eNSP防火墙实验-双机热备

原创 已于 2025-08-29 13:37:19 修改 · 867 阅读 · 11 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络 #安全 #计算机网络 #网络安全

于 2024-11-06 13:59:44 首次发布

文章目录

概要

企业的两台FW的业务接口都工作在三层,上下行分别连接二层交换机。上行交换机连接运营商的接入点,运营商为企业分配的IP地址为1.1.1.1。现在希望两台FW以主备备份方式工作。正常情况下,流量通过FW_A转发。当FW_A出现故障时,流量通过FW_B转发,保证业务不中断

拓扑图

在这里插入图片描述

配置代码

FWA接口配置

<FW_A> system-view
[FW_A] interface GigabitEthernet 1/0/1
[FW_A-GigabitEthernet1/0/1] ip address 10.2.0.1 24
[FW_A-GigabitEthernet1/0/1] quit 
[FW_A] interface GigabitEthernet 1/0/3
[FW_A-GigabitEthernet1/0/3] ip address 10.3.0.1 24
[FW_A-GigabitEthernet1/0/3] quit 
[FW_A] interface GigabitEthernet 1/0/7
[FW_A-GigabitEthernet1/0/7] ip address 10.10.0.1 24
[FW_A-GigabitEthernet1/0/7] quit
[FW_A] firewall zone trust
[FW_A-zone-trust] add interface GigabitEthernet 1/0/3
[FW_A-zone-trust] quit 
[FW_A] firewall zone dmz
[FW_A-zone-dmz] add interface GigabitEthernet 1/0/7
[FW_A-zone-dmz] quit 
[FW_A] firewall zone untrust
[FW_A-zone-untrust] add interface GigabitEthernet 1/0/1
[FW_A-zone-untrust] quit
[FW_A] ip route-static 0.0.0.0 0.0.0.0 1.1.1.10

FWB接口配置

<FW_B> system-view
[FW_B] interface GigabitEthernet 1/0/1
[FW_B-GigabitEthernet1/0/1] ip address 10.2.0.2 24
[FW_B-GigabitEthernet1/0/1] quit 
[FW_B] interface GigabitEthernet 1/0/3
[FW_B-GigabitEthernet1/0/3] ip address 10.3.0.2 24
[FW_B-GigabitEthernet1/0/3] quit 
[FW_B] interface GigabitEthernet 1/0/7
[FW_B-GigabitEthernet1/0/7] ip address 10.10.0.2 24
[FW_B-GigabitEthernet1/0/7] quit 
[FW_B] firewall zone trust
[FW_B-zone-trust] add interface GigabitEthernet 1/0/3
[FW_B-zone-trust] quit 
[FW_B] firewall zone dmz
[FW_B-zone-dmz] add interface GigabitEthernet 1/0/7
[FW_B-zone-dmz] quit 
[FW_B] firewall zone untrust
[FW_B-zone-untrust] add interface GigabitEthernet 1/0/1
[FW_B-zone-untrust] quit
[FW_B] ip route-static 0.0.0.0 0.0.0.0 1.1.1.10

FWA-VRRP备份组/双机热备配置

[FW_A] interface GigabitEthernet 1/0/1
[FW_A-GigabitEthernet1/0/1] vrrp vrid 1 virtual-ip 1.1.1.1 24 active
[FW_A-GigabitEthernet1/0/1] quit
[FW_A] interface GigabitEthernet 1/0/3
[FW_A-GigabitEthernet1/0/3] vrrp vrid 2 virtual-ip 10.3.0.3 active
[FW_A-GigabitEthernet1/0/3] quit 
[FW_A] hrp interface GigabitEthernet 1/0/7 remote 10.10.0.2  // 双机热备配置
[FW_A] hrp enable   // 双机热备配置

FWB-VRRP备份组/双机热备配置

[FW_B] interface GigabitEthernet 1/0/1
[FW_B-GigabitEthernet1/0/1] vrrp vrid 1 virtual-ip 1.1.1.1 24 standby
[FW_B-GigabitEthernet1/0/1] quit
[FW_B] interface GigabitEthernet 1/0/3
[FW_B-GigabitEthernet1/0/3] vrrp vrid 2 virtual-ip 10.3.0.3 standby
[FW_B-GigabitEthernet1/0/3] quit
[FW_B] hrp interface GigabitEthernet 1/0/7 remote 10.10.0.1   // 双机热备配置
[FW_B] hrp enable    // 双机热备配置

验证

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

eNSP防火墙双机热备
qq_50829760的博客
11-11 2089
1、防火墙双机热备 2、电信和联通双出口 3、核心交换机配置VRRP+MSTP负载均衡。4、出口配置NAT 5、核心交换机作为用户网关实现vlan间路由。
【华为ensp防火墙双机热备+NAT+外网访问内部服务器(http、ftp)
A1111_599的博客
12-11 4579
1、路由、透明、混合2、区域:Local、Trust、Dmz、Untrust3、安全策略,区域操作,IP条件、操作、配置文件(根据现今情况,另外的安全产品替代)NAT策略:源地址、目的地址、双向静态、动态、NAPT、Easy-IPNat Server。
华为防火墙ensp实现双机热备配置详解
过去无法挽回,未来可以改变!
10-11 921
FW部署在网络出口位置时,如果发生故障会影响到整网业务。为提升网络的可靠性,需要部署两台FW并组成双机热备双机热备需要两台硬件和软件配置均相同的FW。两台FW之间通过一条独立的链路连接,这条链路通常被称之为“心跳线”。两台FW通过心跳线了解对端的健康状况,向对端备份配置和表项(如会话表、IPSec SA等)。当一台FW出现故障时,业务流量能平滑地切换到另一台设备上处理,使业务不中断。
ensp防火墙------双机热备实验
m0_74355247的博客
07-20 1303
1、对现有网络进行改造升级,将当个防火墙组网改成双机热备的组网形式,做负载分担模式,游客区和DMZ区走FW3,生产区和办公区的流量走FW1;2、办公区上网用户限制流量不超过100M,其中销售部人员在其基础上限制流量不超过60M,且销售部一共10人,每人限制流量不超过6M;5、外网访问内网服务器,下行流量不超过40M,DMZ中的每台服务器限制对外提供的最大下行带宽不超过20M。4、移动链路采用的是100M的带宽,要求游客区用户仅能占用50M,并且基于在线地址进行动态均分;
ENSP配置防火墙和路由器双机热备
10-22
涉及的技术NAT、VRRP、OSPF、HA、VGMP,里面含命令和讲解,在我的博客上面有写Cisco的配置欢迎大家一起交流学习
eNSP防火墙双机热备实验
weixin_44656518的博客
10-17 4012
防火墙双机热备(Firewall High Availability, 简称HA)是一种提高网络安全设备(如防火墙)可靠性和可用性的技术方案。通过部署两台防火墙设备(主备两台),实现设备之间的冗余和故障切换,当其中一台防火墙出现故障时,另一台能够自动接管,确保网络服务不中断。
华为ensp园区网防火墙双机热备
m0_61979535的博客
05-10 3271
园区网,利用acl+traffic-filter、端口隔离、防火墙实现不同用户的联网需求;通过vvrp+dhcp、easy-ip、bfd+ospf、链路聚合、mstp、流量抑制、mstp生成树等技术实现网络整体的稳定性和安全性。
ensp防火墙双机热备配置实验
qq_44845384的博客
11-16 5903
ensp防火墙双机热备配置实验
ensp 实验防火墙双机热备+下联vrrp)
最新发布
10-21
网络拓扑的构建中,实验指导文件中提到的几个文件名可能代表了不同的配置文件和实验步骤,如防火墙双机热备(ospf).topo可能就是指定了使用OSPF协议的拓扑配置文件。而其他文件名如A5D08E21-4789-4826-8617-E5...
防火墙--双机热备
banliyaoguai的博客
07-17 3133
当有接口坏掉了,接口成了过度状态,VGMP就会发现自己管理的VRRP组出现故障,VGMP就会降低自己的优先级,VGMP默认优先级(这里优先级和VRRP中不同)主设备组为65001,备份设备组65000。B和D也无法建立邻居关系,然后如果主设备坏了,是不是就要切换到备用设备上,然后B和D要重新建立邻居关系。再创建一个VGMP组,两台设备互为两个VGMP组的主设备,然后这种情况可能会两条链路都会走,如下图上去的时候走1这边,下去的时候走二这边,所以是不是两台设备需要快速同步状态信息,不然业务就会收到影响。
eNSP - 防火墙双机热备和带宽管理
m0_74939395的博客
07-16 1172
使用华为模拟器在前两次实验的基础上完成新的需求配置,主要是双机热备和带宽管理。
ensp上做防火墙双机热备
XL5L7的博客
05-23 5953
搭建网络拓扑图 配置服务器和客户机的IP地址 主防火墙 <USG6000V1> <USG6000V1>u t m //关闭消息推送 <USG6000V1>system-view //进入系统视图 [USG6000V1]sysname FW4 //将名称改为FW4 [FW4] //添加接口IP地址 [FW4]int g1/0/0 //进入接口 [FW4-GigabitEthernet1/0/0]ip add 10.1.10.4 24 //添加IP
华为ENSP防火墙双机热备
m0_73406895的博客
09-23 3256
双机热备份实现了双机业务的备份功能,业务信息通过备份链路实现批量备份和实时备份,保证在主设备故障时业务能够不中断地顺利切换到备份设备,从而降低了单点故障的风险,提高了网络的可靠性。因为要做VRRP虚拟网关,所以防火墙上下联与虚拟网关配置同一网段,另外底层通过OSPF配通,通过VGMP状态调整OSPF cost,切换路径。基础配置底层OSPF互通,上联area0,下联area1,防火墙作为ABR设备起两个区域。配置VGMP组,开启HRP同步,用track监听线路。分别实现二层,三层的双机热备配置。
vrrp协议_华为防火墙VRRP双机热备的原理及配置详解
weixin_39648297的博客
11-20 1775
本文主要从以下几个方面展开阐述:一、何为双机热备?二、VRRP的概念三、VRRP的两种角色四、VRRP的选举流程五、VRRP的三个状态六、通过VGMP统一管理VRRP的状态1、VGMP的报文封装2、双机热备的备份方式3、关于上游或下游设备的选路问题七、配置实例八、总结一、何为双机热备?所谓的双机热备无非就是以7X24小时不中断的为企业提供服务为目的,各种双机热备的技术很多,那么华为使用了...
网络实验eNSP模拟华为防火墙配置双机热备VRRP
Vector_seven的博客
08-19 4756
心跳线双方的接口编号一定要一样;华为防火墙不止三个区域,还可以自定义区域,只是这里刚好三个区域,可以就用dmz区域;但是设定其他自定义区域也没事,反正默认都不能互通;防火墙的vrrp和路由器的vrrp有区别:路由器的vrrp是在路由器内部设,如果只是双机热备,就只用设置一组vrid防火墙的vrrp即使是双机热备也要设置两组,且是一个防火墙的上行链路接口和下行链路接口各为一组,且两个口都要配置虚拟ip。
华为ensp实现防火墙双机热备-防火墙双机热备带宽管理综合
m0_63884865的博客
08-07 1571
在FW1上之前我们设置的是公网地址。一组是12.0.0.1,一组是21.0.0.1放在FW1身上;建立安全区域HRP,将汇聚接口放入HRP,FW1地址11.0.0.1;加入FW3防火墙,启动管理,想做负载启用vrrp,要改变下面设备网关地址,引起网络波动。同样其他区域的nat策略也是一样需要改(生产区不可以访问互联网,所以生产区没有策略)建立相应安全区域(最好顺序一样,但是在这里我建立的顺序不一样了,看看是否会报错)配置同步成功,FW3上具有FW1一样的路由策略。所用的接口是同一个,但是虚拟网关是不同的。
ensp双机热备
m0_46626894的博客
03-25 3507
双机热备实验 文章目录双机热备实验实验环境实验思路具体步骤1.配置ip地址2.将接口划分到相应安全区域3.创建VRRP备份组.配置HRP并开启个人总结 实验环境 实验思路 具体步骤 1.配置ip地址 PC1: AR1: [AR1]int g0/0/0 [AR1-GigabitEthernet0/0/0]ip add 200.1.1.1 24 FW1: [FW1]int g1/0/2 [FW1-GigabitEthernet1/0/2]ip add 200.1.1.1 24 [FW1-Gi
防火墙技术基础篇:eNSP配置防火墙主备备份的双机热备
qq_39241682的博客
05-29 9255
防火墙双机热备(High Availability, HA)技术是网络安全中的一个关键组成部分,通过它,我们可以确保网络环境的高可靠性和高可用性。下面我们一起来了解防火墙双机热备的基本原理、主要工作模式。
华为ensp防火墙双机热备web配置(一篇文章教会你)
weixin_52557120的博客
06-19 6502
本章主要介绍了防火墙双机热备实验配置,含图文操作
ensp防火墙旁挂+双机热备
02-14
### ENSP Firewall旁挂配置与双机热备设置 #### 一、概述 在企业级网络安全架构中,为了提高系统的可靠性和可用性,通常会采用防火墙双机热备机制。对于ENSP环境下的华为防火墙而言,在实现双机热备的同时支持旁挂模式部署,可以有效增强网络安全防护能力。 #### 二、具体实施方法 ##### (一)基础准备阶段 确保两台防火墙设备均已正确连接至交换机,并完成基本参数设定(如IP地址分配)。同时确认物理连线无误,能够正常通信。 ##### (二)HRP功能激活 针对每台防火墙执行如下命令来开启HRP(Huawei Redundancy Protocol),这是构建高可靠性系统的关键步骤之一[^2]: ```shell [FW] hrp enable ``` ##### (三)VRRP协议配置 按照指定的要求分别对上下行链路上的不同端口创建独立的VRRP实例,并指派相应的虚拟IP地址作为对外提供服务的身份标识[^1]: - **上行链路** 对于面向外部网络一侧的GE0/0/1接口来说, ```shell [FW]interface GigabitEthernet0/0/1 [FW-GigabitEthernet0/0/1]vrrp vrid 1 virtual-ip X.X.X.X ``` - **下行链路** 而内部局域网侧则通过GE0/0/2接口来进行相同的操作, ```shell [FW]interface GigabitEthernet0/0/2 [FW-GigabitEthernet0/0/2]vrrp vrid 2 virtual-ip Y.Y.Y.Y ``` 此处X.X.X.X代表外网出口处所使用的VIP;Y.Y.Y.Y则是内网访问时对应的VIP。 ##### (四)心跳检测路径规划 为了让主备切换更加稳定高效,建议额外建立一条专用的心跳线缆直连两台防火墙之间的一个未被占用的小型以太网电口,比如FE0/0/3, 并将其加入到HRP同步过程中去: ```shell [FW]interface Ethernet0/0/3 [FW-Ethernet0/0/3]hrp mirror interface Ethernet0/0/3 ``` 以上操作完成后即可形成完整的旁挂式双机热备结构框架。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值