防火墙旁挂部署+故障切换

最新推荐文章于 2025-03-07 10:29:16 发布
最新推荐文章于 2025-03-07 10:29:16 发布
阅读量1k 收藏 9
点赞数 9
文章标签: 服务器 数据库 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_55707182/article/details/144408455
版权

一、实验环境

华为ENSP

二、拓扑

三、目的

1、内网PC1访问Server

2、防火墙旁挂部署,对流量进行过滤,防火墙挂掉之后,内网PC1能继续访问到Server

3、防火墙恢复正常后,流量能回切至防火墙转发

四、思路:

1、AR1配置策略路由,下一跳指向防火墙的172.16.1.2,联动NQA,持续探测172.16.1.2

2、同时配置一条默认路由指向223.5.5.5 策略路由应用在AR1的G4/0/0接口inbound方向(备用线路)

反向的策略路由同理

3、防火墙只需配置好IP地址,加入安全区域,写一条默认路由指向172.16.1.5(这里忽略掉防火墙策略路由哈,可以全放)

五、配置文件

AR1配置文件

nqa test-instance 3000 1 
 test-type icmp
 destination-address ipv4 172.16.1.2
 frequency 10
 interval seconds 3
 timeout 2
 probe-count 2
 start now
nqa test-instance 3001 1 
 test-type icmp
 destination-address ipv4 172.16.1.6
 frequency 10
 interval seconds 3
 timeout 2
 probe-count 2
 start now

interface GigabitEthernet0/0/0
 ip address 223.5.5.6 255.255.255.0 
 traffic-policy 3001 inbound
#
interface GigabitEthernet0/0/1
 ip address 172.16.1.5 255.255.255.252 
#
interface GigabitEthernet0/0/2
 ip address 172.16.1.1 255.255.255.252 
#
interface GigabitEthernet4/0/0
 ip address 192.168.0.254 255.255.255.0 
 traffic-policy 3000 inbound

acl number 3000  
 rule 5 permit ip source 192.168.0.0 0.0.0.255 
acl number 3001  
 rule 5 permit ip destination 192.168.0.0 0.0.0.255 
#
traffic classifier 3001 operator or
 if-match acl 3001
traffic classifier 3000 operator or
 if-match acl 3000
#
traffic behavior 3001
 redirect ip-nexthop 172.16.1.6 track nqa 3001 1
traffic behavior 3000
 redirect ip-nexthop 172.16.1.2 track nqa 3000 1
#
traffic policy 3001
 classifier 3001 behavior 3001
traffic policy 3000
 classifier 3000 behavior 3000

ip route-static 0.0.0.0 0.0.0.0 223.5.5.5

SW1无配置

PC1

Server

六、效果

此时可以看出流量已经过了防火墙

这里我防火墙创建一条策略方便查看流量

此时持续ping,同时关闭防火墙,发现丢了几个包,后面又通了

此时检查一下路径发现已经切换,之后从AR1的G0/0/0接口出去

此时再持续ping 把防火墙打开

发现丢了两个包之后,流量已完成回切,此处实验已完成

七、NQA部分命令注释(仅供参考,具体以实际网络环境为准)

nqa test-instance 3000 1    #创建1个实例
 test-type icmp           #探测类型icmp
 destination-address ipv4 172.16.1.2         #探测地址172.16.1.2
 frequency 10               #每10秒探测一次
 interval seconds 3        #每个icmp包的间隔3秒
 timeout 2                 #超时时间 2秒
 probe-count 2             #每次探测发送2个icmp包
 start now                 #现在开启探测

查看探测结果

重点关注探测结果和丢包率

此处显示探测成功、丢包率0%(正常)

防火墙部署 - PBR方式
阿呆花湖雨的博客
02-01 1016
所有配置均基于HCL配置。基于PBR,不改变现有拓扑的方式进行防火墙的引流。
防火墙学习3---防火墙交换机,交换机静态路由引流(主备部署
weixin_48030849的博客
05-13 4213
备注:本人学习华为防火墙的笔记记录方式,如有错误,请指出。
防火墙组网
weixin_73298423的博客
03-07 318
分析拓扑结构,涉及路由器、交换机、防火墙。步骤包括基础 IP 配置、OSPF、防火墙双机热备、安全策略等。第一步,路由器配置。R5、R6 连接 ISP 和核心交换机,配置接口 IP,然后 OSPF。然后防火墙,双机热备的 HRP、VRRP,还有安全策略。接着交换机,划分 VLAN,配置 TRUNK,加入 OSPF。
网络安全--防火墙部署方式和高可靠性技术
weixin_65685029的博客
09-25 4268
防火墙防火墙部署方式,防火墙高可靠技术,配置VRRP双机备份
关于防火墙的问题
luoyunjie123456789的博客
01-07 9530
实验拓扑: 实验环境: PC1: IP:192.168.1.1 网关地址:192.168.1.254 PC2: IP:192.168.2.2 网关地址:192.168.2.254 R1: G0/0/0:192.168.1.254 G0/0/1:192.168.2.254 g0/0/2:12.1.1.1 g4/0/0::13.1.1.1 FW3:g0/0/0:12.1.1....
防火墙 —— 初级
2401_84389418的博客
04-15 1065
防火墙配置
防火墙(USG6000V)实验
weixin_72910567的博客
06-09 3699
本实验通过配置防火墙,实现了内网用户访问外网的安全过滤功能。通过配置策略路由,将内网用户访问外网的流量(回包)重定向到防火墙上,使流量经过防火墙的安全检测后再返回交换机。通过配置DHCP服务,为内网用户分配IP地址。通过配置安全策略,控制不同区域之间的流量访问权限。本实验加深了对防火墙的理解和应用,提高了网络安全性。
华三防火墙部署三种方式之子接口
解不开的未知数
03-13 9576
为什么需要部署:原有组网复杂 好处:物理上的路,逻辑上的串联 1.防火墙子接口形式部署 配置原理: loo0是为了方便测试使用,实际组网此处是属于公网。 需要实现的目的:让进来的流量先经过防火墙再回到交换机,出去的流量先流经防火墙,再经过交换机上行出去,同时如果防火墙故障或者损坏,可以利用在路由器或者交换机上设置NQA来实现路由切换达到防火墙损坏不影响整体网络。 主要用到...
防火墙Failover故障切换
Goallegoal的博客
04-16 1420
防火墙Failover故障切换 Failover概述 故障切换/HA,用于实现设备冗余,将两台防火墙虚拟成一台,实现主备切换。 Failover分类 状态化Failover:除了传递配置,还传递状态化表。 无状态Failover:只传输配置。 Failover部署 两台防火墙之间由两根线缆进行连接,可以将这两跟线缆称为心跳线,用来在主备防火墙之间传递配置和状态表。 实际的部署中不会拿三台交换机来...
MySQL——MHA高可用集群部署故障切换
Linux运维老纪的博客
08-11 998
MHA(MasterHigh Availability)是一套优秀的MySQL高可用环境下故障切换和主从复制的软件。MHA 的出现就是解决MySQL 单点的问题。MySQL故障切换过程中,MHA能做到0-30秒内自动完成故障切换操作。MHA能在故障切换的过程中最大程度上保证数据的一致性,以达到真正意义上的高可用。本章详细讲解MySQL高可用集群部署
MySQL MHA高可用集群部署故障切换
Pyy0928的博客
03-02 322
文章目录MySQL MHA一、MHA概念1、MHA 的组成2、MHA 的特点二、搭建MySQL+MHA实验思路1、所有服务器,关闭系统防火墙和安全机制2、修改三台MySQL服务器的主配置文件/etc/my.cnf3、配置MySQL一主两从4、主从复制验证5、安装 MHA 软件6、在所有服务器上配置无密码认证7、在 manager 节点上配置 MHA8、故障模拟故障修复 MySQL MHA 一、MHA概念 MHA(MasterHigh Availability)是一套优秀的MySQL高可用环境下故障切换和主
mysql+MHA 主从复制 故障切换
mwx17630337353的博客
05-26 1172
超详细的奶妈级mysql高可用教程 无脑复制 即可!!!!
防火墙(VRF&VFW)
weixin_43311721的博客
01-09 2650
核心利用VRF方式将流量引流到FW进行检测,检测后FW回注到核心全局路由表;FW在此基础上还可以部署VFW,允许不同的VPN实例通信
网络中新增一台防火墙设备,如何配置单臂和双臂部署网络中?
衡水铁头哥的博客
12-07 1748
假设有这样一张网络,某企业有两个办公站点,均具备公网IP地址,两个站点之间建立了GRE隧道,使得两张办公网之间可以通过内网互相访问。现在出于安全考虑,需要在站点1增加一台防火墙设备,使得两个内网之间互放的流量均经过防火墙进行安全防护。为减小对业务的影响,防火墙设备采用在出口路由器的部署方式,配置引流实现互访流量经过防火墙设备。一般来讲,以方式部署防火墙设备有两种方式,一种是双臂,如下图...
华为防火墙总部加多分部ipsec-vpn nat穿越,vpn核心式组网案例命令行和web配置
IT技术
11-28 4836
华为防火墙总部加多分部ipsec-vpn nat穿越,vpn核心式组网案例命令行和web配置
H3C防火墙单机部署(网关在防火墙)
qq_23930765的博客
05-09 4494
此时流量从g1/0/3(trust)进入设备,从1/0/3(trust)出设备,所以策略的匹配条件是trust到trust,源地址为172.16.10.0/24,目的地址为172.16.20.0/24,不配置规则动作为action pass,默认就是拒绝。此时流量从g1/0/3(trust)进入设备,从g1/0/2(trust)出设备,所以需要放行trust到untrust源地址为172.16.10.0/24、172.16.20.0/24和172.16.30.0/24的流量。
防火墙、和热备
tang_jun_yi的博客
09-24 459
interface GigabitEthernet0/0/0 undo shutdown ip binding vpn-instance default ip address 172.25.254.2 255.255.255.0 alias GE0/METH service-manage http permit service-manage https permit service-manage ping permit service-manage ssh permit service-m
52.华为组网:核心交换机防火墙,基于ACL重定向配置实验
迷逝
03-13 2202
如图所示,由于业务需要,用户有访问Internet的需求。用户通过接入层交换机SwitchB和核心层交换机SwitchA以及接入网关Router与Internet进行通信。为了保证数据和网络的安全性,用户希望保证Internet到服务器全部流量的安全性,配置重定向将外网到内网的全部流量送至防火墙进行安全过滤。配置思路。
H3C华三防火墙
热门推荐
weixin_45457085的博客
12-09 1万+
适用场景: 防火墙部署 注意事项: 1.接入与汇聚都是二层部署,流量之间可以透传到防火墙 2.防火墙与汇聚交换机之间双线互联,一条做子接口起网关剥掉VLAN,一条做三层口用来路由,保证来回流量路径一致 3.汇聚与核心之间可以不通过OSPF,直接指静态路由,接入端VLAN比较多还是推荐动态协议比较方便。 配置思路: 1.首先配置接入与汇聚,打通二层。 2.配置防火墙与汇聚的互联与起网关 3.配通汇聚与接入OSPF 4.测试配置 配置开始 接入交换机上: vlan 2...
Cannot run program "D:\MBD_Develop\KM2210_Mode_V1.2\Debug_FLASH\KM2210_App.elf": Launching failed
最新发布
03-16
### 解决方案 程序运行失败并提示 `Cannot run program 'KM2210_App.elf'` 的问题可能涉及多个方面的原因,包括但不限于依赖库缺失、环境配置不正确以及目标文件路径错误等。以下是针对该问题的具体分析和解决方法: #### 1. **检查目标文件是否存在** 确认 `KM2210_App.elf` 文件是否存在于指定目录下。如果文件不存在,则需要重新编译项目或将正确的可执行文件放置到相应位置。 ```bash ls /path/to/your/executable/ ``` 如果未找到目标文件,可以尝试重新构建工程以生成新的 `.elf` 文件[^3]。 --- #### 2. **验证动态链接库的完整性** 类似于引用中的 `libssl.so.1.1` 缺失问题[^2],当前问题也可能由于某些必要的共享对象文件(`.so` 或其他平台特定的动态库)未能加载而导致失败。可以通过以下命令检查是否有任何未满足的依赖项: ```bash ldd KM2210_App.elf ``` 此操作会列出所有所需的动态库及其状态。如果有标记为“not found”的条目,则需安装对应的库版本或调整其路径至系统的动态库搜索范围中。 --- #### 3. **确保 CUDA 环境适配** 根据引用内容提到的 CUDA 版本兼容性问题[^1],如果您的应用程序依赖于 NVIDIA CUDA 工具链,请仔细核对已安装的 CUDA 和 cuDNN 是否匹配应用需求。例如,若系统仅支持 CUDA 10.0 而您却试图调用更高版本的功能模块,则可能导致类似的启动异常。 建议卸载现有 CUDA 并按照官方文档指引重装适合的目标版本。 --- #### 4. **排查 chrome_elf.dll 类型的外部组件冲突** 尽管主要问题是关于 ELF 可执行文件无法正常工作,但部分情况下 Windows DLL 文件如 `chrome_elf.dll` 的存在与否也会影响跨平台工具的行为模式[^4]。因此,在多操作系统混合部署场景里务必留意此类潜在干扰因素的存在。 对于 Linux 用户而言,通常无需关注这些专属于 Microsoft 生态圈内的资源;但对于那些采用 Wine 或 Cygwin 来模拟 WinAPI 表现的应用来说则不然——它们可能会间接受到上述条件的影响而表现出奇怪的症状来。 --- #### 5. **调试日志深入挖掘** 最后一步也是最为重要的环节之一便是启用详尽的日志记录功能以便获取更多上下文线索用于进一步诊断。大多数现代 IDE 都提供了内置的支持选项可以帮助开发者快速定位根本原因所在之处。 例如在 Eclipse CDT 中设置断点或者通过 GDB 命令行界面手动附加进程均是非常有效的手段: ```c++ (gdb) break main Breakpoint 1 at 0x4005b0: file src/main.c, line 7. (gdb) run Starting program: /home/user/KM2210_App.elf ... ``` --- ### 总结 综上所述,要彻底解决 `Cannot run program 'KM2210_App.elf'` 这一难题需要从以下几个角度出发逐一排除可能性直到最终锁定确切诱因为止:首先是核实主体二进制本身的状态完好无损;其次是审查整个软件栈内部各层次间相互作用关系有否断裂现象发生;再次则是借助辅助技术设施收集尽可能丰富的证据材料辅助判断过程顺利推进下去。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

I love this bad girl

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值