精华内容
下载资源
问答
  • ensp双机热备

    2021-03-24 15:59:53
    双机热备实验 文章目录双机热备实验实验环境实验思路具体步骤1.配置ip地址2.将接口划分到相应安全区域3.创建VRRP备份组.配置HRP并开启个人总结 实验环境 实验思路 具体步骤 1.配置ip地址 PC1: AR1: [AR1]int...

    双机热备实验



    实验环境

    在这里插入图片描述


    实验思路


    具体步骤

    1.配置ip地址

    PC1:
    在这里插入图片描述

    AR1:

    [AR1]int g0/0/0
    
    [AR1-GigabitEthernet0/0/0]ip add 200.1.1.3 24
    
    [AR1]ip route-static 192.168.1.0 24 200.1.1.100
    

    FW1:

    [FW1]int g1/0/2
    
    [FW1-GigabitEthernet1/0/2]ip add 200.1.1.1 24
    
    [FW1-GigabitEthernet1/0/2]int g1/0/1
    
    [FW1-GigabitEthernet1/0/1]ip add 12.1.1.1 24
    
    [FW1-GigabitEthernet1/0/1]int g1/0/0
    
    [FW1-GigabitEthernet1/0/0]ip add 192.168.1.1 24
    

    FW2:

    [FW2]int g1/0/2
    
    [FW2-GigabitEthernet1/0/2]ip add 200.1.1.2 24
    
    [FW2-GigabitEthernet1/0/2]int g1/0/1
    
    [FW2-GigabitEthernet1/0/1]ip add 12.1.1.2 24
    
    [FW2-GigabitEthernet1/0/1]int g1/0/0
    
    [FW2-GigabitEthernet1/0/0]ip add 192.168.1.2 24
    

    2.将接口划分到相应安全区域

    FW1:

    [FW1]firewall zone trust
    
    [FW1-zone-trust]add int g1/0/0
    
    [FW1-zone-trust]firewall zone untrust
    
    [FW1-zone-untrust]add int g1/0/2
    
    [FW1-zone-untrust]firewall zone dmz
    
    [FW1-zone-dmz]add int g1/0/1
    

    FW2:

    [FW2]firewall zone  trust 
    
    [FW2-zone-trust]add int g1/0/0
    
    [FW2-zone-trust]firewall zone untrust
    
    [FW2-zone-untrust]add int g1/0/2
    
    [FW2-zone-untrust]firewall zone dmz
    
    [FW2-zone-dmz]add int g1/0/1
    

    3.创建VRRP备份组

    FW1:

    [FW1]int g1/0/0
    
    [FW1-GigabitEthernet1/0/0]vrrp vrid 2 virtual-ip 192.168.1.100 active
    
    [FW1-GigabitEthernet1/0/0]int g1/0/2
    
    [FW1-GigabitEthernet1/0/2]vrrp vrid 1 virtual-ip 200.1.1.100 active
    

    FW2:

    [FW2]int g1/0/0
    
    [FW2-GigabitEthernet1/0/0]vrrp vrid 2 virtual-ip 192.168.1.100 standby 
    
    [FW2-GigabitEthernet1/0/0]int g1/0/2
    
    [FW2-GigabitEthernet1/0/2]vrrp vrid 1 virtual-ip 200.1.1.100 standby 
    

    4.配置HRP并开启

    FW1:

    [FW1]hrp interface g1/0/1 remote 12.1.1.2
    
    [FW1]hrp enable
    

    FW2:

    [FW2]hrp int g1/0/1 remote 12.1.1.1
    
    [FW2]hrp enable
    

    5.进入Hrp配置安全策略

    FW1:

    HRP_M[FW1]security-policy  (+B)
    
    HRP_M[FW1-policy-security]rule name t_u (+B)
    
    HRP_M[FW1-policy-security-rule-t_u]source-zone trust (+B)
    
    HRP_M[FW1-policy-security-rule-t_u]destination-zone untrust  (+B)
    
    HRP_M[FW1-policy-security-rule-t_u]source-address 192.168.1.0 24 (+B)
    
    HRP_M[FW1-policy-security-rule-t_u]service icmp (+B)
    
    HRP_M[FW1-policy-security-rule-t_u]action permit  (+B)
    

    6.测试

    PC>ping 200.1.1.3 
    
    Ping 200.1.1.3: 32 data bytes, Press Ctrl_C to break
     
    From 200.1.1.3: bytes=32 seq=1 ttl=254 time=78 ms 
    From 200.1.1.3: bytes=32 seq=2 ttl=254 time=63 ms 
    From 200.1.1.3: bytes=32 seq=3 ttl=254 time=62 ms 
    From 200.1.1.3: bytes=32 seq=4 ttl=254 time=78 ms 
    From 200.1.1.3: bytes=32 seq=5 ttl=254 time=63 ms
    
     --- 200.1.1.3 ping statistics --- 
     5 packet(s) transmitted 
     5 packet(s) received 
     0.00% packet loss 
     round-trip min/avg/max = 62/68/78 ms
    

    在这里插入图片描述
    FW2无包,说明只使用FW1

    7.关掉FW1的上行接口g1/0/1

    关闭

    [FW1]int g 1/0/0
    
    [FW1-GigabitEthernet1/0/0]shutdown 
    

    ping:

    PC>ping 200.1.1.3 
    
    Ping 200.1.1.3: 32 data bytes, Press Ctrl_C to break 
    
    From 200.1.1.3: bytes=32 seq=2 ttl=254 time=47 ms
    From 200.1.1.3: bytes=32 seq=2 ttl=254 time=47 ms 
    From 200.1.1.3: bytes=32 seq=3 ttl=254 time=78 ms 
    From 200.1.1.3: bytes=32 seq=4 ttl=254 time=62 ms 
    From 200.1.1.3: bytes=32 seq=5 ttl=254 time=63 ms 
    
    --- 200.1.1.1 ping statistics --- 
    5 packet(s) transmitted 
    5 packet(s) received 0.00% packet loss 
    round-trip min/avg/max = 0/62/78 ms
    

    查看VRRP:

    HRP_S[FW2]di vrrp
    2021-03-25 00:01:17.900 
      GigabitEthernet1/0/0 | Virtual Router 1
        State :  Master
        Virtual IP : 192.168.1.100
        Master IP : 192.168.1.1
        PriorityRun : 120
        PriorityConfig : 100
        MasterPriority : 100
        Preempt : YES   Delay Time : 0 s
        TimerRun : 60 s
        TimerConfig : 60 s
        Auth type : NONE
        Virtual MAC : 0000-5e00-0101
        Check TTL : YES
        Config type : vgmp-vrrp
        Backup-forward : disabled
        Create time : 2021-03-24 23:55:50
        Last change time : 2021-03-24 23:55:50
    
      GigabitEthernet1/0/2 | Virtual Router 2
        State :  Master
        Virtual IP : 200.1.1.100
        Master IP : 200.1.1.1
        PriorityRun : 120
        PriorityConfig : 100
        MasterPriority : 100
        Preempt : YES   Delay Time : 0 s
        TimerRun : 60 s
        TimerConfig : 60 s
        Auth type : NONE
        Virtual MAC : 0000-5e00-0102
        Check TTL : YES
        Config type : vgmp-vrrp
        Backup-forward : disabled
        Create time : 2021-03-24 23:53:47
        Last change time : 2021-03-24 23:53:47
    

    此时FW2成为Master

    打开FW1接口:

    [FW1]int g1/0/0 
    
    [FW1-GigabitEthernet1/0/0]undo shutdown 
    
    HRP_M[FW1]
    

    ping:

    PC>ping 200.1.1.3 -t
    
    Ping 200.1.1.3: 32 data bytes, Press Ctrl_C to break From 200.1.1.3: bytes=32 seq=1 ttl=254 time=62 ms 
    From 200.1.1.3: bytes=32 seq=2 ttl=254 time=63 ms 
    From 200.1.1.3: bytes=32 seq=3 ttl=254 time=62 ms 
    From 200.1.1.3: bytes=32 seq=4 ttl=254 time=47 ms 
    From 200.1.1.3: bytes=32 seq=5 ttl=254 time=47 ms 
    From 200.1.1.3: bytes=32 seq=6 ttl=254 time=62 ms 
    Request timeout! 
    From 200.1.1.3: bytes=32 seq=97 ttl=254 time=62 ms 
    From 200.1.1.3: bytes=32 seq=98 ttl=254 time=94 ms 
    

    中途突然超时后又联通,说明转换成功


    个人总结

    双机热备技术是为了解决单点故障,使业务平滑过渡,VGMP协议和HRP协议用于保证主备防火墙的状态和路径保持一致而设定的协议,在防火墙上,所有的VRRP备份都会由一个VGMP组来集中管理,HRP报文即是主备防火墙用来沟通的报文,主墙通过心跳链路不断对备墙汇报自身状况,当HRP报文持续一段时间不发送,备墙就会把所有的VRRP都转换为Master。


    展开全文
  • ensp双机热备实验

    2020-11-17 17:04:23
    ensp双机热备实验 防火墙FW1 接口进行配置IP: interface GigabitEthernet1/0/0 ip address 192.168.1.2 255.255.255.0 service-manage ping permit interface GigabitEthernet1/0/1 ip address 172.16.2.1 255....

    ensp双机热备实验
    实验拓补图

    防火墙FW1
    接口进行配置IP:
    
    interface GigabitEthernet1/0/0
    ip address 192.168.1.2 255.255.255.0
    service-manage ping permit
    
    interface GigabitEthernet1/0/1
    ip address 172.16.2.1 255.255.255.0
    service-manage ping permit
    
    interface GigabitEthernet1/0/2
    ip address 10.1.1.10 255.255.255.0
    service-manage ping permit
    
    接口分配区域
    
    firewall zone trust
    add interface GigabitEthernet1/0/0
    quit
    firewall zone untrust
    add interface GigabitEthernet1/0/2
    
    新建一个区域heartbeat存放心跳线的口
    
    firewall zone name heartbeat id 4
    set priority 80
    add interface GigabitEthernet1/0/1
    quit
    
    防火墙FW2
    接口进行配置IP:
    
    interface GigabitEthernet1/0/0
    ip address 192.168.1.3 255.255.255.0
    service-manage ping permit
    
    interface GigabitEthernet1/0/1
    ip address 172.16.2.2 255.255.255.0
    service-manage ping permit
    
    interface GigabitEthernet1/0/2
    ip address 192.168.2.3 255.255.255.0
    service-manage ping permit
    接口分配区域
    
    firewall zone trust
    add interface GigabitEthernet1/0/0
    quit
    firewall zone untrust
    add interface GigabitEthernet1/0/2
    quit
    新建一个区域heartbeat存放心跳线的口
    
    firewall zone name heartbeat id 4
    set priority 80
    add interface GigabitEthernet1/0/1
    quit
    
    基础配置完成
    FW1(主设备)进行配置VRRP1:
    
    interface GigabitEthernet1/0/0
    vrrp vrid 1 virtual-ip 192.168.1.254 active
    
    VRRP2的配置:
    interface GigabitEthernet1/0/2
    vrrp vrid 2 virtual-ip 192.168.2.254 active
    
    FW2(备用设备)进行配置VRRP1:
    interface GigabitEthernet1/0/0
    vrrp vrid 1 virtual-ip 192.168.1.254 standby
    
    VRRP2的配置:
    interface GigabitEthernet1/0/2
    vrrp vrid 2 virtual-ip 192.168.2.254 standby
    
    VRRP配置完成。配置心跳口
    
    FW1: hrp interface GigabitEthernet1/0/1 remote 192.168.3.2
    FW2: hrp interface GigabitEthernet1/0/1 remote 192.168.3.1
    
    两台设备都开启HRP:
    hrp enable
    hrp auto-sync
    
    然后进行配置安全策略:关闭CLI之后再进入FW1,直接在FW1配置安全策略即可,命令后面的(+B)即表示会同步到备用设备上
    

    类似

    HRP_M[FW1]security-policy (+B)
    HRP_M[FW1-policy-security]rule name ping (+B)
    HRP_M[FW1-policy-security-rule-ping]source-address 192.168.1.0 0.0.0.255 (+B)
    HRP_M[FW1-policy-security-rule-ping]destination-address 10.1.1.0 0.0.0.255 (+B)
    HRP_M[FW1-policy-security-rule-ping]service icmp (+B)
    HRP_M[FW1-policy-security-rule-ping]action  permit  (+B)
    

    ping命令验证
    心跳接口抓包

    关掉主设备(FW1)的一个口,再进行验证

    HRP_M[FW1]interface GigabitEthernet 1/0/0 (+B) # 这个关闭端口的命令不会同步到备用设备,可以放心使用
    HRP_M[FW1-GigabitEthernet1/0/0]shutdown
    HRP_M[FW1-GigabitEthernet1/0/0]quit

    展开全文
  • 华为eNSP防火墙双机热备配置

    千次阅读 2019-01-12 23:41:40
    双机热备在路由器上部署 为了避免路由器传统组网所引起的单点故障的发生,通常情况可以采用多条链路的保护机制,依靠动态路由协议进行链路切换。但这种路由协议来进行切换保护的方式存在一定的局限性,当不能使用...

    双机热备在路由器上部署


    为了避免路由器传统组网所引起的单点故障的发生,通常情况可以采用多条链路的保护机制,依靠动态路由协议进行链路切换。但这种路由协议来进行切换保护的方式存在一定的局限性,当不能使用动态路由协议时,仍然会导致链路中断的问题,因此推出了另一种保护机制VRRP(Virtual Router Redundancy Protocol)虚拟路由冗余协议来进行。采用VRRP的链路保护机制比依赖动态路由协议的广播报文来进行链路切换的时间更短,同时弥补了不能使用动态路由情况下的链路保护。

    • 主路由器(master):在同一个备份组中的多个路由器中,只有一台处于活动状态,只有主路由器能转发以虚拟IP地址作为下一跳的报文。
    • 备份路由器(backup):在同一个备份组中的多个路由器中,除主路由器外,其他路由器均为备份路由器,处于备份状态。
    • 主路由器通过组播方式定期向备份路由器发送通告报文(HELLO),备份路由器则负责监听通告报文,以此来确定其状态。由于VRRP HELLO报文为组播报文,所以要求备份组中的各路由器通过二层设备相连,即启用VRRP时上下行设备必须具有二层交换功能,否则备份路由器无法收到主路由器发送的HELLO报文。如果组网条件不满足,则不能使用VRRP。

    VRRP在多区域防火墙组网中的应用

    在这里插入图片描述
    注:若是状态检测防火墙,它要求报文的来回路径通过同一台防火墙。为了满足这个限制条件,就要求在同一台防火墙上所有VRRP备份组状态保持一致。


    VGMP(VRRP Group Management Protocol)

    为了保证所有VRRP备份组雀环的一致性,在VRRP的基础上进行了扩展,推出了VGMP。

    VGMP提出了VRRP管理组的概念,将同一台防火墙上的VRRP备份组加入到一个VGMP管理组,由管理组来同一管理所有VRRP备份组。

    VGMP基本原理

    VGMP基本原理

    • 当防火墙上的VGMP为Active状态时,该防火墙内的所有VRRP备份组的状态同一为Active状态,所有报文从该防火墙上通过,该防火墙成为主用防火墙。
    • 通过指定VGMP组的优先级来决定谁将成为主防火墙或备用防火墙
    • VGMP的优先级会根据组内的VRRP备份组成员的状态动态调整,以此完成两台防火墙的主备倒换。
    • 与VRRP类似,状态为Active的VGMP也会定期向对端发送HELLO报文,通知Standby端本身的运行状态(包括优先级、VRRP成员状态等)。与VRRP不同的是,Standby端收到HELLO报文后,会回应一个ACK消息,该消息中也会携带本身的优先级、VRRP成员状态等。
    • VGMP的HELLO报文发送周期缺省为1秒。当Standby端在三个HELLO报文周期内没有收到对端发送的HELLO报文时,会认为对端出现故障,从而将自己切换到Active状态。
    VGMP组管理
    • 状态一致性管理:各备份组的主/备状态所属的VGMP管理组,由VGMP管理组决定是否允许VRRP备份组进行主/备状态切换。如果需要切换,则VGMP管理组控制所有的VRRP备份组统一切换。VRRP备份组加入到管理组后,状态不能自行单独切换。

    • 抢占管理:

      • VGMP管理组的抢占功能和VRRP备份组类似,当管理组中出现故障的备份组故障恢复时,管理组的优先级也将恢复。此时VGMP可以决定是否需要重新抢占称为主设备。
      • 当VRRP备份组加入到VGMP管理组后,备份组上原来的抢占功能将失效,抢占行为发生与否必须由VGMP管理组统一决定。

    HRP(Huawei Redundancy Protocol)

    HRP协议,用来将主防火墙关键配置和连接状态等数据向备防火墙同步。

    • 采用HRP的原因:
      在双机热备组网中,当主防火墙出现故障时,所有流量都将切换到备防火墙。若是状态防火墙,如果备防火墙上没有原来主防火墙上的会话表等连接状态数据,则切换到备防火墙的流量将无法通过防火墙,造成现有的连接中断,此时用户必须重新发起连接。

    • HRP模块提供了基础的数据备份机制和传输功能。各个应用模块收集本模块需要备份的数据,提交给HRP模块,HRP模块负责将数据发送到对端防火墙的对应模块,应用模块需要再将HRP模块提交上来的数据进行解析,并加入到防火墙的动态运行数据池中。

    • 备份内容:要备份的连接状态数据包括TCP/UDP的会话表、ServerMap表项、动态黑名单、NO-PAT表项、ARP表项等。

    • 备份通道:一般情况下,在两台设备上直连的端口作为备份通道,有时也称为“心跳线”(VGMP也通过该通道进行通信)。

    • 备份方式:分为三种

      • 批量方式:在两台设备第一次协商完成后,批量备份所有信息,配置批量备份需要消耗较多的资源,缺省情况下是关闭的。
      • 实时备份:在设备运行过程中,新建或者刷新的数据实时备份。
      • 快速备份:即在首包创建会话时,立即将会话数据打包备份到对端。

    双机热备的配置命令

    ①接口视图下配置VRRP
    vrrp vrid virtual-router-ID virtual-ip virtual-address [mask | mask-length] {active | standby}

    注:执行此命令时,指定active或standby参数后,即将该VRRP组加入了VGMP管理组的Active或Standby管理组中。

    ②配置HRP心跳线

    1. 指定心跳口
      hrp interface interface-type interface-number [remote {ip-address | ipv6-address}]

    2. 启用HRP备份功能
      hrp enable

    3. 启用允许配置备用设备的功能
      hrp standby config enable

    4. 启用命令与状态信息自动备份
      hrp auto-sync [config | connection-status]

    5. 启用会话快速备份
      hrp mirror session enable

    注:HRP两台USG心跳口的接口类型和编号必须相同,且心跳口不能为二层以太网接口。USG支持使用Eth-Trunk接口做为心跳口,既提高了可靠性,又增加了备份通道的带宽。主备USG的心跳口可以直接相连,也可以通过中间设备,如交换机或路由器连接。当心跳口通过中间设备相连时,需要配置remote参数来指定对端IP地址

    配置举例

    在这里插入图片描述

    • USG_A关于VRRP组1的配置
    [USG_A]interface GigabitEthernet 1/0/1 
    [USG_A-GigabitEthernet 1/0/1 ]ip address 10.2.0.1 24
    [USG_A-GigabitEthernet 1/0/1 ]vrrp vrid 1 virtual-ip 1.1.1.1 255.255.255.0 active
    
    • USG_B关于VRRP组1的配置
    [USG_B]interface GigabitEthernet 1/0/1 
    [USG_B-GigabitEthernet1/0/1 ]ip address 10.2.0.2 24
    [USG_B-GigabitEthernet 1/0/1 ]vrrp vrid 1 virtual-ip 1.1.1.1 255.255.255.0 standby
    
    • USG_A关于HRP配置
    [USG_A]hrp enable
    [USG_A]hrp mirror session enable
    [USG_A]hrp interface GigabitEthernet 1/0/7
    
    • USG_B关于HRP配置
    [USG_B]hrp enable
    [USG_B]hrp mirror session enable
    [USG_B]hrp interface GigabitEthernet 1/0/7
    

    注:应该先开HRP再配置安全策略,这样可以自动同步。

    展开全文
  • 华为模拟器eNSP防火墙双机热备实验

    千次阅读 2020-06-11 16:30:50
    命令行配置 简要步骤如下: 配置所有接口IP 在防火墙上规划接口区域,所有接口允许被ping 防火墙配置安全策略,local到any 配置虚拟地址并分配VRRP组以及备用设备组(这一步配置完之后,在R1和R2测试ping网关) ...

    在这里插入图片描述

    命令行配置

    简要步骤如下:

    1. 配置所有接口IP
    2. 在防火墙上规划接口区域,所有接口允许被ping
    3. 防火墙配置安全策略,localany
    4. 配置虚拟地址并分配VRRP组以及备用设备组(这一步配置完之后,在R1R2测试ping网关)
    5. 主备防火墙配置HRP,以同步防火墙的策略和会话
    6. R1R2配置缺省路由,主防火墙放行TrustUntrust的策略

    首先需要开启防火墙,但是这里需要改一下备用防火墙FW2的防火墙服务端口GE 0/0/0的IP地址,不然会和主防火墙FW1GEn0/0/0端口IP产生冲突

    FW1:
    sys
    un in en
    sysname FW1
    dis ip int brief
    
    FW2:
    sys
    un in en
    sysname FW2
    dis ip int brief
    int g0/0/0 
    ip address 192.168.0.2 24
    dis this 
    quit
    

    防火墙接口配置IP地址并划分相应区域

    FW1:
    sys
    int g1/0/0
    ip add 192.168.1.254 24
    dis this
    int g1/0/6
    ip add 172.16.1.254 24
    dis this
    int g1/0/1
    ip add 202.1.1.254 24
    dis this
    quit
    firewall zone trust
    add int g1/0/0
    dis this
    firewall zone dmz
    add int g1/0/6
    dis this
    firewall zone untrust
    add int g1/0/1
    dis this
    quit
    
    FW2:
    sys
    int g1/0/0
    ip add 192.168.1.253 24
    dis this
    int g1/0/6
    ip add 172.16.1.253 24
    dis this
    int g1/0/1
    ip add 202.1.1.253 24
    dis this
    quit
    firewall zone trust
    add int g1/0/0
    dis this
    firewall zone dmz
    add int g1/0/6
    dis this
    firewall zone untrust
    add int g1/0/1
    dis this
    quit
    

    防火墙所有接口开启ping服务,配置localany的安全策略

    FW1:
    sys
    int g1/0/0
    service-manage ping permit
    dis this
    int g1/0/6
    service-manage ping permit
    dis this
    int g1/0/1
    service-manage ping permit
    dis this
    quit
    security-policy
    rule name local_to_any
    source-zone local
    destination-zone any
    action permit
    dis this
    quit
    
    FW2:
    sys
    int g1/0/0
    service-manage ping permit
    dis this
    int g1/0/6
    service-manage ping permit
    dis this
    int g1/0/1
    service-manage ping permit
    dis this
    quit
    security-policy
    rule name local_to_any
    source-zone local
    destination-zone any
    action permit
    dis this
    quit
    

    防火墙配置虚拟地址和VRRP组以及备用设备组

    FW1:
    int g1/0/0
    vrrp vrid 1 virtual-ip 192.168.1.1 active
    dis this
    int g1/0/1
    vrrp vrid 2 virtual-ip 202.1.1.1 active
    dis this
    dis vrrp bri
    quit
    
    FW2:
    int g1/0/0
    vrrp vrid 1 virtual-ip 192.168.1.1 standby
    dis this
    int g1/0/1
    vrrp vrid 2 virtual-ip 202.1.1.1 standby
    dis this
    dis vrrp bri 
    quit
    

    R1R2配置接口地址,并测试ping网关(即防火墙vrrp虚拟地址)

    R1:
    sys
    un in en
    sysname R1
    int e0/0/0
    ip add 192.168.1.2 24
    dis this
    quit
    
    R2:
    sys
    un in en
    sysname R2
    int e0/0/0
    ip add 202.1.1.1 24
    dis this
    quit
    

    验证结果:

    在这里插入图片描述
    在这里插入图片描述

    主备防火墙配置相应的HRP协议,以同步主备防火墙之间的策略和会话

    FW1:
    sys
    hrp enable
    hrp int g1/0/6 remote 172.16.1.253
    
    FW2:
    sys
    hrp enable
    hrp standby-device
    hrp int g1/0/6 remote 172.16.1.254
    

    注意 : 处于standby状态的设备不允许配置安全策略(可以其他的),只允许在主设备配置安全策略,且安全策略会自动同步到备用设备上面。主设备配置安全策略,且安全策略会自动同步到备用设备上面,主设备配置由trust_to_untrust放行策略,备用设备会自动同步策略

    R1R2上配置缺省路由并在主防火墙上配置trust_to_untrust的策略

    R1:
    sys
    ip route-static 0.0.0.0 0 192.168.1.1
    dis this
    quit
    dis ip routing-table
    
    R2: 
    sys
    ip route-static 0.0.0.0 0 202.1.1.2
    dis this 
    quit
    dis ip routing-table
    
    FW1:
    sys
    security-policy
    rule name trust_to_untrust
    source-zone trust
    destination-zone untrust
    action permit
    dis this
    quit
    quit
    dis security-policy all
    

    到这里配置过程就结束了,接下来进行测试,关闭主防火墙的接口,模拟主防火墙出现故障,看看能够还能ping202.1.1.2

    FW1:
    sys
    int g1/0/0
    shutdown
    dis this
    

    在这里插入图片描述

    shutdown掉了主防火墙的GE 1/0/0口,还是能够访问202.1.1.2,试验成功,其他的就懒的测试了

    防火墙Web端配置

    在这里插入图片描述
    在这里插入图片描述

    展开全文
  • ip 10.3.0.254 active [FW 2-GigabitEthernet1/0/1]vrrp vrid 1 virtual-ip 10.2.0.254 active [FW 2-GigabitEthernet1/0/2]vrrp vrid 2 virtual-ip 10.3.0.254 active 5、配置心跳接口并启动双机热备 [FW 1]hrp ...
  • 华为防火墙双机热备基础教程 【华为官方视频】 https://ilearningx.huawei.com/courses/course-v1:HuaweiX+EBGTC00000189+2018.9/about 【CSDN博客】 https://blog.csdn.net/qq_38265137/article/details/80349439 ...
  • 文章目录作业十八:综合实验实验要求实验环境实验步骤规划并配置IP划分区域配置OSPF配置双机热备配置静态路由配置VRRP配置心跳接口配置IPSec配置安全策略检查连通性配置访问公网的ClientNAT配置配置安全策略检查连通...

空空如也

空空如也

1 2 3 4 5 ... 8
收藏数 149
精华内容 59
关键字:

ensp双机热备