双机热备旁挂组网方案

于 2025-03-02 17:50:14 发布
阅读量702 收藏 23
点赞数 13
CC 4.0 BY-SA版权
分类专栏: 网络 文章标签: 网络 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/aihua002/article/details/145966860

拓扑图

需求

1、SW3的流量
    正常时:SW1_VRF--->FW1--->SW1_Public--->R5
    故障时:SW2_VRF--->FW2--->SW2_Public--->R6
2、SW4的流量
    正常时:SW2_VRF--->FW2--->SW2_Public--->R6
    故障时:SW1_VRF--->FW1--->SW1_Public--->R5
3、交换网络实现负载分担

配置
交换网络配置


LSW3:

[LSW3]vlan batch 2 3
[LSW3]interface GigabitEthernet 0/0/3   
[LSW3-GigabitEthernet0/0/3]port link-type trunk 
[LSW3-GigabitEthernet0/0/3]port trunk allow-pass vlan 2 3
[LSW3]interface g 0/0/4
[LSW3-GigabitEthernet0/0/4]port link-type trunk 
[LSW3-GigabitEthernet0/0/4]port trunk allow-pass vlan 2 3


[LSW3]stp enable 
[LSW3]stp mode mstp 
[LSW3]stp region-configuration 
[LSW3-mst-region]region-name haihai
[LSW3-mst-region]instance 1 vlan 2
[LSW3-mst-region]instance 2 vlan 3
[LSW3-mst-region]active region-configuration 
[LSW3]stp instance 1 root primary   
[LSW3]stp instance 2 root secondary 
[LSW3]stp instance  0 root primary 

[LSW3]interface Vlanif 2
[LSW3-Vlanif2]ip address 192.168.2.1 24
[LSW3-Vlanif2]vrrp vrid 1 virtual-ip 192.168.2.254
[LSW3-Vlanif2]vrrp vrid 1 priority 120 
[LSW3-Vlanif2]vrrp vrid 1 preempt-mode timer delay 20
[LSW3-Vlanif2]vrrp vrid 1 track interface GigabitEthernet 0/0/1 reduced 15
[LSW3-Vlanif2]vrrp vrid 1 track interface GigabitEthernet 0/0/2 reduced 15
 

[LSW3]interface Vlanif 3
[LSW3-Vlanif3]ip add 192.168.3.1 24
[LSW3-Vlanif3]vrrp vrid 1 virtual-ip 192.168.3.254

LSW4:

[LSW4]vlan batch 2 3
[LSW4]interface GigabitEthernet 0/0/3
[LSW4-GigabitEthernet0/0/3] port link-type trunk
[LSW4-GigabitEthernet0/0/3]port trunk allow-pass vlan 2 3
[LSW4]interface GigabitEthernet 0/0/4
[LSW4-GigabitEthernet0/0/4] port link-type trunk
[LSW4-GigabitEthernet0/0/4] port trunk allow-pass vlan 2 3

[LSW4]stp enable 
[LSW4]stp mode mstp
[LSW4]stp region-configuration 
[LSW4-mst-region]region-name haihai
[LSW4-mst-region]instance 1 vlan 2
[LSW4-mst-region]instance 2 vlan 3
[LSW4-mst-region]active region-configuration 
[LSW4]stp instance 1 root secondary 
[LSW4]stp instance 2 root primary
[LSW4]stp instance 0 root secondary

[LSW4]interface Vlanif 2
[LSW4-Vlanif2]ip add 192.168.2.2 24
[LSW4-Vlanif2]vrrp vrid 1 virtual-ip 192.168.2.254

[LSW4]interface Vlanif3
[LSW4-Vlanif3]ip address 192.168.3.2 255.255.255.0
[LSW4-Vlanif3]vrrp vrid 1 virtual-ip 192.168.3.254
[LSW4-Vlanif3]vrrp vrid 1 priority 120
[LSW4-Vlanif3]vrrp vrid 1 preempt-mode timer delay 20
[LSW4-Vlanif3] vrrp vrid 1 track interface GigabitEthernet0/0/1 reduced 15
[LSW4-Vlanif3]vrrp vrid 1 track interface GigabitEthernet0/0/2 reduced 15

LSW5:

[LSW5]vlan batch 2 3
[LSW5]interface GigabitEthernet 0/0/3
[LSW5-GigabitEthernet0/0/3]port link-type access 
[LSW5-GigabitEthernet0/0/3]port default vlan 2
[LSW5]interface GigabitEthernet 0/0/4
[LSW5-GigabitEthernet0/0/4]port link-type access     
[LSW5-GigabitEthernet0/0/4]port default vlan 3
[LSW5]interface GigabitEthernet 0/0/1
[LSW5-GigabitEthernet0/0/1]port link-type trunk 
[LSW5-GigabitEthernet0/0/1]port trunk allow-pass vlan 2 3
[LSW5]interface GigabitEthernet 0/0/2
[LSW5-GigabitEthernet0/0/2]port link-type trunk
[LSW5-GigabitEthernet0/0/2]port trunk allow-pass vlan 2 3

[LSW5]stp enable 
[LSW5]stp mode mstp
[LSW5]stp region-configuration 
[LSW5-mst-region]region-name haihai
[LSW5-mst-region]instance 1 vlan 2
[LSW5-mst-region]instance 2 vlan 3
[LSW5-mst-region]active region-configuration

交换网络测试:


查看stp生成树:


汇聚层配置

LSW3:

[LSW3]vlan batch 103 203
[LSW3]interface GigabitEthernet 0/0/1
[LSW3-GigabitEthernet0/0/1]port link-type access 
[LSW3-GigabitEthernet0/0/1]port default vlan 103
[LSW3-GigabitEthernet0/0/1]undo stp enable  
[LSW3]interface GigabitEthernet 0/0/2    
[LSW3-GigabitEthernet0/0/2]port link-type access 
[LSW3-GigabitEthernet0/0/2]port default vlan 203
[LSW3-GigabitEthernet0/0/2]undo stp enable

[LSW3]interface Vlanif 103
[LSW3-Vlanif103]ip add 10.10.3.3 24
[LSW3]interface Vlanif 203
[LSW3-Vlanif203]ip add 10.20.3.3 24

[LSW3]ospf 1 router-id 3.3.3.3
[LSW3-ospf-1]area 0
[LSW3-ospf-1-area-0.0.0.0]network 10.10.3.3 0.0.0.0
[LSW3-ospf-1-area-0.0.0.0]network 10.20.3.3 0.0.0.0
[LSW3-ospf-1-area-0.0.0.0]network 192.168.2.1 0.0.0.0    
[LSW3-ospf-1-area-0.0.0.0]network 192.168.3.1 0.0.0.0
[LSW3-ospf-1]silent-interface Vlanif 2    
[LSW3-ospf-1]silent-interface Vlanif 3

LSW4:

[LSW4]vlan batch 104 204
[LSW4]interface GigabitEthernet 0/0/1
[LSW4-GigabitEthernet0/0/1]port link-type access
[LSW4-GigabitEthernet0/0/1]port default vlan 204
[LSW4-GigabitEthernet0/0/1]undo stp enable
[LSW4]interface GigabitEthernet 0/0/2
[LSW4-GigabitEthernet0/0/2]port link-type access 
[LSW4-GigabitEthernet0/0/2]port default vlan 104
[LSW4-GigabitEthernet0/0/2]undo stp enable 

[LSW4]interface Vlanif 104
[LSW4-Vlanif104]ip address 10.10.4.4 24
[LSW4]interface Vlanif 204
[LSW4-Vlanif204]ip add 10.20.4.4 24

[LSW4]ospf 1 router-id 4.4.4.4
[LSW4-ospf-1]area 0.0.0.0
[LSW4-ospf-1-area-0.0.0.0]network 10.10.4.4 0.0.0.0
[LSW4-ospf-1-area-0.0.0.0]network 10.20.4.4 0.0.0.0
[LSW4-ospf-1-area-0.0.0.0]network 192.168.2.2 0.0.0.0
[LSW4-ospf-1-area-0.0.0.0]network 192.168.3.2 0.0.0.0

[LSW4-ospf-1]silent-interface Vlanif 2
[LSW4-ospf-1]silent-interface Vlanif 3

LSW1:

[LSW1]ip vpn-instance VRF    
[LSW1-vpn-instance-VRF]route-distinguisher 100:1 
[LSW1-vpn-instance-VRF-af-ipv4]vpn-target 100:1 both   

[LSW1]vlan batch 102 103 104
[LSW1]interface GigabitEthernet 0/0/5
[LSW1-GigabitEthernet0/0/5]port link-type access 
[LSW1-GigabitEthernet0/0/5]port default vlan 103    
[LSW1-GigabitEthernet0/0/5]undo stp enable

[LSW1]interface GigabitEthernet 0/0/4
[LSW1-GigabitEthernet0/0/4]port link-type trunk 
[LSW1-GigabitEthernet0/0/4]undo port trunk allow-pass vlan 1
[LSW1-GigabitEthernet0/0/4]port trunk allow-pass vlan 102
[LSW1-GigabitEthernet0/0/4]undo stp enable

[LSW1]interface GigabitEthernet 0/0/6
[LSW1-GigabitEthernet0/0/6]port link-type access 
[LSW1-GigabitEthernet0/0/6]port default vlan 104
[LSW1-GigabitEthernet0/0/6]undo stp enable
 

[LSW1]interface Vlanif 102
[LSW1-Vlanif102]ip binding vpn-instance VRF  
[LSW1-Vlanif102]ip address 10.10.2.1 24

[LSW1]interface Vlanif 103
[LSW1-Vlanif103]ip binding vpn-instance VRF
[LSW1-Vlanif103]ip add 10.10.3.1 24

[LSW1]interface Vlanif 104
[LSW1-Vlanif104]ip binding vpn-instance VRF
[LSW1-Vlanif104]ip add 10.10.4.1 24

[LSW1]ospf 1 router-id 1.1.1.1 vpn-instance VRF    
[LSW1-ospf-1]area 0
[LSW1-ospf-1-area-0.0.0.0]network 10.10.2.1 0.0.0.0
[LSW1-ospf-1-area-0.0.0.0]network 10.10.3.1 0.0.0.0
[LSW1-ospf-1-area-0.0.0.0]network 10.10.4.1 0.0.0.0
[LSW1-ospf-1]default-route-advertise

LSW2:

[LSW2]vlan batch 202 203 204
[LSW2]interface GigabitEthernet 0/0/5
[LSW2-GigabitEthernet0/0/5]port link-type access     
[LSW2-GigabitEthernet0/0/5]port default vlan 204
[LSW2-GigabitEthernet0/0/5]undo stp enable

[LSW2]interface GigabitEthernet 0/0/6
[LSW2-GigabitEthernet0/0/6]port link-type access 
[LSW2-GigabitEthernet0/0/6]port default vlan 203
[LSW2-GigabitEthernet0/0/6]undo stp enable 

[LSW2]interface GigabitEthernet 0/0/4
[LSW2-GigabitEthernet0/0/4]port link-type trunk 
[LSW2-GigabitEthernet0/0/4]port trunk allow-pass vlan 102
[LSW2-GigabitEthernet0/0/4]undo port trunk allow-pass vlan 1
[LSW2-GigabitEthernet0/0/4]undo stp enable
 

[LSW2]interface Vlanif 202
[LSW2-Vlanif102]ip binding vpn-instance VRF
[LSW2-Vlanif102]ip address 10.10.2.2 24

[LSW2]interface Vlanif 203
[LSW2-Vlanif203]ip binding vpn-instance VRF
[LSW2-Vlanif203]ip address 10.20.3.2 24

[LSW2]interface Vlanif 204
[LSW2-Vlanif204]ip binding vpn-instance VRF
[LSW2-Vlanif204]ip add 10.20.4.2 24

[LSW2]ospf 1 router-id 2.2.2.2 vpn-instance VRF    
[LSW2-ospf-1]area 0
[LSW2-ospf-1-area-0.0.0.0]network 10.10.2.2 0.0.0.0
[LSW2-ospf-1-area-0.0.0.0]network 10.20.3.2 0.0.0.0
[LSW2-ospf-1-area-0.0.0.0]network 10.20.4.2 0.0.0.0
[LSW2-ospf-1]default-route-advertise

LSW3,LSW4修改接口Cost值:

[LSW3]interface Vlanif 203  
[LSW3-Vlanif203]ospf cost 5

[LSW4]interface Vlanif 104
[LSW4-Vlanif104]ospf cost 5

路由策略配置:

将SW3和SW4上宣告的192.168.2.0/24和192.168.3.0/24删除,防止与重发布的路由产生冲突

[LSW3]ip ip-prefix aa permit 192.168.2.0 24
[LSW3]ip ip-prefix bb permit 192.168.3.0 24

[LSW3]route-policy bb permit node 10
[LSW3-route-policy]if-match ip-prefix bb
[LSW3-route-policy]apply cost 5
[LSW3]route-policy bb permit node 20
[LSW3-route-policy]if-match ip-prefix aa
[LSW3]ospf 1    
[LSW3-ospf-1]import-route direct route-policy bb

[SW4]ip ip-prefix aa permit 192.168.2.0 24
[SW4]ip ip-prefix bb permit 192.168.3.0 24

[LSW4]route-policy aa permit node 10
[LSW4-route-policy]if-match ip-prefix aa
[LSW4-route-policy]apply cost 5
[LSW4]route-policy aa permit node 20
[LSW4-route-policy]if-match ip-prefix bb

[LSW4]ospf 1
[LSW4-ospf-1]import-route direct route-policy aa

防火墙和交换机VRF配置:


VRF区域配置:
LSW1:
[LSW1]vlan batch 401 402
[LSW1]interface GigabitEthernet 0/0/1
[LSW1-GigabitEthernet0/0/1]port link-type trunk     
[LSW1-GigabitEthernet0/0/1]port trunk allow-pass vlan 401 402
[LSW1]interface GigabitEthernet 0/0/4
[LSW1-GigabitEthernet0/0/4]port link-type trunk 
[LSW1-GigabitEthernet0/0/4]port trunk allow-pass vlan 401 402

[LSW1]interface Vlanif 401
[LSW1-Vlanif401]ip binding vpn-instance VRF
[LSW1-Vlanif401]ip address 10.40.1.1 24
[LSW1-Vlanif401]vrrp vrid 1 virtual-ip 10.40.1.100
[LSW1-Vlanif401]vrrp vrid 1 priority 120
[LSW1-Vlanif401]vrrp vrid 1 preempt-mode timer delay 60
[LSW1-Vlanif401]vrrp vrid 1 track interface GigabitEthernet 0/0/1 reduced 30

[LSW1]interface Vlanif 402
[LSW1-Vlanif402]ip binding vpn-instance VRF
[LSW1-Vlanif402]ip address 10.40.2.1 24
[LSW1-Vlanif402]vrrp vrid 2 virtual-ip 10.40.2.100
 

LSW2:
[LSW2]vlan batch 401 402
[LSW2]interface GigabitEthernet 0/0/3
[LSW2-GigabitEthernet0/0/3]port link-type trunk 
[LSW2-GigabitEthernet0/0/3]port trunk allow-pass vlan 401 402
[LSW2]interface GigabitEthernet 0/0/4
[LSW2-GigabitEthernet0/0/4]port link-type trunk 
[LSW2-GigabitEthernet0/0/4]port trunk allow-pass vlan 401 402

[LSW2]interface Vlanif 401
[LSW2-Vlanif401]ip binding vpn-instance VRF
[LSW2-Vlanif401]ip address 10.40.1.2 24
[LSW2-Vlanif401]vrrp vrid 1 virtual-ip 10.40.1.100

[LSW2]interface Vlanif 402
[LSW2-Vlanif402]ip binding vpn-instance VRF
[LSW2-Vlanif402]ip address 10.40.2.2 24
[LSW2-Vlanif402]vrrp vrid 2 virtual-ip 10.40.2.100
[LSW2-Vlanif402]vrrp vrid 2 priority 120
[LSW2-Vlanif402]vrrp vrid 2 preempt-mode timer delay 60
[LSW2-Vlanif402]vrrp vrid 2 track interface GigabitEthernet 0/0/3 reduced 30
 

FW1:
[FW1]vlan batch 401 402 403 404
[FW1]interface GigabitEthernet 1/0/0
[FW1-GigabitEthernet1/0/0]ip add 10.10.10.1 30

[FW1]interface GigabitEthernet 1/0/3.401
[FW1-GigabitEthernet1/0/3.401]ip add 10.40.1.10 24
[FW1-GigabitEthernet1/0/3.401]vlan-type dot1q 401

[FW1]interface GigabitEthernet 1/0/3.402
[FW1-GigabitEthernet1/0/3.402]ip address 10.40.2.10 24
[FW1-GigabitEthernet1/0/3.402]vlan-type dot1q 402

[FW1]interface GigabitEthernet 1/0/2.403
[FW1-GigabitEthernet1/0/2.403]ip address 10.40.3.10 24
[FW1-GigabitEthernet1/0/2.403]vlan-type dot1q 403

[FW1]interface GigabitEthernet 1/0/2.404
[FW1-GigabitEthernet1/0/2.404]ip add 10.40.4.10 24
[FW1-GigabitEthernet1/0/2.404]vlan-type dot1q 404
 

FW2:
[FW2]vlan batch 401 402 403 404
[FW2]interface GigabitEthernet 1/0/0
[FW2-GigabitEthernet1/0/0]ip add 10.10.10.2 30

[FW2]interface GigabitEthernet 1/0/2.401
[FW2-GigabitEthernet1/0/2.401]ip address 10.40.1.20 24
[FW2-GigabitEthernet1/0/2.401]vlan-type dot1q 401

[FW2]interface GigabitEthernet 1/0/2.402
[FW2-GigabitEthernet1/0/2.402]ip add 10.40.2.20 24
[FW2-GigabitEthernet1/0/2.402]vlan-type dot1q 402

[FW2]interface GigabitEthernet 1/0/3.403
[FW2-GigabitEthernet1/0/3.403]ip add 10.40.3.20 24
[FW2-GigabitEthernet1/0/3.403]vlan-type dot1q 403

[FW2]interface GigabitEthernet 1/0/1.404
[FW2-GigabitEthernet1/0/3.404]ip add 10.40.4.20 24
[FW2-GigabitEthernet1/0/3.404]vlan-type dot1q 404
 

划分安全区域:
FW1:
[FW1]firewall zone trust 
[FW1-zone-trust]add interface GigabitEthernet 1/0/3.401
[FW1-zone-trust]add interface GigabitEthernet 1/0/3.402

[FW1]firewall zone untrust 
[FW1-zone-untrust]add interface GigabitEthernet 1/0/2.403
[FW1-zone-untrust]add interface GigabitEthernet 1/0/2.404

[FW1]firewall zone dmz 
[FW1-zone-dmz]add interface GigabitEthernet 1/0/0
 

FW2:
[FW2]firewall zone trust 
[FW2-zone-trust]add interface GigabitEthernet 1/0/2.401
[FW2-zone-trust]add interface GigabitEthernet 1/0/2.402

[FW2]firewall zone untrust 
[FW2-zone-untrust]add interface GigabitEthernet 1/0/3.403
[FW2-zone-untrust]add interface GigabitEthernet 1/0/3.404

[FW2]firewall zone dmz 
[FW2-zone-dmz]add interface GigabitEthernet 1/0/0
 

LSW1、LSW2的Public配置:
LSW1:
[LSW1]vlan batch 403 404
[LSW1]interface GigabitEthernet 0/0/3
[LSW1-GigabitEthernet0/0/3]port link-type trunk 
[LSW1-GigabitEthernet0/0/3]port trunk allow-pass vlan 403 404

[LSW1]interface GigabitEthernet 0/0/2
[LSW1-GigabitEthernet0/0/2]port link-type trunk 
[LSW1-GigabitEthernet0/0/2]port trunk allow-pass vlan 403 404

[LSW1]interface Vlanif 403
[LSW1-Vlanif403]ip address 10.40.3.1 24
[LSW1-Vlanif403]vrrp vrid 3 virtual-ip 10.40.3.100
[LSW1-Vlanif403]vrrp vrid 3 priority 120
[LSW1-Vlanif403]vrrp vrid 3 preempt-mode timer delay 60
[LSW1-Vlanif403]vrrp vrid 3 track interface GigabitEthernet 0/0/3 reduced 30

[LSW1]interface Vlanif 404
[LSW1-Vlanif404]ip add 10.40.4.1 24
[LSW1-Vlanif404]vrrp vrid 4 virtual-ip 10.40.4.100
 

LSW2:
[LSW2]vlan batch 403 404
[LSW2]interface GigabitEthernet 0/0/1
[LSW2-GigabitEthernet0/0/1]port link-type trunk 
[LSW2-GigabitEthernet0/0/1]port trunk allow-pass vlan 403 404

[LSW2]interface GigabitEthernet 0/0/2
[LSW2-GigabitEthernet0/0/2]port link-type trunk 
[LSW2-GigabitEthernet0/0/2]port trunk allow-pass vlan 403 404

[LSW2]interface  Vlanif 403
[LSW2-Vlanif403]ip address 10.40.3.2 24
[LSW2-Vlanif403]vrrp vrid 3 virtual-ip 10.40.3.100

[LSW2]interface Vlanif 404
[LSW2-Vlanif404]ip address 10.40.4.2 24
[LSW2-Vlanif404]vrrp vrid 4 virtual-ip 10.40.4.100
[LSW2-Vlanif404]vrrp vrid 4 priority 120
[LSW2-Vlanif404]vrrp vrid 4 preempt-mode timer delay 60
[LSW2-Vlanif404]vrrp vrid 4 track interface GigabitEthernet 0/0/1 reduced 30
 

补充路由:
LSW1上行路由:VRF
[LSW1]ip route-static vpn-instance VRF 0.0.0.0 0 10.40.1.200
[LSW1]ip route-static vpn-instance VRF 0.0.0.0 0 10.40.2.200 preference 70

LSW1下行路由:Public
[LSW1]ip route-static 192.168.0.0 16 10.40.3.200
[LSW1]ip route-static 192.168.0.0 16 10.40.4.200 preference 70


LSW2上行路由:VRF
[LSW2]ip route-static vpn-instance VRF 0.0.0.0 0 10.40.2.200
[LSW2]ip route-static vpn-instance VRF 0.0.0.0 0 10.40.1.200 preference 70

LSW2下行路由:Public
[LSW2]ip route-static 192.168.0.0 16 10.40.4.200    
[LSW2]ip route-static 192.168.0.0 16 10.40.3.200 preference 70
 

双机热备配置:
FW1:
FW1下行接口:VRF
[FW1]interface GigabitEthernet 1/0/3.401
[FW1-GigabitEthernet1/0/3.401]vrrp vrid 5 virtual-ip 10.40.1.200 active 
[FW1]interface GigabitEthernet 1/0/3.402
[FW1-GigabitEthernet1/0/3.402]vrrp vrid 6 virtual-ip 10.40.2.200 standby 

FW1上行接口:(Public)
[FW1]interface GigabitEthernet 1/0/2.403
[FW1-GigabitEthernet1/0/2.403]vrrp vrid 7 virtual-ip 10.40.3.200 active 
[FW1]interface GigabitEthernet 1/0/2.404
[FW1-GigabitEthernet1/0/2.404]vrrp vrid 8 virtual-ip 10.40.4.200 standby 

[FW1]hrp mirror session enable     
[FW1]hrp interface GigabitEthernet 1/0/0 remote 10.10.10.2   
[FW1]hrp enable   

FW1上行路由配置:
HRP_S[FW1]ip route-static 0.0.0.0 0 10.40.3.100    
HRP_S[FW1]ip route-static 0.0.0.0 0 10.40.4.100 preference 70

FW1下行路由配置:(192.168.2.0/24和192.168.3.0/24两个网段汇聚成192.168.0.0/16网段)
HRP_M[FW1]ip route-static 192.168.0.0 16 10.40.1.100
HRP_M[FW1]ip route-static 192.168.0.0 16 10.40.2.100 preference 70
 

FW2:
FW2下行接口:VRF
[FW2]interface GigabitEthernet 1/0/2.401
[FW2-GigabitEthernet1/0/2.401]vrrp vrid 5 virtual-ip 10.40.1.200 standby 
[FW2]interface GigabitEthernet 1/0/2.402
[FW2-GigabitEthernet1/0/2.402]vrrp vrid 6 virtual-ip 10.40.2.200 active 

FW2上行接口:Pubilc
[FW2]interface GigabitEthernet 1/0/3.403
[FW2-GigabitEthernet1/0/3.403]vrrp vrid 7 virtual-ip 10.40.3.200 standby 
[FW2]interface GigabitEthernet 1/0/3.404
[FW2-GigabitEthernet1/0/3.404]vrrp vrid 8 virtual-ip 10.40.4.200 active 

[FW2]hrp mirror session enable
[FW2]hrp interface GigabitEthernet 1/0/0 remote 10.10.10.1
[FW2]hrp enable

FW2上行路由配置:
HRP_S[FW2]ip route-static 0.0.0.0 0 10.40.4.100
HRP_S[FW2]ip route-static 0.0.0.0 0 10.40.3.100 preference 70

FW2下行路由配置:
HRP_S[FW2]ip route-static 192.168.0.0 16 10.40.2.100
HRP_S[FW2]ip route-static 192.168.0.0 16 10.40.1.100 preference 70
 

安全策略配置:
HRP_M[FW1]security-policy 
HRP_M[FW1-policy-security]rule name trust_to_untrust
HRP_M[FW1-policy-security-rule-trust_to_untrust]source-zone trust  
HRP_M[FW1-policy-security-rule-trust_to_untrust]destination-zone untrust  
HRP_M[FW1-policy-security-rule-trust_to_untrust]source-address 192.168.0.0 16 
HRP_M[FW1-policy-security-rule-trust_to_untrust]action permit 

核心到边界配置:


LSW1:
[LSW1]vlan batch 11 12
[LSW1]interface GigabitEthernet 0/0/7
[LSW1-GigabitEthernet0/0/7]port link-type access
[LSW1-GigabitEthernet0/0/7]port default vlan 11
[LSW1-GigabitEthernet0/0/7]undo stp enable 

[LSW1]interface GigabitEthernet 0/0/5
[LSW1-GigabitEthernet0/0/5]port trunk allow-pass vlan 12
[LSW1-GigabitEthernet0/0/5]undo stp enable 

[LSW1]interface Vlanif 11
[LSW1-Vlanif11]ip address 10.11.1.1 24
[LSW1]interface Vlanif 12
[LSW1-Vlanif12]ip add 10.12.1.1 24

[LSW1]ospf 2 router-id 1.1.1.1
[LSW1-ospf-2]area 0
[LSW1-ospf-2-area-0.0.0.0]network 10.11.1.1 0.0.0.0
[LSW1-ospf-2-area-0.0.0.0]network 10.12.1.1 0.0.0.0
 

LSW2:
[LSW2]vlan batch 12 22
[LSW2]interface GigabitEthernet 0/0/7
[LSW2-GigabitEthernet0/0/7]port link-type access 
[LSW2-GigabitEthernet0/0/7]port default vlan 22
[LSW2-GigabitEthernet0/0/7]undo stp enable

[LSW2]interface GigabitEthernet 0/0/2
[LSW2-GigabitEthernet0/0/2]port trunk allow-pass vlan 12
[LSW2-GigabitEthernet0/0/2]undo stp enable 

[LSW2]interface Vlanif 12
[LSW2-Vlanif12]ip address 10.12.1.2 24
[LSW2]interface Vlanif 22
[LSW2-Vlanif22]ip address 10.22.2.1 24

[LSW2-ospf-2]dis th
[LSW2]ospf 2 router-id 2.2.2.2
[LSW2-ospf-2] area 0.0.0.0
[LSW2-ospf-2-area-0.0.0.0]network 10.12.1.2 0.0.0.0
[LSW2-ospf-2-area-0.0.0.0]network 10.22.2.1 0.0.0.0

R1:
[R1]interface GigabitEthernet 0/0/0
[R1-GigabitEthernet0/0/0]ip add 10.11.1.2 24
[R1]interface GigabitEthernet 0/0/1
[R1-GigabitEthernet0/0/1]ip address 10.12.2.1 24

[R1-ospf-1]display this 
[R1-ospf-1]ospf 1 router-id 3.3.3.3 
[R1-ospf-1]area 0.0.0.0 
[R1-ospf-1-area-0.0.0.0]network 10.11.1.2 0.0.0.0 
[R1-ospf-1-area-0.0.0.0]network 10.12.2.1 0.0.0.0 

R2:
[R2]interface GigabitEthernet 0/0/0
[R2-GigabitEthernet0/0/0]ip add 10.22.2.2 24
[R2]interface GigabitEthernet 0/0/1
[R2-GigabitEthernet0/0/1]ip add 10.12.2.2 14

[R2]ospf 1 router-id 4.4.4.4
[R2-ospf-1]area 0
[R2-ospf-1-area-0.0.0.0]network 10.22.2.2 0.0.0.0
[R2-ospf-1-area-0.0.0.0]network 10.12.2.2 0.0.0.0

外部网络
R1:
[R1]interface GigabitEthernet 0/0/2
[R1-GigabitEthernet0/0/2]ip add 12.0.0.1 24
[R1]ip route-static 0.0.0.0 0 12.0.0.100
[R1-ospf-1]default-route-advertise    

[R1]acl 2000
[R1-acl-basic-2000]rule permit source 192.168.0.0 0.0.255.255
[R1]interface GigabitEthernet 0/0/2
[R1-GigabitEthernet0/0/2]nat outbound 2000   
 

R2:
[R2]interface GigabitEthernet 0/0/2
[R2-GigabitEthernet0/0/2]ip add 13.0.0.1 24
[R2]ip route-static 0.0.0.0 0 13.0.0.100
[R2-ospf-1]default-route-advertise

[R2]acl 2000
[R2-acl-basic-2000]rule permit source 192.168.0.0 0.0.255.255
[R2]int g 0/0/2
[R2-GigabitEthernet0/0/2]nat outbound 2000
 

ISP:
[ISP]interface GigabitEthernet 0/0/0
[ISP-GigabitEthernet0/0/0]ip add 12.0.0.100 24
[ISP]interface GigabitEthernet 0/0/1
[ISP-GigabitEthernet0/0/1]ip add 13.0.0.100 24
[ISP]interface LoopBack 0
[ISP-LoopBack0]ip add 100.1.1.1 24

[LSW1-ospf-2]import-route static 
[LSW2-ospf-2]import-route static 

测试
正常时pc1、2访问ISP


当SW1的接口发生故障时,对PC1访问ISP进行测试


[LSW1-GigabitEthernet0/0/1]shutdown 

实验完成。

华为Ensp防火墙双机热备(Hrp)
qq_51444009的博客
07-05 1万+
HRP(华为冗余协议)备份方式 自动备份,默认方式 手动备份,批量方式(hrp sync config 手动触发批量备份) 快速备份,针对分载分担 备份通道状态 当设备两边均配置心跳口,防火墙会判断心跳接口的物理与协议状态。 心跳链路一共存在五种状态 ① running:正常运行,能够发送报文 ② ready:正常运行,此接口为备份通道,当前未使用 ③ peerdown:本段正常,但是收不到对端的心跳报文 ④ invaild:未指定心跳地址的IP地址,心跳口工作在二层 ⑤ down:心跳接口的物理状态与协议
华为防火墙双机热备案例(基于eNSP的防火墙实验)
weixin_50571749的博客
06-21 2601
华为防火墙双机热备的详细配置案例
ensp双机热备
m0_46626894的博客
03-25 3373
双机热备实验 文章目录双机热备实验实验环境实验思路具体步骤1.配置ip地址2.将接口划分到相应安全区域3.创建VRRP备份组.配置HRP并开启个人总结 实验环境 实验思路 具体步骤 1.配置ip地址 PC1: AR1: [AR1]int g0/0/0 [AR1-GigabitEthernet0/0/0]ip add 200.1.1.1 24 FW1: [FW1]int g1/0/2 [FW1-GigabitEthernet1/0/2]ip add 200.1.1.1 24 [FW1-Gi
eNSP防火墙双机热备
qq_50829760的博客
11-11 1924
1、防火墙双机热备 2、电信和联通双出口 3、核心交换机配置VRRP+MSTP负载均衡。4、出口配置NAT 5、核心交换机作为用户网关实现vlan间路由。
华为ENSP之防火墙双机热备
m0_73406895的博客
09-23 3184
双机热备份实现了双机业务的备份功能,业务信息通过备份链路实现批量备份和实时备份,保证在主设备故障时业务能够不中断地顺利切换到备份设备,从而降低了单点故障的风险,提高了网络的可靠性。因为要做VRRP虚拟网关,所以防火墙上下联与虚拟网关配置同一网段,另外底层通过OSPF配通,通过VGMP状态调整OSPF cost,切换路径。基础配置底层OSPF互通,上联area0,下联area1,防火墙作为ABR设备起两个区域。配置VGMP组,开启HRP同步,用track监听线路。分别实现二层,三层的双机热备配置。
华为ensp园区网防火墙双机热备
m0_61979535的博客
05-10 2952
园区网,利用acl+traffic-filter、端口隔离、防火墙实现不同用户的联网需求;通过vvrp+dhcp、easy-ip、bfd+ospf、链路聚合、mstp、流量抑制、mstp生成树等技术实现网络整体的稳定性和安全性。
HUAWEI-Ensp模拟器 双机热备传统方式.docx
11-12
### HUAWEI-Ensp模拟器 双机热备传统方式 #### 双机热备份简介 **定义**:双机热备份(Hot-Standby Backup)是一种高可用性的解决方案,通过设置主用(Master)设备和备用(Backup)设备来确保系统的连续性和稳定...
主备组网方式的双机热备技术+内网多VLAN
笨人须下死功夫的博客
06-07 787
组网拓扑图如下:任务:client1能够访问FTP服务器Server1PC2能够ping通FTP服务器Server1配置命令:FW1 1、接口IP、VRRP(VRRP加VGMP管理组)、加域interface g0/0/1.1 vlan dot1q 10 ip add 192.168.1.253 24 vrrp vrid 10 virtual-ip 192.168.1.254 24 master #vrrp virtual-mac en #Can not enable virtual-m
防火墙简单组网方案双机热备
XMWS-IT
06-04 2126
实验拓扑图(画图是用的process on) 1.划分区域 2.配置防火墙AF1。 【网络配置】——【接口/区域】,并且配置好接口IP地址等信息。ETH1口配置成外网区域, ETH3定义成内网区域,将ETH2口定义成HA口。如下图: 3.接口总览 4.默认上网路由和回指路由 5.防火墙AF1 进入【高可用性】配置接口,选择本端ETH2接口作为双机通信口,填写对端地址 10.10.9.10,如下图: 6.防火墙AF1 启用双机热备,进入双击热备配置接口,点
华为计算机网络--防火墙双机热备及其实验配置
爱学习的JackYang的博客
12-15 3044
华为网络 防火墙 双机热备
ENSP配置防火墙和路由器双机热备
10-22
涉及的技术NAT、VRRP、OSPF、HA、VGMP,里面含命令和讲解,在我的博客上面有写Cisco的配置欢迎大家一起交流学习
在eNSP模拟器上使用usg6000v实现双机热备(直路部署,上下行连接三层设备的主备备份组网)
接华为网络、网安方向小组作业,期末作业,课程设计、毕设等,有意可私信留言。
06-17 2191
在eNSP模拟器上使用usg6000v实现双机热备(直路部署,上三下三,主备模式)拓扑图设备选型配置思路操作步骤结果验证 拓扑图 设备选型 PC1设备使用PC型终端设备 LSW1设备使用S3700型号交换机设备 R1-R5使用Router型路由器设备 FW1-FW2使用USG6000型号防火墙设备 配置思路 1.完成终端设备的网络参数配置以及网络设备的基本配置(设备重命名+接口IP) 2.完成FW1和FW2设备的初始化配置(重命名+接口IP+区域划分) 3.全网部署OSPF实现三层路由可达 4.在R1设备
在ensp上做防火墙的双机热备
XL5L7的博客
05-23 5711
搭建网络拓扑图 配置服务器和客户机的IP地址 主防火墙 <USG6000V1> <USG6000V1>u t m //关闭消息推送 <USG6000V1>system-view //进入系统视图 [USG6000V1]sysname FW4 //将名称改为FW4 [FW4] //添加接口IP地址 [FW4]int g1/0/0 //进入接口 [FW4-GigabitEthernet1/0/0]ip add 10.1.10.4 24 //添加IP
[eNSP] 双机热备基本组网
ZXW_NUDT的博客
04-21 735
注:左边为trust区,右边为untrust区,防火墙之间为DMZ区。 1、配置默认路由 [FW 1]ip route-static 0.0.0.0 0 10.3.0.3 [FW 2]ip route-static 0.0.0.0 0 10.3.0.3 2、配置心跳线规则 [FW 1-policy-security]rule name permit_heat [FW 1-policy-security-rule-permit_heat]source-zone local [FW 1-policy-se.
eNSP配置OSPF实现路由器双机热备
m0_68735537的博客
04-29 1210
验证PC1访问外网走出口1,且电信故障可自动切换出口2。PC2访问外网走出口2,且移动故障后可自动切换到出口1。(2)再宣告给其他设备 default-route-advertise always type 1。dis IP route-table (查看路由表,检查是否配置成功)tracert 目标地址 (检查ping到目标地址的路径)以上配置完成后三个pc机都可ping自己的网关。acl 2000 (acl 编号2000)三层及路由设备配置ospf并宣告网段。(1)AR1和AR2配置默认路由。
服务器摆放需要预留U位么_服务器配置方案第二篇 - 服务器选型
weixin_40002009的博客
11-17 553
传统直立式服务器,体积大且又占空间,当企业使用多台服务器时,主机存放空间更是可观。 因此有机架式(Rack Mount)的服务器主机出现 ,而刀片服务器〔Blade Server〕则是机架式主机再进化。刀片式服务器与塔式和bai机架式du服务器的区别为:用途不同、zhi放置不同、扩展性不同。一、用途不同1、刀片式服务器:刀片式服务器应用于大型的数据中心或者需要大规模计算的领域。2、塔...
【华为ensp防火墙】双机热备+NAT+外网访问内部服务器(http、ftp)
A1111_599的博客
12-11 4307
1、路由、透明、混合2、区域:Local、Trust、Dmz、Untrust3、安全策略,区域操作,IP条件、操作、配置文件(根据现今情况,另外的安全产品替代)NAT策略:源地址、目的地址、双向静态、动态、NAPT、Easy-IPNat Server。
华为模拟器eNSP防火墙双机热备实验
末初 · mochu7
06-11 8501
命令行配置 简要步骤如下: 配置所有接口IP 在防火墙上规划接口区域,所有接口允许被ping 防火墙配置安全策略,local到any 配置虚拟地址并分配VRRP组以及备用设备组(这一步配置完之后,在R1和R2测试ping网关) 主备防火墙配置HRP,以同步防火墙的策略和会话 R1、R2配置缺省路由,主防火墙放行Trust到Untrust的策略 首先需要开启防火墙,但是这里需要改一下备用防火墙FW2的防火墙服务端口GE 0/0/0的IP地址,不然会和主防火墙FW1的GEn0/0/0端口IP产生..
玩转华为ENSP模拟器系列 | IPSec网关主备双机热备
COCO_gsta的博客
10-17 2968
素材来源:华为防火墙配置指南建立IPSec隧道的一端使用两台设备进行双机热备,可以将IPSec的配置信息、隧道建立信息等从主设备备份到备用设备上,保证即使主设备断开后隧道也不会拆除,提高了网络的可靠性。如所示,公司总部(HQ)通过FW_A和FW_B接入外网。分支机构(Branch)员工使用FW_C接入总部。要求实现分支机构安全访问IPSec保护的总部内网服务器。公司由多个分支机构组成,此举例中只以其中一个为例,其网关为FW_C。
备备份双机热备组网配置
最新发布
02-27
### 华为路由器/防火墙双机热备组网配置方案 #### 配置概述 为了提高网络设备的可靠性,通常会采用双机热备的方式。这种方式可以在一台设备发生故障时自动切换到另一台备用设备,从而保障业务连续性。对于华为路由器和防火墙而言,可以通过HSB(High Speed Backup)协议来实现这一目标。 #### HSB服务类型设置 在启用双机组网之前,需先指定所使用的高可用性服务类型,在此场景下即为`firewall`模式: ```shell [RouterA] hsb-service-type firewall ``` 这一步骤确保了两台设备能够识别彼此作为冗余伙伴并交换必要的状态信息[^2]。 #### 创建HSB群组 接着定义一个具体的HSB群组用于管理这两台机器间的协作关系: ```shell [RouterA] hsb-group 0 ``` 这里创建了一个编号为0的HSB群组;可以根据实际情况调整该数值以适应不同的应用场景需求。 #### 启动HRP/VGMP同步机制 为了让主备节点间可以共享连接表项和其他动态数据,还需开启相应的心跳检测及状态同步功能。通过HRP (Hot Standby Router Protocol) 或者 VGMP (Virtual Gateway Management Protocol),可实现实时的数据交互与快速故障转移: - **HRP** 主要应用于USG系列统一安全网关产品; - **VGMP** 则更多见于AR G3及以上型号的企业级路由平台。 具体命令如下所示(假设当前操作对象为Master端): ```shell // 对于支持HRP的产品线 [RouterA-HRP-Master] hrp enable [RouterA-HRP-Master] interface Vlanif100 [RouterA-HRP-Master-Vlanif100] hrp mirror address 192.168.1.2 // Slave IP Address // 对于支持VGMP的产品线 [RouterA-VGMP-Master] vgmp enable [RouterA-VGMP-Master] vrrp vrid 1 virtual-ip 192.168.1.254 priority 110 ``` 上述脚本片段展示了如何基于不同类型的硬件平台启动相应的高可靠特性,并指定了虚拟IP地址以及优先级参数以便更好地控制角色分配逻辑[^1]。 #### 测试验证 完成所有必要配置之后,应当进行全面的功能性和稳定性测试,确认整个系统的健壮程度满足预期标准。特别是要注意观察当活动单元失效时能否顺利过渡至待命单元继续提供不间断的服务体验。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值