-
2021-12-16 09:35:11
实验环境
实验需求
配置防火墙双机热备
实验步骤
配置FW1
[FW1]int g1/0/0
[FW1-GigabitEthernet1/0/0]ip ad 200.1.1.2 24
[FW1-GigabitEthernet1/0/0]int g1/0/1
[FW1-GigabitEthernet1/0/1]ip ad 192.168.1.2 24
[FW1]int g1/0/2
[FW1-GigabitEthernet1/0/0]ip ad 192.168.2.2 24
[FW1]firewall zone trust
[FW1-zone-trust]add interface g1/0/1
[FW1]firewall zone untrust
[FW1-zone-untrust]add interface g1/0/0[FW1]firewall zone dmz
[FW1-zone-dmz]add interface g1/0/2
[FW1-GigabitEthernet1/0/0]vrrp vrid 1 virtual-ip 200.1.1.
254 active
[FW1-GigabitEthernet1/0/1]vrrp vrid 2 virtual-ip 192.168.
1.254 active
[FW1]hrp interface g1/0/2 remote 192.168.2.2
[FW1]hrp enable
配置FW2
[FW2]int g1/0/0
[FW2-GigabitEthernet1/0/0]ip ad 200.1.1.3 24
[FW2-GigabitEthernet1/0/0]int g1/0/1
[FW2-GigabitEthernet1/0/1]ip ad 192.168.1.3 24
[FW2]int g1/0/2
[FW2-GigabitEthernet1/0/0]ip ad 192.168.2.3 24
[FW2]firewall zone trust
[FW2-zone-trust]add interface g1/0/1
[FW2]firewall zone dmz
[FW2-zone-dmz]add interface g1/0/2
[FW2-GigabitEthernet1/0/0]vrrp vrid 1 virtual-ip 200.1.1.
254 standby
[FW2-GigabitEthernet1/0/1]vrrp vrid 2 virtual-ip 192.168.
1.254 standby
[FW2]hrp interface g1/0/2 remote 192.168.2.1
[FW2]hrp enable
- 进入安全策略视图:HRP_M[FW1]security-policy(+B)
- 创建安全策略规则:
HRP_M[FW1-policy-security]rule name PC1-PC2(+B) - 源区域:source-zone trust(+B)
- 目的区域:destination-zone untrust(+B)
- 源地址:source-address 192.168.1.11 24(+B)
- 目的地址:destination-addrs s 200.1.1.22 24(+B)
- 匹配该策略的流量允许通过:action permit(+B)
PC1能ping通PC2:
总结
关于配置防火墙双机热备,关键代码指令以及过程已在上面给出,有问题欢迎留言讨论,对你有帮助的话点赞支持下呀~
更多相关内容 -
ensp双机热备实验
2020-11-17 17:04:23ensp双机热备实验 防火墙FW1 接口进行配置IP: interface GigabitEthernet1/0/0 ip address 192.168.1.2 255.255.255.0 service-manage ping permit interface GigabitEthernet1/0/1 ip address 172.16.2.1 255....ensp双机热备实验
防火墙FW1 接口进行配置IP: interface GigabitEthernet1/0/0 ip address 192.168.1.2 255.255.255.0 service-manage ping permit interface GigabitEthernet1/0/1 ip address 172.16.2.1 255.255.255.0 service-manage ping permit interface GigabitEthernet1/0/2 ip address 10.1.1.10 255.255.255.0 service-manage ping permit 接口分配区域 firewall zone trust add interface GigabitEthernet1/0/0 quit firewall zone untrust add interface GigabitEthernet1/0/2 新建一个区域heartbeat存放心跳线的口 firewall zone name heartbeat id 4 set priority 80 add interface GigabitEthernet1/0/1 quit 防火墙FW2 接口进行配置IP: interface GigabitEthernet1/0/0 ip address 192.168.1.3 255.255.255.0 service-manage ping permit interface GigabitEthernet1/0/1 ip address 172.16.2.2 255.255.255.0 service-manage ping permit interface GigabitEthernet1/0/2 ip address 192.168.2.3 255.255.255.0 service-manage ping permit 接口分配区域 firewall zone trust add interface GigabitEthernet1/0/0 quit firewall zone untrust add interface GigabitEthernet1/0/2 quit 新建一个区域heartbeat存放心跳线的口 firewall zone name heartbeat id 4 set priority 80 add interface GigabitEthernet1/0/1 quit 基础配置完成 FW1(主设备)进行配置VRRP1: interface GigabitEthernet1/0/0 vrrp vrid 1 virtual-ip 192.168.1.254 active VRRP2的配置: interface GigabitEthernet1/0/2 vrrp vrid 2 virtual-ip 192.168.2.254 active FW2(备用设备)进行配置VRRP1: interface GigabitEthernet1/0/0 vrrp vrid 1 virtual-ip 192.168.1.254 standby VRRP2的配置: interface GigabitEthernet1/0/2 vrrp vrid 2 virtual-ip 192.168.2.254 standby VRRP配置完成。配置心跳口 FW1: hrp interface GigabitEthernet1/0/1 remote 192.168.3.2 FW2: hrp interface GigabitEthernet1/0/1 remote 192.168.3.1 两台设备都开启HRP: hrp enable hrp auto-sync 然后进行配置安全策略:关闭CLI之后再进入FW1,直接在FW1配置安全策略即可,命令后面的(+B)即表示会同步到备用设备上
HRP_M[FW1]security-policy (+B) HRP_M[FW1-policy-security]rule name ping (+B) HRP_M[FW1-policy-security-rule-ping]source-address 192.168.1.0 0.0.0.255 (+B) HRP_M[FW1-policy-security-rule-ping]destination-address 10.1.1.0 0.0.0.255 (+B) HRP_M[FW1-policy-security-rule-ping]service icmp (+B) HRP_M[FW1-policy-security-rule-ping]action permit (+B)
关掉主设备(FW1)的一个口,再进行验证
HRP_M[FW1]interface GigabitEthernet 1/0/0 (+B) # 这个关闭端口的命令不会同步到备用设备,可以放心使用
HRP_M[FW1-GigabitEthernet1/0/0]shutdown
HRP_M[FW1-GigabitEthernet1/0/0]quit -
ensp USG6000v 双机热备实验
2021-12-17 16:48:17add int g1/0/6 [fw2-zone-dmz]q 3:设置vrrp组 (本实验需要设置两个vrrp组,上面俩g1/0/0口一组,下面俩1/0/1一组,上面的vrid2,下面为1) #################组2配置 [fw1]int g1/0/0 [fw1-GigabitEthernet1/0/0...注意:接口位置的接口都必须一样,(比方说上面俩口都是1/0/0)不然你的主防火墙坏了,备份的防火墙策略和主防火墙一致,备份过去不起会不起作用
1:配置接口ip(略)
2:设置区域
[fw1]firewall zone trust
[fw1-zone-trust]add interface GigabitEthernet 1/0/1
[fw1-zone-trust]q
[fw1]firewall zone untrust
[fw1-zone-untrust]add interface g1/0/0
[fw1-zone-untrust]q
[fw1]firewall zone dmz
[fw1-zone-dmz]add int g1/0/6
[fw1-zone-dmz]q
[fw2]firewall zone trust
[fw2-zone-trust]add int g1/0/1
[fw2-zone-trust]q
[fw2]firewall zone untrust
[fw2-zone-untrust]add int g1/0/0
[fw2-zone-untrust]q
[fw2]firewall zone dmz
[fw2-zone-dmz]add int g1/0/6
[fw2-zone-dmz]q3:设置vrrp组 (本实验需要设置两个vrrp组,上面俩g1/0/0口一组,下面俩1/0/1一组,上面的vrid2,下面为1)
#################组2配置
[fw1]int g1/0/0
[fw1-GigabitEthernet1/0/0]vrrp vrid 2 virtual-ip 192.168.1.254 active //组为2并设置为组2的master
[fw1-GigabitEthernet1/0/0]q,
[fw2]int g1/0/0
[fw2-GigabitEthernet1/0/0]vrrp vrid 2 virtual-ip 192.168.1.254 standby //组为2并设置为组2standby
[fw2-GigabitEthernet1/0/0]q
#################组1配置
[fw1]int g1/0/1
[fw1-GigabitEthernet1/0/1]vrrp vrid 1 virtual-ip 10.1.1.254 active
[fw1-GigabitEthernet1/0/1]q[fw2]int g1/0/1
[fw2-GigabitEthernet1/0/1]vrrp vrid 1 virtual-ip 10.1.1.254 standby
[fw2-GigabitEthernet1/0/1]q4:设置hrp心跳线
[fw1]hrp interface g1/0/6 remote 172.16.1.2[fw2]hrp interface g1/0/6 remote 172.16.1.1 //指定心跳口并且指定对端口的ip
[fw2]hrp standby-device //指定备份设备
[fw2]hrp enable//开启hrp[fw1]hrp enable//开启hrp
防火墙的状态会变成这样↓
5:配置安全策略(现在只需要在主设备上配置就可以了,策略会自动同步到备用设备)(+B)是自动出现的敲完回车自动出现的HRP_M[fw1]security-policy (+B)
HRP_M[fw1-policy-security]rule name name1 (+B)
HRP_M[fw1-policy-security-rule-name1]source-zone trust (+B)
HRP_M[fw1-policy-security-rule-name1]destination-zone untrust (+B)
HRP_M[fw1-policy-security-rule-name1]source-address 10.1.1.1 24 (+B)
HRP_M[fw1-policy-security-rule-name1]destination-address 192.168.1.1 24 (+B)
HRP_M[fw1-policy-security-rule-name1]service icmp (+B)
HRP_M[fw1-policy-security-rule-name1]action permit (+B)
HRP_M[fw1-policy-security-rule-name1]q
HRP_M[fw1-policy-security]qdown掉一个口
丢俩包正常ping
-
ensp双机热备
2021-03-24 15:59:53双机热备实验 文章目录双机热备实验实验环境实验思路具体步骤1.配置ip地址2.将接口划分到相应安全区域3.创建VRRP备份组.配置HRP并开启个人总结 实验环境 实验思路 具体步骤 1.配置ip地址 PC1: AR1: [AR1]int...双机热备实验
文章目录
实验环境
实验思路
具体步骤
1.配置ip地址
PC1:
AR1:
[AR1]int g0/0/0 [AR1-GigabitEthernet0/0/0]ip add 200.1.1.3 24 [AR1]ip route-static 192.168.1.0 24 200.1.1.100
FW1:
[FW1]int g1/0/2 [FW1-GigabitEthernet1/0/2]ip add 200.1.1.1 24 [FW1-GigabitEthernet1/0/2]int g1/0/1 [FW1-GigabitEthernet1/0/1]ip add 12.1.1.1 24 [FW1-GigabitEthernet1/0/1]int g1/0/0 [FW1-GigabitEthernet1/0/0]ip add 192.168.1.1 24
FW2:
[FW2]int g1/0/2 [FW2-GigabitEthernet1/0/2]ip add 200.1.1.2 24 [FW2-GigabitEthernet1/0/2]int g1/0/1 [FW2-GigabitEthernet1/0/1]ip add 12.1.1.2 24 [FW2-GigabitEthernet1/0/1]int g1/0/0 [FW2-GigabitEthernet1/0/0]ip add 192.168.1.2 24
2.将接口划分到相应安全区域
FW1:
[FW1]firewall zone trust [FW1-zone-trust]add int g1/0/0 [FW1-zone-trust]firewall zone untrust [FW1-zone-untrust]add int g1/0/2 [FW1-zone-untrust]firewall zone dmz [FW1-zone-dmz]add int g1/0/1
FW2:
[FW2]firewall zone trust [FW2-zone-trust]add int g1/0/0 [FW2-zone-trust]firewall zone untrust [FW2-zone-untrust]add int g1/0/2 [FW2-zone-untrust]firewall zone dmz [FW2-zone-dmz]add int g1/0/1
3.创建VRRP备份组
FW1:
[FW1]int g1/0/0 [FW1-GigabitEthernet1/0/0]vrrp vrid 2 virtual-ip 192.168.1.100 active [FW1-GigabitEthernet1/0/0]int g1/0/2 [FW1-GigabitEthernet1/0/2]vrrp vrid 1 virtual-ip 200.1.1.100 active
FW2:
[FW2]int g1/0/0 [FW2-GigabitEthernet1/0/0]vrrp vrid 2 virtual-ip 192.168.1.100 standby [FW2-GigabitEthernet1/0/0]int g1/0/2 [FW2-GigabitEthernet1/0/2]vrrp vrid 1 virtual-ip 200.1.1.100 standby
4.配置HRP并开启
FW1:
[FW1]hrp interface g1/0/1 remote 12.1.1.2 [FW1]hrp enable
FW2:
[FW2]hrp int g1/0/1 remote 12.1.1.1 [FW2]hrp enable
5.进入Hrp配置安全策略
FW1:
HRP_M[FW1]security-policy (+B) HRP_M[FW1-policy-security]rule name t_u (+B) HRP_M[FW1-policy-security-rule-t_u]source-zone trust (+B) HRP_M[FW1-policy-security-rule-t_u]destination-zone untrust (+B) HRP_M[FW1-policy-security-rule-t_u]source-address 192.168.1.0 24 (+B) HRP_M[FW1-policy-security-rule-t_u]service icmp (+B) HRP_M[FW1-policy-security-rule-t_u]action permit (+B)
6.测试
PC>ping 200.1.1.3 Ping 200.1.1.3: 32 data bytes, Press Ctrl_C to break From 200.1.1.3: bytes=32 seq=1 ttl=254 time=78 ms From 200.1.1.3: bytes=32 seq=2 ttl=254 time=63 ms From 200.1.1.3: bytes=32 seq=3 ttl=254 time=62 ms From 200.1.1.3: bytes=32 seq=4 ttl=254 time=78 ms From 200.1.1.3: bytes=32 seq=5 ttl=254 time=63 ms --- 200.1.1.3 ping statistics --- 5 packet(s) transmitted 5 packet(s) received 0.00% packet loss round-trip min/avg/max = 62/68/78 ms
FW2无包,说明只使用FW17.关掉FW1的上行接口g1/0/1
关闭
[FW1]int g 1/0/0 [FW1-GigabitEthernet1/0/0]shutdown
ping:
PC>ping 200.1.1.3 Ping 200.1.1.3: 32 data bytes, Press Ctrl_C to break From 200.1.1.3: bytes=32 seq=2 ttl=254 time=47 ms From 200.1.1.3: bytes=32 seq=2 ttl=254 time=47 ms From 200.1.1.3: bytes=32 seq=3 ttl=254 time=78 ms From 200.1.1.3: bytes=32 seq=4 ttl=254 time=62 ms From 200.1.1.3: bytes=32 seq=5 ttl=254 time=63 ms --- 200.1.1.1 ping statistics --- 5 packet(s) transmitted 5 packet(s) received 0.00% packet loss round-trip min/avg/max = 0/62/78 ms
查看VRRP:
HRP_S[FW2]di vrrp 2021-03-25 00:01:17.900 GigabitEthernet1/0/0 | Virtual Router 1 State : Master Virtual IP : 192.168.1.100 Master IP : 192.168.1.1 PriorityRun : 120 PriorityConfig : 100 MasterPriority : 100 Preempt : YES Delay Time : 0 s TimerRun : 60 s TimerConfig : 60 s Auth type : NONE Virtual MAC : 0000-5e00-0101 Check TTL : YES Config type : vgmp-vrrp Backup-forward : disabled Create time : 2021-03-24 23:55:50 Last change time : 2021-03-24 23:55:50 GigabitEthernet1/0/2 | Virtual Router 2 State : Master Virtual IP : 200.1.1.100 Master IP : 200.1.1.1 PriorityRun : 120 PriorityConfig : 100 MasterPriority : 100 Preempt : YES Delay Time : 0 s TimerRun : 60 s TimerConfig : 60 s Auth type : NONE Virtual MAC : 0000-5e00-0102 Check TTL : YES Config type : vgmp-vrrp Backup-forward : disabled Create time : 2021-03-24 23:53:47 Last change time : 2021-03-24 23:53:47
此时FW2成为Master
打开FW1接口:
[FW1]int g1/0/0 [FW1-GigabitEthernet1/0/0]undo shutdown HRP_M[FW1]
ping:
PC>ping 200.1.1.3 -t Ping 200.1.1.3: 32 data bytes, Press Ctrl_C to break From 200.1.1.3: bytes=32 seq=1 ttl=254 time=62 ms From 200.1.1.3: bytes=32 seq=2 ttl=254 time=63 ms From 200.1.1.3: bytes=32 seq=3 ttl=254 time=62 ms From 200.1.1.3: bytes=32 seq=4 ttl=254 time=47 ms From 200.1.1.3: bytes=32 seq=5 ttl=254 time=47 ms From 200.1.1.3: bytes=32 seq=6 ttl=254 time=62 ms Request timeout! From 200.1.1.3: bytes=32 seq=97 ttl=254 time=62 ms From 200.1.1.3: bytes=32 seq=98 ttl=254 time=94 ms
中途突然超时后又联通,说明转换成功
个人总结
双机热备技术是为了解决单点故障,使业务平滑过渡,VGMP协议和HRP协议用于保证主备防火墙的状态和路径保持一致而设定的协议,在防火墙上,所有的VRRP备份都会由一个VGMP组来集中管理,HRP报文即是主备防火墙用来沟通的报文,主墙通过心跳链路不断对备墙汇报自身状况,当HRP报文持续一段时间不发送,备墙就会把所有的VRRP都转换为Master。
-
华为模拟器eNSP防火墙双机热备实验
2020-06-11 16:30:50命令行配置 简要步骤如下: 配置所有接口IP 在防火墙上规划接口区域,所有接口允许被ping 防火墙配置安全策略,local到any 配置虚拟地址并分配VRRP组以及备用设备组(这一步配置完之后,在R1和R2测试ping网关) ... -
HUAWEI-Ensp模拟器 双机热备传统方式.docx
2021-11-12 11:19:07HUAWEI-Ensp模拟器上实现双机热备(传统方式),适合学生在做实验时遇到错误查看是否命令有错误。 -
ensp综合实验:双机热备、IPSec、FTP
2021-04-06 11:24:50文章目录作业十八:综合实验实验要求实验环境实验步骤规划并配置IP划分区域配置OSPF配置双机热备配置静态路由配置VRRP配置心跳接口配置IPSec配置安全策略检查连通性配置访问公网的ClientNAT配置配置安全策略检查连通... -
HCIE-Security Day13:防火墙双机热备实验(一)防火墙直路部署,上下行连接交换机
2022-02-15 08:26:09实验一:防火墙直路部署,上下行连接交换机 需求和拓扑 企业的两台FW的业务接口都工作在三层,上下行分别连接二层交换机。上行交换机连接运营商的接入点,运营商为企业分配的IP地址为1.1.1.1。现在希望两台FW以主... -
HCIE-Security Day14:防火墙双机热备实验(二)防火墙直路部署,上下行连接路由器
2022-02-16 07:54:08实验二:防火墙直路部署,上下行连接路由器 需求和拓扑 两台FW的业务接口都工作在三层,上下行分别连接路由器。FW与上下行路由器之间运行OSPF协议。现在希望两台FW以主备备份方式工作。正常情况下,流量通过FW_A... -
华为eNSP防火墙双机热备配置
2019-01-12 23:41:40双机热备在路由器上部署 为了避免路由器传统组网所引起的单点故障的发生,通常情况可以采用多条链路的保护机制,依靠动态路由协议进行链路切换。但这种路由协议来进行切换保护的方式存在一定的局限性,当不能使用... -
华为网络----防火墙双机热备实验(VGMP、HRP协议)
2020-02-26 17:58:36一、华为防火墙双机热备概述1.1 防火墙双机热备概念1.2 防火墙双机热备特点1.2.1 VGMP的优先级1.3 华为防火墙双机热备方式1.4 VGMP的状态转换与...双机热备实验2.1 实验拓扑图2.2 路由器R1配置2.3 防火墙FW1配置2.... -
HCIE-Security Day15:防火墙双机热备实验(三)防火墙透明接入,上下行连接交换机
2022-02-17 14:50:06//f2 hrp standby-device 3.3指定心跳口并启动双机热备 //f1/f2 hrp interface GigabitEthernet1/0/6 remote 10.10.0.1/2 hrp enable 验证和分析 在f1和f2上检查当前vgmp组的状态 //f1 HRP_M[f1]dis hrp state ... -
华为防火墙实现双机热备配置详解
2020-12-19 18:42:46一提到防火墙,一般都会想到企业的边界设备,是内网用户与互联网的必经之路。防火墙承载了非常多的功能,比如:安全规则...博文大纲:一、双机热备工作原理二、VRRP协议(1)VRRP协议概述(2)VRRP的角色(3)VRRP的状态机... -
华为计算机网络--防火墙双机热备及其实验配置
2020-12-15 16:59:50华为网络 防火墙 双机热备 -
华为Ensp防火墙双机热备(Hrp)
2021-07-05 10:13:27当两端心跳有多根时,如果两端的running口不是一根链路,也可以正常通信 心跳线 双机热备组网中、心跳线是两台FW交互消息了解对端状态以及备份配置命令和各种表项的通道。心跳线两端的接口通常称为“心跳接口” ... -
HCIE-Security Day17:防火墙双机热备实验(五):防火墙旁挂交换机,交换机静态路由引流
2022-02-19 21:56:14双机热备比较常见的是旁挂部署在数据中心核心交换机上,且两台防火墙之间形成双机热备。 目录 旁挂组网的优点 实验五:防火墙旁挂交换机,交换机静态路由引流 需求和拓扑 操作步骤 1、公网部分 2、防火墙部分... -
【解忧番外篇】基于eNSP USG6000v的双机热备实验
2020-12-19 18:42:48前言本实验使用华为模拟器eNSP中USG6000v完成实验。实验拓扑配置过程一、导入设备包由于USG6000v模拟器需要导入设备包才能使用,所以需要在华为企业专网下载USG6000v的设备包才能使用,根据自己eNSP的版本下载对应... -
华为eNSP下防火墙双机热备的实现以及在HRP配置错误时的现象
2019-01-22 11:29:58华为防火墙双机热备基础教程 【华为官方视频】 https://ilearningx.huawei.com/courses/course-v1:HuaweiX+EBGTC00000189+2018.9/about 【CSDN博客】 https://blog.csdn.net/qq_38265137/article/details/80349439 ... -
防火墙双机热备--web方式
2021-12-12 14:56:58分别为FW4和FW5配置双击热备,详细步骤如下 FW4: 新建虚拟ip地址(vrid1和vrid2): 配置完成的界面: 配置完成后会发现虚拟ip地址那显示错误,之后去配置FW5的双击热备: FW5: 新建虚拟ip地址(vrid1和vrid2): 完成... -
防火墙双机热备配置实例(一)
2021-07-31 20:47:46今天继续给大家介绍HCIE安全。本文以华为eNSP模拟器为例,实现了配置...在本实验中,防火墙双机热备检测的是接口上的VRRP状态,其命令配置与普通VRRP配置大致相同,但是vrrp后面必须配置active或者standby表明此VRRP -
防火墙双机热备配置实例(二)
2021-07-31 21:54:41本文使用华为eNSP模拟器,实现了镜像模式下华为防火墙双机热备配置实例。 阅读本文,您需要有一定的防火墙配置基础和防火墙双机热备理论基础,如果您对此还存在困惑,欢迎查阅我博客内的其他文章,相信您一定会有所... -
在eNSP模拟器上使用usg6000v实现双机热备(直路部署,上下行连接三层设备的主备备份组网)
2021-06-17 19:47:49在eNSP模拟器上使用usg6000v实现双机热备(直路部署,上三下三,主备模式)拓扑图设备选型配置思路操作步骤结果验证 拓扑图 设备选型 PC1设备使用PC型终端设备 LSW1设备使用S3700型号交换机设备 R1-R5使用Router型... -
防火墙双机热备配置实例(三)
2021-08-01 22:09:51今天继续给大家介绍HCIE安全系列相关内容。本文以华为eNSP模拟器为例,实现了配置防火墙双击热备技术...实验拓扑如上所示,现在要求FW1和FW1配置防火墙双机热备,上下行设备路由器,在整个拓扑内运行OSPF协议,实现路由 -
防火墙双机热备+负载分担
2020-07-16 14:52:28防火墙双机热备+负载分担实验步骤 负载分担: 防火墙双击热备和负载分担的区别就在于在双机热备模式下,fw1既是pc1的网关,同时也是pc2的网关,fw1作为主设备,那么fw2则作为standby,在负载分担的模式下,fw1既是主... -
Cisco 实现路由防火墙 双机热备(项目记录)
2020-10-22 14:44:21最近收到一个新的项目,双...华为拓扑图如下:(ENSP大家都可以自己搭建来玩玩) 这篇文章我们仅对Cisco设备进行描述,ok我们开始进入正题 ==================================================================