tft每日頭條

 > 生活

 > 華為防火牆雙機熱備組網方式

華為防火牆雙機熱備組網方式

生活 更新时间:2025-02-25 00:18:46

簡介:虛拟路由冗餘協議(Virtual Router Redundancy Protocol,簡稱VRRP)是由IETF提出的解決局域網中配置靜态網關出現單點失效現象的路由協議。VRRP是一種容錯協議,它保證當主機的下一跳路由器出現故障時,由另一台路由器來代替出現故障的路由器進行工作,從而保持網絡通信的連續性和可靠性。它既不需要改變組網情況,也不需要在主機上做任何配置,隻需要在相關路由器上配置極少的幾條命令,就能實現下一跳網關的備份,并且不會給主機帶來任何負擔。和其他方法比較起來,VRRP更加能夠滿足用戶的需求。

VRRP将局域網内的一組路由器劃分在一起,形成一個VRRP備份組,它在功能上相當于一台虛拟路由器,使用虛拟路由器号進行标識。虛拟路由器有自己的虛拟IP地址和虛拟MAC地址,它的外在表現形式和實際的物理路由器完全一樣。局域網内的主機将虛拟路由器的IP地址設置為默認網關,通過虛拟路由器與外部網絡進行通信。虛拟路由器是工作在實際的物理路由器之上的。它由多個實際的路由器組成,包括一個Master路由器和多個Backup路由器。Master路由器正常工作時,局域網内的主機通過Master與外界通信。當Master路由器出現故障時,Backup路由器中的一台設備将成為新的Master路由器,接替轉發報文的工作。

本文主要介紹華為防火牆使用VRRP協議部署雙機熱備的配置過程。詳細内容參考下文。

一、登陸防火牆

華為防火牆雙機熱備組網方式(華為防火牆基礎指令)1

二、登陸配置視圖

華為防火牆雙機熱備組網方式(華為防火牆基礎指令)2

三、配置雙機熱備

配置如下:

華為防火牆雙機熱備組網方式(華為防火牆基礎指令)3

需求說明:集團兩台防火牆FW的業務接口都工作在三層,上下行分别連接交換機。上行交換機連接運營商的接入點,運營商為企業分配的IP地址為1.1.1.1。現在希望兩台FW以雙機熱備的方式工作。正常情況下,流量通過FW_A轉發。當FW_A出現故障時,流量通過FW_B轉發,保證業務不中斷。

1、配置FW各接口(接口1、3、7)的IP地址。配置步驟如下

#FW_A防火牆的配置

[FW_A] interface GigabitEthernet 0/0/1

[FW_A-GigabitEthernet0/0/1] ip address 10.2.0.1 24

[FW_A-GigabitEthernet0/0/1] quit

[FW_A] interface GigabitEthernet 0/0/3

[FW_A-GigabitEthernet0/0/3] ip address 10.3.0.1 24

[FW_A-GigabitEthernet0/0/3] quit

[FW_A] interface GigabitEthernet 0/0/7

[FW_A-GigabitEthernet0/0/7] ip address 10.10.0.1 24

[FW_A-GigabitEthernet0/0/7] quit

華為防火牆雙機熱備組網方式(華為防火牆基礎指令)4

#FW_B防火牆的配置

[FW_B] interface GigabitEthernet 0/0/1

[FW_B-GigabitEthernet0/0/1] ip address 10.2.0.2 24

[FW_B-GigabitEthernet0/0/1] quit

[FW_B] interface GigabitEthernet 0/0/3

[FW_B-GigabitEthernet0/0/3] ip address 10.3.0.2 24

[FW_B-GigabitEthernet0/0/3] quit

[FW_B] interface GigabitEthernet 0/0/7

[FW_B-GigabitEthernet0/0/7] ip address 10.10.0.2 24

[FW_B-GigabitEthernet0/0/7] quit

華為防火牆雙機熱備組網方式(華為防火牆基礎指令)5

2、将FW_A和FW_B各接口(接口1、3、7)加入相應的安全區域。配置步驟如下

#FW_A防火牆的配置

[FW_A] firewall zone trust

[FW_A-zone-trust] add interface GigabitEthernet 0/0/3

[FW_A-zone-trust] quit

[FW_A] firewall zone dmz

[FW_A-zone-dmz] add interface GigabitEthernet 0/0/7

[FW_A-zone-dmz] quit

[FW_A] firewall zone untrust

[FW_A-zone-untrust] add interface GigabitEthernet 0/0/1

[FW_A-zone-untrust] quit

華為防火牆雙機熱備組網方式(華為防火牆基礎指令)6

#FW_B防火牆的配置

[FW_B] firewall zone trust

[FW_B-zone-trust] add interface GigabitEthernet 0/0/3

[FW_B-zone-trust] quit

[FW_B] firewall zone dmz

[FW_B-zone-dmz] add interface GigabitEthernet 0/0/7

[FW_B-zone-dmz] quit

[FW_B] firewall zone untrust

[FW_B-zone-untrust] add interface GigabitEthernet 0/0/1

[FW_B-zone-untrust] quit

華為防火牆雙機熱備組網方式(華為防火牆基礎指令)7

3、配置虛拟路由冗餘協議VRRP的備份組。配置步驟如下

需求說明一:在FW_A上行業務接口GE0/0/1上配置VRRP備份組1,并設置其狀态為Active。在FW_B上行業務接口GE0/0/1上配置VRRP備份組1,并設置其狀态為Standby。

#FW_A防火牆的配置

[FW_A] interface GigabitEthernet 0/0/1

[FW_A-GigabitEthernet0/0/1] vrrp vrid 1 virtual-ip 1.1.1.1 24 active

[FW_A-GigabitEthernet0/0/1] quit

華為防火牆雙機熱備組網方式(華為防火牆基礎指令)8

#FW_B防火牆的配置

[FW_B] interface GigabitEthernet 0/0/1

[FW_B-GigabitEthernet0/0/1] vrrp vrid 1 virtual-ip 1.1.1.1 24 standby

[FW_B-GigabitEthernet0/0/1] quit

華為防火牆雙機熱備組網方式(華為防火牆基礎指令)9

需求說明二:在FW_A下行業務接口GE0/0/3上配置VRRP備份組2,并設置其狀态為Active。在FW_B下行業務接口GE0/0/3上配置VRRP備份組2,并設置其狀态為Standby。

#FW_A防火牆的配置

[FW_A] interface GigabitEthernet 0/0/3

[FW_A-GigabitEthernet0/0/3] vrrp vrid 2 virtual-ip 10.3.0.3 active

[FW_A-GigabitEthernet0/0/3] quit

華為防火牆雙機熱備組網方式(華為防火牆基礎指令)10

#FW_B防火牆的配置

[FW_B] interface GigabitEthernet 0/0/3

[FW_B-GigabitEthernet0/0/3] vrrp vrid 2 virtual-ip 10.3.0.3 standby

[FW_B-GigabitEthernet0/0/3] quit

華為防火牆雙機熱備組網方式(華為防火牆基礎指令)11

4、接口7配置心跳功能并啟用雙機熱備功能。配置步驟如下

#FW_A防火牆的配置

[FW_A] hrp interface GigabitEthernet 0/0/7 remote 10.10.0.2

[FW_A] hrp enable

華為防火牆雙機熱備組網方式(華為防火牆基礎指令)12

#FW_B防火牆的配置

[FW_B] hrp interface GigabitEthernet 0/0/7 remote 10.10.0.1

[FW_B] hrp enable

華為防火牆雙機熱備組網方式(華為防火牆基礎指令)13

5、在FW_A上配置安全策略。雙機熱備狀态成功建立後,FW_A的安全策略配置會自動備份到FW_B上。配置步驟如下

#配置安全策略,允許内網用戶訪問Internet。

[FW_A] security-policy

[FW_A-policy-security] rule name trust_to_untrust

[FW_A-policy-security-rule-trust_to_untrust] source-zone trust

[FW_A-policy-security-rule-trust_to_untrust] destiNATion-zone untrust

[FW_A-policy-security-rule-trust_to_untrust] source-address 10.3.0.0 24

[FW_A-policy-security-rule-trust_to_untrust] action permit

[FW_A-policy-security-rule-trust_to_untrust] quit

[FW_A-policy-security] quit

華為防火牆雙機熱備組網方式(華為防火牆基礎指令)14

6、在FW_A上配置NAT策略。雙機熱備狀态成功建立後,FW_A的NAT策略配置會自動備份到FW_B上。配置步驟如下

#配置NAT策略,當内網用戶訪問Internet時,将源地址由10.3.0.0/16網段轉換為地址池中的地址(1.1.1.2-1.1.1.5)。

[FW_A] nat address-group group1

[FW_A-address-group-group1] section 0 1.1.1.2 1.1.1.5

[FW_A-address-group-group1] quit

[FW_A] nat-policy

[FW_A-policy-nat] rule name policy_nat1

[FW_A-policy-nat-rule-policy_nat1] source-zone trust

[FW_A-policy-nat-rule-policy_nat1] destination-zone untrust

[FW_A-policy-nat-rule-policy_nat1] source-address 10.3.0.0 16

[FW_A-policy-nat-rule-policy_nat1] action source-nat address-group group1

華為防火牆雙機熱備組網方式(華為防火牆基礎指令)15

四、查看雙機熱備的狀态

情況說明:集團兩台防火牆FW_A和FW_B上執行display hrp state verbose命令,檢查當前VGMP組的狀态,顯示以下信息表示雙機熱備建立成功。

華為防火牆雙機熱備組網方式(華為防火牆基礎指令)16

,

更多精彩资讯请关注tft每日頭條,我们将持续为您更新最新资讯!
查看全部
上一页 下一页
新手小白如何買房
哪些人适合報考在職研...

相关生活资讯推荐

热门生活资讯推荐

网友关注

關于
條款和條件 隱私政策 Cookie 設置
服務
登陸 注冊 聯系我們
tft每日頭條 美食 生活 職場 母嬰 時尚 科技 汽車
友情鏈接
zpostcode Recruit weather mreligion Yellowpages sport constellation shopping name game directory literature Word tour furnish Lottery tftnews lyrics News digital car dir Edu Finance
Copyright 2023-2025 - www.tftnews.com All Rights Reserved