防火墻雙機熱備命令行配置方案
作者:圈圈
ID:wljsghq
實驗要求
部署防火墻雙機熱備,避免防火墻出現單點故障而導致的網絡癱瘓
進行故障模擬,在雙機熱備的部署完成之后,關閉主設備,查看業務連通性是否收到影響
連通性要求:
內網用戶可以訪問外網、服務器
外網用戶可以訪問服務器
在這里插入圖片描述
實驗內容
步驟一
搭建拓撲,規劃網段。配置終端和防火墻各個接口IP地址。
FW1:
[USG6000V1]int g1/0/0 [USG6000V1-GigabitEthernet1/0/0]ip ad 192.168.1.253 24 [USG6000V1]int g1/0/1 [USG6000V1-GigabitEthernet1/0/1]ip ad 202.196.1.253 24 [USG6000V1-GigabitEthernet1/0/1]int g1/0/2 [USG6000V1-GigabitEthernet1/0/2]ip ad 10.0.0.253 24 [USG6000V1-GigabitEthernet1/0/2]int g1/0/3 [USG6000V1-GigabitEthernet1/0/3]ip ad 10.0.12.1 24
FW2:
[USG6000V1]int g1/0/1 [USG6000V1-GigabitEthernet1/0/1]ip ad 192.168.1.252 24 [USG6000V1-GigabitEthernet1/0/1]int g1/0/0 [USG6000V1-GigabitEthernet1/0/0]ip ad 10.0.0.252 24 [USG6000V1-GigabitEthernet1/0/0]int g1/0/3 [USG6000V1-GigabitEthernet1/0/3]ip ad 10.0.12.2 24 [USG6000V1-GigabitEthernet1/0/3]int g1/0/2 [USG6000V1-GigabitEthernet1/0/2]ip ad 202.196.1.252 2
步驟二
根據拓撲,將接口劃入對應的安全區域。
注意:兩個防火墻之間的心跳接口要必須放進信任區域
FW1:
[USG6000V1]firewall zone trust [USG6000V1-zone-trust]add interface g1/0/0 [USG6000V1-zone-trust]ad interface g1/0/3 [USG6000V1-zone-trust]q [USG6000V1]firewall zone untrust [USG6000V1-zone-untrust]ad in g1/0/1 [USG6000V1-zone-untrust]q USG6000V1]firewall zone dmz [USG6000V1-zone-dmz]ad in g1/0/2
FW2:
[USG6000V1]firewall zone trust [USG6000V1-zone-trust]ad in g1/0/3 [USG6000V1-zone-trust]ad in g1/0/1 [USG6000V1-zone-trust]q [USG6000V1]firewall zone untrust [USG6000V1-zone-untrust]ad in g1/0/2 [USG6000V1]firewall zone dmz [USG6000V1-zone-dmz]ad in g1/0/0
步驟三
配置VRRP備份組
主設備:FW1
[USG6000V1]int g1/0/0 [USG6000V1-GigabitEthernet1/0/0]vrrp vrid 1 virtual-ip 192.168.1.254 active [USG6000V1-GigabitEthernet1/0/0]int g1/0/2 [USG6000V1-GigabitEthernet1/0/2]vrrp vrid 2 virtual-ip 10.0.0.254 active [USG6000V1-GigabitEthernet1/0/2]int g1/0/1 [USG6000V1-GigabitEthernet1/0/1]vrrp vrid 3 virtual-ip 202.196.1.254 active
備份設備:FW2
[USG6000V1]int g1/0/0 [USG6000V1-GigabitEthernet1/0/0]vrrp vrid 2 virtual-ip 10.0.0.254 standby [USG6000V1-GigabitEthernet1/0/0]int g1/0/1 [USG6000V1-GigabitEthernet1/0/1]vrrp vrid 1 virtual-ip 192.168.1.254 standby [USG6000V1-GigabitEthernet1/0/1]int g1/0/2 [USG6000V1-GigabitEthernet1/0/2]vrrp vrid 3 virtual-ip 202.196.1.254 standby
我們可以通過display vrrp interface G1/0/3來查看VRRP備份組中的接口狀態信息
步驟四
開啟HRP協議并配置心跳接口和會話備份功能
FW1:
[USG6000V1]hrp enable //開啟HRP功能,開啟后提示符出現HRP_M(Master) HRP_M[USG6000V1]hrp interface g1/0/3 remote 10.0.12.2 //指定心跳口: hrp interface [心跳口] remote [鄰居心跳口IP地址] HRP_M[USG6000V1]hrp mirror session enable //啟動會話快速備份
FW2:
[USG6000V1]hrp enable ////開啟HRP功能,開啟后提示符出現HRP_S(standby) HRP_S[USG6000V1]hrp interface g1/0/3 remote 10.0.12.1 HRP_S[USG6000V1]hrp mirror session enable
我們可以通過dis hrp state查看HRP狀態
步驟五
配置安全策列,是內網用戶可以訪問服務器和外網用戶;外網用戶只能訪問服務器
注意:只需要配置Master即可,Backup設備不用配置,配置命令會自動從主設備備份到備份設備。
FW1:
HRP_M[USG6000V1]security-policy (+B) //(+B)的意思為配置同時備份到備份設備。 HRP_M[USG6000V1-policy-security]rule name t2ud (+B) HRP_M[USG6000V1-policy-security-rule-t2ud]source-zone trust (+B) HRP_M[USG6000V1-policy-security-rule-t2ud]destination-zone untrust dmz (+B) HRP_M[USG6000V1-policy-security-rule-t2ud]action permit (+B) HRP_M[USG6000V1-policy-security-rule-t2ud]q HRP_M[USG6000V1-policy-security]rule name u2d (+B) HRP_M[USG6000V1-policy-security-rule-u2d]source-zone untrust (+B) HRP_M[USG6000V1-policy-security-rule-u2d]destination-zone dmz (+B) HRP_M[USG6000V1-policy-security-rule-u2d]action permit (+B)
驗證
內網PC能夠ping通服務器與外網PC
外網PC能ping通服務器,但是不能ping通內網PC
內網PC 
外網PC
步驟六
將Master設備(FW1)關閉,模擬Master設備宕機,驗證在Master設備宕機之后,網絡的連通性。
驗證
驗證發現,所有前期會有一定的丟包,但是網絡連通性正常,依然能夠正常通信。
審核編輯:湯梓紅
聲明:本文內容及配圖由入駐作者撰寫或者入駐合作網站授權轉載。文章觀點僅代表作者本人,不代表電子發燒友網立場。文章及其配圖僅供工程師學習之用,如有內容侵權或者其他違規問題,請聯系本站處理。
舉報投訴
-
接口
+關注
關注
33文章
8526瀏覽量
150861 -
服務器
+關注
關注
12文章
9029瀏覽量
85205 -
防火墻
+關注
關注
0文章
416瀏覽量
35594 -
ip地址
+關注
關注
0文章
295瀏覽量
17009 -
命令行
+關注
關注
0文章
77瀏覽量
10382
原文標題:防火墻雙機熱備命令行配置
文章出處:【微信號:網絡技術干貨圈,微信公眾號:網絡技術干貨圈】歡迎添加關注!文章轉載請注明出處。
發布評論請先 登錄
相關推薦
發現 STM32 防火墻的安全配置
里提供了幾個不同的防火墻配置。那么問題來了,什么是STM32防火墻的應該使用的安全配置呢?本文以STM32參考手冊為基礎,以最大化安全為目標,來探索發現STM32
發表于 07-27 11:04
談防火墻及防火墻的滲透技術
談防火墻及防火墻的滲透技術
傳統的防火墻工作原理及優缺點:
1.(傳統的)包過濾防火墻的工作原理
包過濾是在IP層實現的,因
發表于 08-01 10:26
?1045次閱讀
防火墻的控制端口
防火墻的控制端口
防火墻的控制端口通常為Console端口,防火墻的初始配置也是通過控制端口(Console)與PC機(通常是便于移動的筆記本電腦)的串口(RS-232
發表于 01-08 10:37
?1085次閱讀
ubuntu查看防火墻狀態
LInux原始的防火墻工具iptables由于過于繁瑣,所以ubuntu系統默認提供了一個基于iptable之上的防火墻工具ufw。而UFW支持圖形界面操作,只需在命令行運行ufw命令
發表于 11-22 17:13
?1.4w次閱讀
什么是防火墻?防火墻如何工作?
防火墻是網絡與萬維網之間的關守,它位于網絡的入口和出口。 它評估網絡流量,僅允許某些流量進出。防火墻分析網絡數據包頭,其中包含有關要進入或退出網絡的流量的信息。然后,基于防火墻上配置的
防火墻在云計算安全方案中的應用方案
防火墻旁掛在云計算網絡的核心交換機上,通過虛擬系統隔離網絡中的虛擬機業務。同時,防火墻形成雙機熱備狀態,提高業務的可靠性。
工商網監
評論