delay-value ]

    (如果备份组加入VRRP管理组,则备份组自身的抢占方式、延迟时间配置失效,完全参照该备份组×××的VRRP管理组的抢占方式和延迟时间决定。)

    配置监视指定接口  vrrp vrid virtual-router-ID track interface-name [ reduced value-reduced ]

    (如果备份组加入VRRP管理组,则监视指定接口功能失效,无需进行该配置。由VRRP管理组统一管理各VRRP备份组的状态。)

     

    VRRP管理组的配置

    创建VRRP管理组,并进入管理组视图  vrrp group group-identifier

    启动VRRP管理组功能  vrrp-group enable

    配置向VRRP管理组中添加备份组  add interface interface-name vrrp vrid virtual-router-ID [ data [ transfer-only ] ]

    (通过配置data参数来标识指定路径为数据通道,并且该通道状态将影响VRRP管理组的状态变化。当配置transfer-only参数则表明该数据通道的状态将不会影响VRRP管理组的状态。)

    配置VRRP管理组报文发送间隔  vrrp-group timer hello hello-interval

    (缺省情况下,VRRP管理组报文的发送时间间隔为1000毫秒)

     

    双机热备份

    启动HRP双机热备份  hrp enable

    启动HRP抢占功能  hrp preempt [ delay delay-value ]

    启动自动备份  hrp auto-sync [ config | connection-status ]

    配置备份会话表的接口 hrp interface { interface-name | interface-type interface-number }

    显示HRP的信息  display hrp [ verbose ]

    打开HRP的调试信息开关  debugging hrp { all | state | packet | timer }

     

    转载于:https://blog.51cto.com/mybdm/754750

    展开全文
  • 直接上图:因为设备较多,配置也较多,因此不展示配置,相关配置直接下载附件即可。另外:配置就是eNSP保存的文档,直接eNSP模拟器打开即可。没有txt、doc、pdf格式(整理比较麻烦) 转载于:...

    直接上图:
    160824urdmgz4r7xwxblxq.jpg 


    因为设备较多,配置也较多,因此不展示配置,相关配置直接下载附件即可。
    另外:配置就是eNSP保存的文档,直接eNSP模拟器打开即可。没有txt、doc、pdf格式(整理比较麻烦)

    转载于:https://blog.51cto.com/9238665/1534090

    展开全文
  • 作业十三:防火墙的双机热备 实验环境 实验思路 规划并配置IP 安全区域划分 配置静态路由 配置VRRP 配置心跳接口 配置安全策略 检验连通性 主备切换 备用设备抢占 实验步骤 规划并配置IP R1: [R1]int g0/0/0 [R1...

    作业十三:防火墙的双机热备

    实验环境

    在这里插入图片描述

    实验思路

    • 规划并配置IP
    • 安全区域划分
    • 配置静态路由
    • 配置VRRP
    • 配置心跳接口
    • 配置安全策略
    • 检验连通性
    • 主备切换
    • 备用设备抢占

    实验步骤

    规划并配置IP

    R1:

    [R1]int g0/0/0
    [R1-GigabitEthernet0/0/0]ip add 200.1.1.3 24
    

    FW1:

    [FW1]int g1/0/2
    [FW1-GigabitEthernet1/0/2]ip add 200.1.1.1 24
    
    [FW1-GigabitEthernet1/0/2]int g1/0/1
    [FW1-GigabitEthernet1/0/1]ip add 12.1.1.1 24
    
    [FW1-GigabitEthernet1/0/1]int g1/0/0
    [FW1-GigabitEthernet1/0/0]ip add 192.168.1.1 24
    

    FW2:

    [FW2]int g1/0/2
    [FW2-GigabitEthernet1/0/2]ip add 200.1.1.2 24
    
    [FW2-GigabitEthernet1/0/2]int g1/0/1
    [FW2-GigabitEthernet1/0/1]ip add 12.1.1.2 24
    
    [FW2-GigabitEthernet1/0/1]int g1/0/0
    [FW2-GigabitEthernet1/0/0]ip add 192.168.1.2 24
    

    PC1:

    在这里插入图片描述

    安全区域划分

    FW1:

    [FW1]firewall zone trust
    [FW1-zone-trust]add int g1/0/0
    
    [FW1-zone-trust]firewall zone untrust
    [FW1-zone-untrust]add int g1/0/2
    
    [FW1-zone-untrust]firewall zone dmz
    [FW1-zone-dmz]add int g1/0/1
    

    FW2:

    [FW2]firewall zone trust
    [FW2-zone-trust]add int g1/0/0
    
    [FW2-zone-trust]firewall zone untrust
    [FW2-zone-untrust]add int g1/0/2
    
    [FW2-zone-untrust]firewall zone dmz
    [FW2-zone-dmz]add int g1/0/1
    
    配置静态路由

    R1:

    [R1]ip route-static 192.168.1.0 24 200.1.1.100
    
    配置VRRP

    FW1:

    [FW1]int g1/0/0
    [FW1-GigabitEthernet1/0/0]vrrp vrid 2 virtual-ip 192.168.1.100 active 
    
    [FW1-GigabitEthernet1/0/0]int g1/0/2
    [FW1-GigabitEthernet1/0/2]vrrp vrid 1 virtual-ip 200.1.1.100 active
    

    FW2:

    [FW2]int g1/0/0	
    [FW2-GigabitEthernet1/0/0]vrrp vrid 2 virtual-ip 192.168.1.100 standby 
    
    [FW2-GigabitEthernet1/0/0]int g1/0/2
    [FW2-GigabitEthernet1/0/2]vrrp vrid 1 virtual-ip 200.1.1.100 standby
    
    配置心跳接口

    FW1:

    [FW1]hrp int g1/0/1 remote 12.1.1.2
    [FW1]hrp enable
    

    FW2:

    [FW2]hrp int g1/0/1 remote 12.1.1.1
    [FW2]hrp enable
    
    配置安全策略

    FW1:

    HRP_M[FW1]security-policy (+B)
    HRP_M[FW1-policy-security]rule name t_u (+B)
    HRP_M[FW1-policy-security-rule-t_u]source-zone trust (+B)
    HRP_M[FW1-policy-security-rule-t_u]destination-zone untrust (+B)
    HRP_M[FW1-policy-security-rule-t_u]source-address 192.168.1.0 24 (+B)
    HRP_M[FW1-policy-security-rule-t_u]service icmp (+B)
    HRP_M[FW1-policy-security-rule-t_u]action permit  (+B)
    

    FW2查看同步的安全策略配置 :

    HRP_S[FW2]display current-configuration 
    

    在这里插入图片描述

    检验连通性

    PC1 ping 200.1.1.3:

    PC>ping 200.1.1.3
    
    Ping 200.1.1.3: 32 data bytes, Press Ctrl_C to break
    From 200.1.1.3: bytes=32 seq=1 ttl=254 time=172 ms
    From 200.1.1.3: bytes=32 seq=2 ttl=254 time=63 ms
    From 200.1.1.3: bytes=32 seq=3 ttl=254 time=62 ms
    From 200.1.1.3: bytes=32 seq=4 ttl=254 time=62 ms
    From 200.1.1.3: bytes=32 seq=5 ttl=254 time=46 ms
    
    --- 200.1.1.3 ping statistics ---
      5 packet(s) transmitted
      5 packet(s) received
      0.00% packet loss
      round-trip min/avg/max = 46/81/172 ms
    

    对FW1的g1/0/2抓包:
    在这里插入图片描述

    主备切换

    FW1关闭上行接口:

    HRP_M[FW1]int g1/0/2 (+B)
    HRP_M[FW1-GigabitEthernet1/0/2]shutdown
    

    FW1查看VRRP表:

    HRP_S[FW1-GigabitEthernet1/0/2]dis vrrp
    2021-03-24 08:43:20.690 
      GigabitEthernet1/0/2 | Virtual Router 1
        State : Initialize
        Virtual IP : 200.1.1.100
        Master IP : 0.0.0.0
        PriorityRun : 120
        PriorityConfig : 100
        MasterPriority : 0
        Preempt : YES   Delay Time : 0 s
        TimerRun : 60 s
        TimerConfig : 60 s
        Auth type : NONE
        Virtual MAC : 0000-5e00-0101
        Check TTL : YES
        Config type : vgmp-vrrp
        Backup-forward : disabled
        Create time : 2021-03-24 07:53:44
        Last change time : 2021-03-24 08:42:56
    
      GigabitEthernet1/0/0 | Virtual Router 2
        State : Backup
        Virtual IP : 192.168.1.100
        Master IP : 192.168.1.2
        PriorityRun : 120
        PriorityConfig : 100
        MasterPriority : 120
        Preempt : YES   Delay Time : 0 s
        TimerRun : 60 s
        TimerConfig : 60 s
        Auth type : NONE
        Virtual MAC : 0000-5e00-0102
        Check TTL : YES
        Config type : vgmp-vrrp
        Backup-forward : disabled
        Create time : 2021-03-24 07:51:28
        Last change time : 2021-03-24 08:42:56
    

    FW2查看VRRP表:

    HRP_M[FW2]dis vrrp
    2021-03-24 08:44:43.560 
      GigabitEthernet1/0/2 | Virtual Router 1
        State : Master
        Virtual IP : 200.1.1.100
        Master IP : 200.1.1.2
        PriorityRun : 120
        PriorityConfig : 100
        MasterPriority : 120
        Preempt : YES   Delay Time : 0 s
        TimerRun : 60 s
        TimerConfig : 60 s
        Auth type : NONE
        Virtual MAC : 0000-5e00-0101
        Check TTL : YES
        Config type : vgmp-vrrp
        Backup-forward : disabled
        Create time : 2021-03-24 07:55:21
        Last change time : 2021-03-24 08:42:55
    
      GigabitEthernet1/0/0 | Virtual Router 2
        State : Master
        Virtual IP : 192.168.1.100
        Master IP : 192.168.1.2
        PriorityRun : 120
        PriorityConfig : 100
        MasterPriority : 120
        Preempt : YES   Delay Time : 0 s
        TimerRun : 60 s
        TimerConfig : 60 s
        Auth type : NONE
        Virtual MAC : 0000-5e00-0102
        Check TTL : YES
        Config type : vgmp-vrrp
        Backup-forward : disabled
        Create time : 2021-03-24 07:54:50
        Last change time : 2021-03-24 08:42:55
    

    PC1 ping 200.1.1.3

    PC>ping 200.1.1.3
    
    Ping 200.1.1.3: 32 data bytes, Press Ctrl_C to break
    From 200.1.1.3: bytes=32 seq=1 ttl=254 time=78 ms
    From 200.1.1.3: bytes=32 seq=2 ttl=254 time=46 ms
    From 200.1.1.3: bytes=32 seq=3 ttl=254 time=62 ms
    From 200.1.1.3: bytes=32 seq=4 ttl=254 time=62 ms
    From 200.1.1.3: bytes=32 seq=5 ttl=254 time=47 ms
    
    --- 200.1.1.3 ping statistics ---
      5 packet(s) transmitted
      5 packet(s) received
      0.00% packet loss
      round-trip min/avg/max = 46/59/78 ms
    

    FW2上对g1/0/2抓包:

    在这里插入图片描述

    备用设备抢占

    重连上行接口:

    HRP_S[FW1-GigabitEthernet1/0/2]undo shutdown
    

    PC1持续 ping 200.1.1.3 无丢包现象

    查看FW1的VRRP表:

    HRP_M[FW1-GigabitEthernet1/0/2]dis vrrp
    2021-03-24 08:56:42.530 
      GigabitEthernet1/0/2 | Virtual Router 1
        State : Master
        Virtual IP : 200.1.1.100
        Master IP : 200.1.1.1
        PriorityRun : 120
        PriorityConfig : 100
        MasterPriority : 120
        Preempt : YES   Delay Time : 0 s
        TimerRun : 60 s
        TimerConfig : 60 s
        Auth type : NONE
        Virtual MAC : 0000-5e00-0101
        Check TTL : YES
        Config type : vgmp-vrrp
        Backup-forward : disabled
        Create time : 2021-03-24 07:53:44
        Last change time : 2021-03-24 08:56:07
    
      GigabitEthernet1/0/0 | Virtual Router 2
        State : Master
        Virtual IP : 192.168.1.100
        Master IP : 192.168.1.1
        PriorityRun : 120
        PriorityConfig : 100
        MasterPriority : 120
        Preempt : YES   Delay Time : 0 s
        TimerRun : 60 s
        TimerConfig : 60 s
        Auth type : NONE
        Virtual MAC : 0000-5e00-0102
        Check TTL : YES
        Config type : vgmp-vrrp
        Backup-forward : disabled
        Create time : 2021-03-24 07:51:28
        Last change time : 2021-03-24 08:56:07
    

    查看FW2的VRRP表:

    HRP_S[FW2]dis vrrp
    2021-03-24 08:58:15.540 
      GigabitEthernet1/0/2 | Virtual Router 1
        State : Backup
        Virtual IP : 200.1.1.100
        Master IP : 200.1.1.1
        PriorityRun : 120
        PriorityConfig : 100
        MasterPriority : 120
        Preempt : YES   Delay Time : 0 s
        TimerRun : 60 s
        TimerConfig : 60 s
        Auth type : NONE
        Virtual MAC : 0000-5e00-0101
        Check TTL : YES
        Config type : vgmp-vrrp
        Backup-forward : disabled
        Create time : 2021-03-24 07:55:21
        Last change time : 2021-03-24 08:56:06
    
      GigabitEthernet1/0/0 | Virtual Router 2
        State : Backup
        Virtual IP : 192.168.1.100
        Master IP : 192.168.1.1
        PriorityRun : 120
        PriorityConfig : 100
        MasterPriority : 120
        Preempt : YES   Delay Time : 0 s
        TimerRun : 60 s
        TimerConfig : 60 s
        Auth type : NONE
        Virtual MAC : 0000-5e00-0102
        Check TTL : YES
        Config type : vgmp-vrrp
        Backup-forward : disabled
        Create time : 2021-03-24 07:54:50
        Last change time : 2021-03-24 08:56:06
    

    实验总结

    ​ 本次实验学习了VGMP以及HRP的原理和配置。VGMP的作用是将所有的VRRP备份组集中管理,控制状态同一切换。HRP则负责双机之间的数据同步,能备份会话和部分配置。处于Active状态的接口会定期发送 Hello报文,若有一个VRRP备份组故障则优先级减2。两台防火墙之间备份的数据是通过心跳口发送和接收的,通过心跳链路传输。配置VGMP后VRRP失效,优先级变为VRRP的优先级。

    展开全文
  • 案例比较典型,中大型企业网部署较多,当然了,生产网络中内外路由器的数量会增多(冗余),这里是仿真将就看吧。老规矩,直接上图上配置(配置是eNSP打开直接就有了) 转载于:...
  • 一、华为防火墙双机热备概述1.1 防火墙双机热备概念1.2 防火墙双机热备特点1.2.1 VGMP的...HRP的备份方式1.8 备份通道状态1.9 心跳线二、防火墙双机热备实验2.1 实验拓扑图2.2 路由器R1配置2.3 防火墙FW1配置2....
  • 防火墙双机热备三大协议(VRRP-VGMP-HRP)原理

    万次阅读 多人点赞 2019-03-30 22:17:17
    防火墙双机热备技术 双机热备概述: 为什么需要要双机热备? 解决单点故障,实现业务的平滑过渡(会话表需要同步的) 双机热备的两种部署方式: 主备方式 ...HRP--------华为冗余协议(华为私有) ...
  • 华为防火墙双机热备(VRRP+VGMP+HRP

    千次阅读 2020-02-21 15:55:27
    防火墙一般用作内网到外网的出口,是业务关键路径上的设备,为了防止因一台设备故障而导致的业务中断,要求防火墙必须提供更新更高的可靠性,此时需要使用防火墙双机热备组网 双机热备组网的建立和运行需要解决以下...
  • Vgmp VRRP Group Management Protocol由于双机热备导致设备出问题时可能会来回路径不一致,因为主备切换了配置VGMP保证一个组内的VRRP全为master...备能快速切换至主,同时保证了主备之间的数据同步防火墙作双机热备...
  • fw1:interfaceGigabitEthernet0/0/0ip address 192.168.1.2 255.255.255.0hrp track masterinterfaceGigabitEthernet0/0/1ip address 202.100.1.1 255.255.255.0hrp track masterhrp mirror sessionenab...
  • 本文为大家介绍使用两台华为Eudemon200E防火墙实现双机双心跳的HRP热备的配置实例,主要的知识点包括:华为防火墙HRP、VRRP的配置,定义防火墙区域。 一、网络拓扑:    二、配置要求: 1、两台防火墙为E200E...
  • - 平常多个VRRP备份组会存在状态不一致的问题,于是华为防火墙引入了VGMP来实现对VRRP备份组的统一管理,保证多个VRRP备份组状态的一致性。 - VGMP(VRRP Group Management Protocol)组管理协议:由于双机热备导致...
  • 一.防火墙热机热备介绍
  • 传统组网中,只有一台防火墙部署在出口,当防火墙出现故障后,内部网络中所有以防火墙作为默认网关的主机与外部网络之间的通讯中断,通讯可靠性无法保证。 双机热备份技术的出现改变了可靠性难以保证的尴尬状态,...
  • 防火墙为什么需要有双机热备? 解决单点故障问题,通过心跳线热备,使业务平滑过渡。 双机---------华为目前只能支持两台 热备---------通过心跳线同步各种状态信息(比如会话表等)以及关键配置 双机热备框架: ...
  • 华为防火墙双机热备基础教程 【华为官方视频】 https://ilearningx.huawei.com/courses/course-v1:HuaweiX+EBGTC00000189+2018.9/about 【CSDN博客】 https://blog.csdn.net/qq_38265137/article/details/80349439 ...

空空如也

空空如也

1 2 3 4
收藏数 71
精华内容 28
关键字:

防火墙hrp