防火墙双机热备,DHCP服务器,核心交换机负载分担及冗余设计

已于 2022-09-16 10:53:43 修改
阅读量7.8k 收藏 114
点赞数 12
文章标签: 网络安全 网络 网络协议 tcp/ip 服务器
于 2022-09-15 11:05:24 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/m0_63775189/article/details/126847451
版权

文章目录

  • 目录:
  • 一、防火墙双机热备技术概念
  • 、配合使用的相关技术指导
  • 三、设计要求及拓扑图
  • 四:配置过程及相应命令
  • 总结

一、防火墙热备概述:

        一般而言,防火墙部署于公司网络的出口位置,以便对进出公司的所有访问流量进行限制。然而,如果防火墙部署在公司网络出口位置,一旦防火墙发生故障,就会影响到整个网络业务。因此,为了提升防火墙的可靠性,可以类似路由交换设备中的VRRP技术一样,配置防火墙双机热备技术。
在防火墙双击热备架构中,当一台防火墙出现故障时,业务流量能平稳地切换到另一台防火墙上,保证流量业务不中断,使得对内外网用户透明,感知不到防火墙的故障。

二、本拓扑设计图涉及多种协议配置,其中包括:

1、Eth-Trunk链路捆绑
2、vlan 底层配置
3、MSTP多生成树
4、VRRP网关配置
5、DHCP中继
6、dhcp snooping配置

7、访问FTP控制列表
8、防火墙基础配置及双机热备
9、ISP1、ISP2及连接FW1、FW2核心交换机接口配置
10、OSPF配置
11、wlan配置

12、部分功能测试情况


三、设计要求:

1、内网终端能从DHCP服务器上自动获取IP地址

2、内网部门之间不能互访,且都能访问外网,会客厅不能访问内网FTP服务器

3、内部网络访问外网时优先走ISP1,当ISP1链路故障即切换到ISP2上

4、双机热备FW1为主要链路。FW2为备份链路,当FW1故障时,线路切换至FW2

5、核心交换机使用VRRP做负载分担及冗余设计,但其中一台设备故障能,能正常切换到另一台。

6、AC旁挂在SW2上,wlan配置会客厅无需密码即可登入,其他部门需要密码登入网络

拓扑图如下:

四:配置过程及相应命令:

1、核心交换机之间eth-trunk链路配置:

<Huawei>sy
Enter system view, return user view with Ctrl+Z.
[Huawei]sys LW1
[LW1]
[LW1]int eth-trunk 1  进入聚合端口
[LW1-Eth-Trunk1]mode lacp-static  定义为LACP模式
[LW1-Eth-Trunk1]po link-type tr
[LW1-Eth-Trunk1]po trunk allow-pass vlan all  允许所有流量通行
[LW1-Eth-Trunk1]trunkport GigabitEthernet 0/0/3 to 0/0/5  添加聚合端口

<sw>sy
Enter system view, return user view with Ctrl+Z.
[sw]sys LW2
[LW2]int eth-trunk 1
[LW2-Eth-Trunk1]mode lacp-static 
[LW2-Eth-Trunk1]po link-type tr
[LW2-Eth-Trunk1]po tr allow-pass vlan all
[LW2-Eth-Trunk1]trunkport GigabitEthernet 0/0/3 to 0/0/5

2、vlan二层配置:

LW1:
[LW1]vlan batch 10 20 30 40 50 200 201 111 
Info: This operation may take a few seconds. Please wait for a moment...done.
[LW1]int g0/0/6
[LW1-GigabitEthernet0/0/6]po link-type tr
[LW1-GigabitEthernet0/0/6]po tr allow-pass vlan 10 111
[LW1-GigabitEthernet0/0/6]int g0/0/7
[LW1-GigabitEthernet0/0/7]po link-type tr
[LW1-GigabitEthernet0/0/7]po tr allow-pass vlan 20 111
[LW1-GigabitEthernet0/0/7]int g0/0/8
[LW1-GigabitEthernet0/0/8]po link-type tr
[LW1-GigabitEthernet0/0/8]po tr allow-pass vlan 30 111
[LW1-GigabitEthernet0/0/8]int g0/0/9
[LW1-GigabitEthernet0/0/9]po link-type tr
[LW1-GigabitEthernet0/0/9]po tr allow-pass vlan 40 111
[LW1-GigabitEthernet0/0/9]int g0/0/10
[LW1-GigabitEthernet0/0/10]po link-type tr
[LW1-GigabitEthernet0/0/10]po tr allow-pass vlan 50 111
[LW1-GigabitEthernet0/0/10]int g0/0/1
[LW1-GigabitEthernet0/0/1]po link-ty ac
[LW1-GigabitEthernet0/0/1]po default vlan 200
[LW1-GigabitEthernet0/0/1]int g0/0/2
[LW1-GigabitEthernet0/0/2]po link-type ac
[LW1-GigabitEthernet0/0/2]po default vlan 201

LW2:
[LW2]vlan batch 10 20 30 40 50 100 101 
Info: This operation may take a few seconds. Please wait for a moment...done.
[LW2]vlan batch 111 102 200 201
Info: This operation may take a few seconds. Please wait for a moment...done.
[LW2]int g0/0/6
[LW2-GigabitEthernet0/0/6]po link-type tr
[LW2-GigabitEthernet0/0/6]po tr allow-pass vlan 10 111 100 101 102
[LW2-GigabitEthernet0/0/6]int g0/0/7
[LW2-GigabitEthernet0/0/7]po link-type tr
[LW2-GigabitEthernet0/0/7]po tr allow-pass vlan 20 100 101 102 111
[LW2-GigabitEthernet0/0/7]int g0/0/8
[LW2-GigabitEthernet0/0/8]po link-type tr
[LW2-GigabitEthernet0/0/8]po tr allow-pass vlan 30 100 101 102 111
[LW2-GigabitEthernet0/0/8]int g0/0/9
[LW2-GigabitEthernet0/0/9]po link-type tr
[LW2-GigabitEthernet0/0/9]po tr allow-pass vlan 40 100 101 102 111
[LW2-GigabitEthernet0/0/9]int g0/0/10 
[LW2-GigabitEthernet0/0/10]po link-type tr
[LW2-GigabitEthernet0/0/10]po tr allow-pass vlan 50 111
[LW2-GigabitEthernet0/0/10]int g0/0/1
[LW2-GigabitEthernet0/0/1]po link-type ac
[LW2-GigabitEthernet0/0/1]po de vlan 201 
[LW2-GigabitEthernet0/0/1]int g0/0/2
[LW2-GigabitEthernet0/0/2]po link-ty ac
[LW2-GigabitEthernet0/0/2]po de vlan 200

JR1:
<Huawei>sy
Enter system view, return user view with Ctrl+Z.
[Huawei]sys JR1
[JR1]vlan batch 10 20 30 40 50 111 100 101 102
Info: This operation may take a few seconds. Please wait for a moment...done.
[JR1]int g0/0/1 
[JR1-GigabitEthernet0/0/1]po link-ty tr
[JR1-GigabitEthernet0/0/1]po tr allow-pass vlan 10 111
[JR1-GigabitEthernet0/0/1]int g0/0/2
[JR1-GigabitEthernet0/0/2]po link-type tr
[JR1-GigabitEthernet0/0/2]po tr allow-pass vlan 10 111 100 101 102
[JR1-GigabitEthernet0/0/2]int g0/0/3 
[JR1-GigabitEthernet0/0/3]po link-ty ac
[JR1-GigabitEthernet0/0/3]po de vlan 10 
[JR1-GigabitEthernet0/0/3]int g0/0/4
[JR1-GigabitEthernet0/0/4]po link-ty tr
[JR1-GigabitEthernet0/0/4]po tr allow-pass vlan 100 101 102
[JR1-GigabitEthernet0/0/4]po tr pvid vlan 100

JR2:
<Huawei>sy
Enter system view, return user view with Ctrl+Z.
[Huawei]sys JR2
[JR2]vlan batch 10 20 30 40 50 111 100 101 102
Info: This operation may take a few seconds. Please wait for a moment...done.
[JR2]int g0/0/1 
[JR2-GigabitEthernet0/0/1]po link-ty tr
[JR2-GigabitEthernet0/0/1]po tr allow-pass vlan 20 111
[JR2-GigabitEthernet0/0/1]int g0/0/2
[JR2-GigabitEthernet0/0/2]po link-ty tr
[JR2-GigabitEthernet0/0/2]po tr allow-pass vlan 20 111 100 101 102
[JR2-GigabitEthernet0/0/2]int g0/0/3 
[JR2-GigabitEthernet0/0/3]po link-ty ac
[JR2-GigabitEthernet0/0/3]po de vlan 20 
[JR2-GigabitEthernet0/0/3]int g0/0/4
[JR2-GigabitEthernet0/0/4]po link-ty tr
[JR2-GigabitEthernet0/0/4]po tr allow-pass vlan 100 101 102
[JR2-GigabitEthernet0/0/4]po tr pvid vlan 100

JR3:
<Huawei>sy
Enter system view, return user view with Ctrl+Z.
[Huawei]sys JR3
[JR3]vlan batch 10 20 30 40 50 111 100 101 102
Info: This operation may take a few seconds. Please wait for a moment...done.
[JR3]int g0/0/1 
[JR3-GigabitEthernet0/0/1]po link-ty tr
[JR3-GigabitEthernet0/0/1]po tr allow-pass vlan 30 111
[JR3-GigabitEthernet0/0/1]int g0/0/2
[JR3-GigabitEthernet0/0/2]po link-ty tr
[JR3-GigabitEthernet0/0/2]po tr allow-pass vlan 30 111 100 101 102
[JR3-GigabitEthernet0/0/2]
[JR3-GigabitEthernet0/0/2]int g0/0/3 
[JR3-GigabitEthernet0/0/3]po link-ty ac
[JR3-GigabitEthernet0/0/3]po de vlan 30 
[JR3-GigabitEthernet0/0/3]int g0/0/4
[JR3-GigabitEthernet0/0/4]po link-ty tr
[JR3-GigabitEthernet0/0/4]po tr allow-pass vlan 100 101 102
[JR3-GigabitEthernet0/0/4]po tr pvid vlan 100

JR4:
<Huawei>sy
Enter system view, return user view with
最低0.47元/天 解锁文章
xiao吴1990
关注
核心交换机的四种关键技术:链路聚合、冗余、堆叠和热备份,真简单!
网络技术联盟站
06-01 3988
核心交换机的链路聚合、冗余、堆叠和热备份技术是确保网络高性能、高可靠性和高可用性的重要组成部分。这些技术的应用可以有效提升核心交换机的功能和性能,以满足不断增长的网络需求。
ensp典型中小型企业网搭建(带无线)
热门推荐
w2685797168的博客
03-10 2万+
设计规划的是一个公司的网络搭建,采用接入层、核心层、汇聚层三层网络。所有接入层汇聚层交换机运行MSTP和VRRP协议,做冗余备份,保护设备和链路稳定性。运行ospf动态路由协议,方便路由维护。使用dhcp动态分配地址,便于ip地址管理。出口采用防火墙设备,保护网络安全。同时在防火墙上做SNAT,可以让公司内网访问外网。在防火墙上做DNAT,可以让外部网络访问公司服务器,配置无线实现公司内网全覆盖
防火墙————负载分担双机热备
zj2059129607的博客
11-17 1294
VRRP(Virtual Router Redundancy Protocol)是一种容错协议,它保证当主机的下一跳路由器(默认网关)出现故障时,由备份路由器自动代替出现故障的路由器完成报文转发任务,从而保持网络通信的连续性和可靠性。在FW上配置VRRP时,是将两台FW上编号相同的接口加入一个VRRP备份组。一个VRRP备份组相当于一台虚拟路由设备,拥有虚拟IP地址和虚拟MAC地址。网络内主机将其网关设置为VRRP备份组的虚拟IP地址。这些主机都是通过虚拟路由器与外部网络通信。和。
企业网双核心交换机实现冗余负载均衡(MSTP+VRRP)
WXD优快云的博客
12-05 2778
企业网双核心交换机实现冗余负载均衡(MSTP+VRRP)
eNSP-防火墙冗余部署实操(双机热备-主备模式)
最新发布
2302_76629181的博客
03-30 1018
防火墙冗余部署实操,主备身份丝滑切换,解决网络通信中单点失效问题
系统设计说明书案例_大型自动化物流系统的冗余设计与案例分析
weixin_39894778的博客
11-13 648
第2225期冗余无处不在。如何通过冗余设计提升自动化物流系统可靠性、可用性,实现物流系统不间断运行的目标?全文共计 2860 字阅读时长约 7 分钟来源 | 物流技术与应用作者 |徐跃明、王磊(红云红河烟草(集团)有限责任公司)姚正亚、王响雷(昆明昆船物流信息产业有限公司)曾学(昆明船舶设备集团有限公司)冗余设计是提升自动化物流系统可靠性、可用性的主要方法之一。本文通过对大型自动化物流...
Centos 7.4 DHCP 双机热备
07-23
Centos 7.4 DHCP 双机热备 配置文档。
自学Linux:13.DHCP服务搭建
liyzmx的博客
12-02 337
一、DHCP服务简介 1. DHCP服务简介 DHCP(Dynamic Host Configuration Protocol,动态主机配置协议)是一个工作在应用层的局域网网络协议,数据传输时使用 UDP 不可靠传输协议工作,通常被应用在大型的局域网络环境中,主要作用是集中的管理、分配网络资源,使网络环境中的主机能动态的获得 IP地址、Gateway地址、DNS服务器地址等信息,并能够提升地址的使用率。 DHCP的前身是BOOTP协议(Bootstrap Protocol),BOOTP被创建出来为连接到网络
核心交换机的链路聚合、冗余、堆叠、热备份如何理解与配置
qq_23930765的博客
04-08 3562
核心交换机是整个网络的心脏,如果核心交换机发生致命性的故障,将导致本地网络的瘫痪,所造成的损失也是难以估计的。公司有2层楼,分别运行着不同的业务,本来两个楼层的网络是分开的,但都是一家公司难免会有业务往来,这时我们就可以打通两楼之前的网络,使具有相互联系的部门之间高速通信。如果备份核心交换机失效或者变成了活跃核心交换机,将由另外的核心交换机被选为备份核心交换机。为了保持网络的稳定性,在多台交换机组成的网络环境中,通常都使用一些备份连接,以提高网络的效率、稳定性,这里的备份连接也称为备份链路或者冗余链路。
防火墙双机热备
tyfx2015的博客
03-18 6827
防火墙双机热备1 简介介绍了双机热备的定义和由来。随着移动办公、网上购物、即时通讯、互联网金融、互联网教育等业务蓬勃发展,网络承载的业务越来越多,越来越重要。所以如何保证网络的不间断传输成为网络发展过程中急需解决的一个问题。如图1中的左图所示,防火墙部署在企业网络出口处,内外网之间的业务都会通过防火墙转发。如果防火墙出现故障,便会导致内外网之间的业务全部中断。由此可见,在这种网络关键位置上如果只使...
企业级三层组网校园网(详细交换机操作)
m0_74512585的博客
12-18 1138
配置VRRP虚拟组,SW1作为VLAN10 、20、1000、2000的主网关,作为VLAN30、40、50的备网关;SW2作为VLAN30、40、50的主网关,作为VLAN10 、20、1000、2000的备网关。MSTP同VRRP一样,SW1作为VLAN10 、20、1000、2000的主根桥,作为VLAN30、40、50的备用根桥。无线采用AC+AP的方式,AC旁挂在核心层交换机上,VLAN200作为AC的管理VLAN,VLAN2000作为AP的业务网段,VLAN1000作为无线接入终端的业务网段。
Ensp毕业设计—高可靠性企业网络设计与实现
数维网络的博客
08-29 5428
不过需要注意的是保持VRRP与MSTP的主备统一,比如VLAN111、121、131的根桥在A设备上,对应的VRRP网关,也应该以A为主,B为备用。共计800个信息点。公司通过设计层次化网络结构,把不同部门的流量进行区分,对快速增长的部门按需增加对应的接入层设备,保证公司发展的同时也降低了成本。考虑到公司拥有多个部门,某些部门有网络隔离的需求,因此IP地址划分,将使用子网划分的方式来对每个部门进行规划,每一个部门使用单独的一个24位子网网段,保证连续性的同时还方便后续做汇总与一些路由策略[8]。
第20节 核心交换机配置热备份详解及实验演示—基于Cisco Packet Tracer
m0_64378913的博客
01-29 1万+
核心交换机配置热备份详解及实验演示1 网络规划1.1 核心交换机的重要性及作用1.2 对核心交换机做热备份2 拓扑图分析2.1 网络环路问题及解决方案2.1.1 网络环路问题2.1.2 二层环路解决方案2.2 核心交换机中配置热备份HSRP3 实验步骤及配置命令3.1 实验思路3.2 实验部署及命令3.3 实验结果3.4 拓展4 归纳参考文章 1 网络规划 1.1 核心交换机的重要性及作用 (1)重要性:核心交换机作为公司信息通信的交通枢纽,对外连接路由器,对内连接各二层交换机,是
思科交换机冗余星形设计,附带sw1核心交换机配置
weixin_40704392的博客
10-08 1363
以太网设计冗余星形。这意味着每个本地开关(Catalyst 2960)都连接到每个主开关(Catalyst 3750)。由于不同VLAN之间的路由(参见本章)是由主交换机完成的,因此在本地交换机或主交换机上的连接断开的情况下,此功能也可以工作。 两台主交换机都配置为冗余路由器,使用Cisco热备用路由器协议将虚拟IP地址连接在一起。所有设备的网关地址是各自子网之外的虚拟地址。 sw1 程序 vlan 400 name l1 exit ! vlan 500 name l2 exit ! vlan 600
第二十期:核心交换机的链路聚合、冗余、堆叠、热备份
歌谣的博客
10-17 3200
链路聚合是将两个或更多数据信道结合成一个单个的信道,该信道以一个单个的更高带宽的逻辑链路出现。 一、链路聚合 链路聚合是将两个或更多数据信道结合成一个单个的信道,该信道以一个单个的更高带宽的逻辑链路出现。 链路聚合一般用来连接一个或多个带宽需求大的设备,例如连接骨干网络服务器服务器群。它可以用于扩展链路带宽,提供更高的连接可靠性。 1. 举例 公司有2层楼,分别运行着不同的业务...
防火墙冗余基础知识+实验检测
代码其实很简单
07-16 1366
1、注意防火墙冗余时的会话表必须保持一致,这里HRP技术已经做到2、vrrp是自动开启抢占的,且是根据优先级进行抢占的3、免费ARP的作用:告诉交换机的某个IP的mac地址变成了我的这个mac地址4、HRP --HRP进行双机热备是在网络已经完全欧克了,搭建好了才开始进行冗余热备的;黑名单和白名单是有老化时间的5、以前的路由器上必须是:虚拟网关和真实接口IP必须在同一个网段但是现在在防火墙是可以这样干的,虚拟网关绑定的真实IP可以不在一个网段6、用户有一个mac地址缓存表。安全策略只是抓取数据层面的流量
DHCP集群-(双机热备DHCP主从服务器)
weixin_73460492的博客
04-08 3725
本文档旨在为初学者提供关于DHCP双机热备和主从服务器配置的简明指导。DHCP双机热备是一种确保DHCP服务高可用性的解决方案,通过部署两台服务器来避免单点故障,保证在网络设备请求IP地址时服务的连续性和稳定性
推荐阅读 | 自动化物流系统瘫痪了,怎么办?!
nickelwang的博客
08-14 538
导语大家好,我是智能仓储物流技术研习社的社长,老K。冗余设计是提升自动化物流系统可靠性、可用性的主要方法之一,冗余设计可提升自动化物流系统可靠性、可用性,实现物流系统不间断运行的目标。一...
centos7双机搭建_centos7 DHCP搭建双机热备 集群
weixin_39803207的博客
12-19 590
Centos7搭建Dhcp服务说明2020年8月目录项目背景1.1 网络DHCP的现状1.2 新网络DHCP设计搭建DHCP环境说明2.1 准备实验环境1 准备服务器硬件搭建环境2 安装配置DHCP服务配置服务中继1.项目背景1.1目前DHCP服务现状目前公司内部使用的是2008系统搭建的DHCP服务,单机应用,内部网段较多,为公司提供IP地址服务,存在单节点故障风险;现2008系统已经不再...
负载分担防火墙双机热备配置
09-24
负载分担防火墙双机热备配置中,需要进行以下步骤: 1. 启用HRP协议:HRP(Huawei Redundancy Protocol)协议用于实现动态状态数据和关键配置命令的备份。在双机热备组网中,主防火墙出现故障时,所有流量将切换...
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值