华为防火墙配置流量根据链路优先级主备备份

最新推荐文章于 2025-03-28 22:51:06 发布
原创 最新推荐文章于 2025-03-28 22:51:06 发布 · 1.7k 阅读 · 5 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#华为 #网络安全

本文档详细介绍了网络配置步骤,包括内网和外网IP地址设置,通过OSPF实现外网连通性,以及健康检查功能的启用。此外,还涵盖了防火墙接口配置、链路优先级的智能选路策略、自定义应用路由、安全策略设置、NAT策略、内网到Internet的访问策略以及默认静态路由的配置,确保网络连接和数据安全。

在这里插入图片描述

1.基本IP地址及连通性配置
(1)内网IP地址配置
在这里插入图片描述

(2)配置外网IP地址
[ISP1-GigabitEthernet0/0/0]ip add 20.1.1.2 24
[ISP1-GigabitEthernet0/0/1]ip add 40.1.1.2 24
[ISP1-GigabitEthernet0/0/2]ip add 20.1.2.2 24
[ISP2-GigabitEthernet0/0/0]ip add 30.1.1.3 24
[ISP2-GigabitEthernet0/0/1]ip add 50.1.1.3 24
[AR3-GigabitEthernet0/0/0]ip add 40.1.1.4 24
[AR3-GigabitEthernet0/0/1]ip add 50.1.1.4 24
[AR3-GigabitEthernet0/0/2]ip add 60.1.1.4 24
在这里插入图片描述

(3)配置外网连通性
[ISP1]ospf 1
[ISP1-ospf-1]area 0
[ISP1-ospf-1-area-0.0.0.0]network 20.1.1.0 0.0.0.255
[ISP1-ospf-1-area-0.0.0.0]network 40.1.1.0 0.0.0.255
[ISP1-ospf-1-area-0.0.0.0]network 20.1.2.0 0.0.0.255
[ISP2]ospf 1
[ISP2-ospf-1-area-0.0.0.0]network 30.1.1.0 0.0.0.255
[ISP2-ospf-1-area-0.0.0.0]network 50.1.1.0 0.0.0.255
[AR3]ospf 1
[AR3-ospf-1]area 0
[AR3-ospf-1-area-0.0.0.0]network 40.1.1.0 0.0.0.255
[AR3-ospf-1-area-0.0.0.0]network 50.1.1.0 0.0.0.255
[AR3-ospf-1-area-0.0.0.0]network 60.1.1.0 0.0.0.255
2. 开启健康检查功能:对象—健康检查—新建—参数如下图—确定
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

3.配置防火墙接口及区域,并应用健康检查:网络—接口—编辑—参数如下图—确定
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

  1. 新建接口组group1
    (1)添加链路接口:网络—接口—链路接口—新建—参数如下图—确定
    在这里插入图片描述
    在这里插入图片描述

(2)创建链路接口组:网络—接口—链路接口组—新建—参数如下图—确定
在这里插入图片描述

  1. 配置全局选路策略,流量根据链路优先级主备备份:网络—路由—智能选路—全局选路策略—配置—参数如下图—确定
    在这里插入图片描述

6.自定义应用yy1:对象—应用—应用—新建—参数如下图—确定
在这里插入图片描述
在这里插入图片描述

  1. 为yy1配置策略路由智能选路,流量根据链路优先级主备备份:网络—路由—静态路由—智能选路—新建—参数如下图—确定
    在这里插入图片描述

8.配置Local到Untrust区域的安全策略,允许发送健康检查探测报文:策略—安全策略—安全策略—新建安全策略—参数如下图—确定
在这里插入图片描述

6.配置nat策略:策略—nat策略—nat策略—新建—参数如下图—确定
在这里插入图片描述
在这里插入图片描述

7.配置内网访问Internet的安全策略:策略—安全策略—安全策略—新建安全策略—参数如下图—确定
在这里插入图片描述

8.配置默认静态路由,允许访问Internet:网络—路由—静态路由—新建—参数如下图—确定

在这里插入图片描述
在这里插入图片描述

防火墙链路冗余备份
earthtoearth的博客
07-15 1322
在FW1和FW2之间建立两条IPsecVPN链路冗余备份,其中FW2通过tunnel1和tunnel2口与FW1进行连接,主备路由采用路由优先级进行控制,后期可通过IPlink检测连通性的方式进行检测。(二)在R1/R2/R3上启用ospf,并宣告路由155.1.0.0和150.1.0.0(此处省略)(三)在防火墙上将端口加入155网段端口加入trust,将10网段加入untrust区域(此处省略)(一)在FW1上配置静态路由用于主备路由选择,在FW2上配置静态路由。(二)配置IPsec。
01-防火墙智能选路
qianlai22的博客
03-20 8932
在网络出口经常会部署多条出口链路,以增加出口的带宽和可靠性。如果不能够将流量合理的分配到链路上,可能会导致网络出现拥塞,访问速度变慢,链路资源得不到充分利用以及跨运营商访问等问题。 当FW作为网络出口设备拥有多条出口链路时,智能选路功能可以根据管理员设置的带宽、权重和优先级自动探测链路质量并动态地选择出接口,保证链路资源得到充分利用,提升用户的上网体验。 1.智能选路应用场景 多出口选路存在的问题 智能选路解决的问题 智能选路功能组件 智能选路的选路功能根据不同的需求,可以实现基于全局选路策略的选
USG6000系列根据链路优先级主备备份
静宁宇思
06-18 2159
通过配置根据链路优先级主备备份,NGFW可以在主接口链路故障时,使用备份接口链路转发流量,提高传输的可靠性。 组网需求 如图1所示,企业从ISP1租用2条链路,带宽均为50M,从ISP2租用1条链路,带宽为10M。 ·企业希望优先使用ISP1的2条链路传输上网流量,只有当ISP1的2条链路均故障时,才使用ISP2链路。 ·企业的税务申报业务优先使用ISP2链路,只有当ISP2链路故障时,才使用ISP1链路。 图1根据链路优先级主备备份组网图 配置思路 由于企业希望优先使用...
华为防火墙配置双机热备
Richardlygo的博客
09-23 3652
公司A基于确保内部网络安全性的考虑,在内外网络之间部署了防火墙。由于防火墙设备是所有信息流都必须通过的单一节点,故一旦防火墙设备出现故障所有信息流都会中断。为了增强网络的可靠性,保证当防火墙设备出现故障时不中断网络,公司A利用两台设备实现防火墙主备功能。
华为防火墙主备备份及负载分担功能在业务接口工作在三层时形成和切换过程
weixin_44747184的博客
09-12 5258
华为防火墙主备备份及负载分担功能在不同组网下的实现过程。
华为防火墙的四种智能选路方式
qq_32044265的博客
11-16 3721
FW支持四种智能选路方式,不同的智能选路方式可以满足不同的需求,管理员可以根据设备和网络的实际情况进行选择。 本文主要介绍防火墙根据链路带宽负载分担、基于链路质量负载分担、基于链路权重负载分担和基于链路优先级主备备份,四种选路方式
华为防火墙直路部署,上下行连接交换机的主备备份组网
Tony_long7483的博客
10-07 3367
1.untrust区域基本配置 [AR1-GigabitEthernet0/0/0]ip add 20.1.1.3 24 [AR1-GigabitEthernet0/0/1]ip add 20.1.2.3 24 [AR1]ospf 1 [AR1-ospf-1]area 0 [AR1-ospf-1-area-0.0.0.0]network 20.1.1.0 0.0.0.255 [AR1-ospf-1-area-0.0.0.0]network 20.1.2.0 0.0.0.255 2.内网基本配置 3.F.
防火墙技术基础篇:eNSP配置防火墙主备备份的双机热备
qq_39241682的博客
05-29 9575
防火墙双机热备(High Availability, HA)技术是网络安全中的一个关键组成部分,通过它,我们可以确保网络环境的高可靠性和高可用性。下面我们一起来了解防火墙双机热备的基本原理、主要工作模式。
18--华为防火墙智能选路配置全攻略:从拓扑到实战,让流量走“最优解“!
最新发布
2302_77698668的博客
03-28 1564
通过本文的"交通规划",你的网络将具备:• 🚑 自动故障逃生能力• 🚀 智能流量调度能力• 🛡️ 业务保障能力• 📊 可视化监控能力“配置防火墙就像训练导盲犬,既要严格遵循规则,又要足够智能应对突发情况”现在,你已经掌握了让网络流量"聪明出行"的秘籍,快去打造你的智能网络吧!
华为防火墙链路聚合
weixin_45123715的博客
08-04 7282
以太网链路聚合:以太网链路聚合eth-trunk简称链路聚合,他通过将多条以太网物理链路捆绑在一起成为一条逻辑链路,从而实现增加链路带宽的目的。同时,这些捆绑在一起的链路通过相互间的动态备份,可以有效提高链路的可靠性。 以太网链路聚合三大优势:增加带宽,提高可靠性,负载分担 链路聚合方式:手工方式,LACP模式 链路聚合控制协议LACP:支持M:N备份,也就是活动链路:备份链路。供设备根据自身配置自动形成聚合链路并启动聚合链路收发数据。聚合链路形成以后,负责维护链路状态,在聚合条件发生变化时,自动调整或解
精选资源
华为配置VRRP与NQA联动监视上行链路示例.docx
09-30
4. 在SwitchA上配置VRRP和NQA联动,当NQA检测到链路故障时,触发VRRP备份组进行主备切换。 三、操作步骤 以下是配置VRRP与NQA联动监视上行链路的操作步骤: 1. 配置设备间的网络互连 2. 配置设备各接口的IP地址,...
防火墙区域优先级
如果我写的内容,对您有所帮助,麻烦点个赞,评论下,谢谢
01-04 9205
不同级别的安全区域间的数据流动都将激发防火墙进行按安全策略的检测,管理员可以为不同流动方向设置不同的安全策略。除了Local区域以外,在使用其他所有安全区域时,需要将安全区域分别与防火的特定接口相关联,即将接口加入到安全域。值得注意的是,系统不允许两个安全区域具有相同的安全级别;如不满组网需求,可自行创建安全区域,,但是优先级不能与现有区域优先级相同。local 区域,优先级 100。分属于两个不同的安全区域。级别的安全区域传输的方向;别的安全区域传输的方向。将接口添加到安全区域。入方向(inboud)
路由优先级
weixin_34025051的博客
01-06 333
华为路由器规定的路由协议优先级为: 路由协议 | 优先级 ———————————— DIRECT | 0 OSPF | 10 STATIC | 60 IGRP | 80 RIP | 110 OSPFASE | 150 BGP| 170 C...
华为防火墙双机热备主备备份和负载分担配置案例(两端为路由跑ospf)
IT技术
11-11 2579
华为防火墙双机热备主备备份和负载分担配置案例(两端为路由跑ospf)
HCIP | 华为防火墙配置
朔方鸟的博客
12-26 5846
近日准备某场比赛,涉及到了有关防火墙的知识点,由于之前没有学习过,所以整理如下,主要作笔记用,各位可以作为参考;因为主要用于比赛应急,没有对原理进行深究。
防火墙智能选路
zljszn的博客
10-24 1867
处获得多条链路时,如果各链路的带宽、转发时延、链路租借费用等因素存在较大差异,那么可以优先使用某些链路传输流量,并利用其他链路作为备份链路或负载分担链路,提高业务的可靠性,此时可以选择本选路方式。策略路由是在路由表已经产生的情况下,不按照现有的路由表进行转发,而是根据用户制定的策略进行路由选择的机制,从更多的维度(入接口、源安全区域、源。处获得多条性能不等的链路时,为了优先使用转发性能最优的链路,保证大多数用户的访问体验,且不浪费其它性能稍差的链路,可以选择此种选路方式。
华为防火墙智能选路篇之传统方案(主备方式会遇到哪些问题)
weixin_41007975的博客
08-07 561
作者:网络之路一天 首发公众号:网络之路博客(ID:NetworkBlog)回顾下传统选路的几种方式(1)负载均衡:有两条默认路由同时存在路由表防火墙通过算法自动选择一条线路出去。(2)主备模式:配置优先级,比如默认走电信,联通备用。(3)基于内网的“负载分担”:比如某几个网段走电信,某几个网段走联通(4)基于IS...
华为防火墙接口类型
weixin_46503909的博客
03-19 7712
防火墙接口类型  物理接口 1) 防火墙支持的接口可以是二层接口或者三层接口 2) 二层接口:portswitch 3) 三层接口:undo portswitch  逻辑接口 1) VT(virtual template)接口、dialer接口 2) tunnel接口、null接口 3) vlanif接口 4) 三层以太网子接口 5) Eth-Trunk接口、loobacp接口 防火墙的Eth-trunk  优点: 1) 本质是要提高链路的带宽 2) 可靠性(LACP协
华为防火墙配置链路接入和IP-LINK,即线路互备模式的配置
eangels的博客
12-11 6037
华为防火墙配置链路接入和IP-LINK,即线路互备模式的配置
华为6000e防火墙主备配置
01-22
### 华为6000E防火墙主备切换配置方法 #### 一、概述 华为USG6000系列防火墙支持多种冗余机制来保障网络的可靠性,其中主备备份是一种常见的部署模式。通过合理配置可以实现当主设备发生故障时,业务能够快速切换到备用设备上继续运行。 #### 二、环境准备 确保两台同型号的USG6000E防火墙已经完成基本安装并能正常启动;确认两端连接线缆无误,并且物理连通性良好;规划好心跳口和业务接口所使用的IP地址段以及子网掩码等参数[^1]。 #### 三、具体操作指南 ##### 3.1 创建HRP(Huawei Redundancy Protocol)组 ```shell hrp enable // 开启HRP功能 hrp interface GigabitEthernet 0/0/1 remote 192.168.1.2 // 设置HRP的心跳接口及其对应的远端IP地址 ``` ##### 3.2 定义优先级与抢占时间 ```shell hrp preempt delay interval 60 // 设定抢占延迟时间为60秒 priority 65 // 给予当前节点较高的优先级数值(范围1~254),数字越大越容易成为Master角色 ``` ##### 3.3 启动VRRP(Virtual Router Redundancy Protocol) 为了使外部流量可以通过虚拟路由器到达内部网络,在每条外联链路上都需要开启VRRP服务。 ```shell interface GigabitEthernet 0/0/2 vrrp vrid 1 virtual-ip 192.168.2.1 // 将该接口加入到VRID=1的VRRP实例中,并指定其VIP(Virtual IP) ``` ##### 3.4 调整链路健康监测参数 对于可能出现频繁倒换的情况,适当调整链路状态检测的时间间隔及失败次数判定标准有助于减少不必要的切换动作。 ```shell link-monitor enable iface_eth2_ping destination 192.168.1.1 threshold-down 3 interval 5 // 对eth2接口启用ping方式进行链路质量监控,目标地址设为192.168.1.1,连续三次不通即认为线路down掉,每次探测相隔五秒钟执行一次 ``` ##### 3.5 验证配置效果 最后利用`display hrp state`命令查看双机组件的工作状况是否符合预期,比如谁处于active/master位置,还有就是同步进度如何等等[^4]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值