防火墙双机热备命令行配置方案
来源:公众号【网络技术干货圈】
作者:圈圈
id:wljsghq
实验要求
部署防火墙双机热备,避免防火墙出现单点故障而导致的网络瘫痪
进行故障模拟,在双机热备的部署完成之后,关闭主设备,查看业务连通性是否收到影响
连通性要求:
内网用户可以访问外网、服务器
外网用户可以访问服务器
在这里插入图片描述
实验内容
步骤一
搭建拓扑,规划网段。配置终端和防火墙各个接口ip地址。
fw1:
[usg6000v1]int g1/0/0[usg6000v1-gigabitethernet1/0/0]ip ad 192.168.1.253 24[usg6000v1]int g1/0/1[usg6000v1-gigabitethernet1/0/1]ip ad 202.196.1.253 24[usg6000v1-gigabitethernet1/0/1]int g1/0/2[usg6000v1-gigabitethernet1/0/2]ip ad 10.0.0.253 24[usg6000v1-gigabitethernet1/0/2]int g1/0/3[usg6000v1-gigabitethernet1/0/3]ip ad 10.0.12.1 24
fw2:
[usg6000v1]int g1/0/1[usg6000v1-gigabitethernet1/0/1]ip ad 192.168.1.252 24[usg6000v1-gigabitethernet1/0/1]int g1/0/0[usg6000v1-gigabitethernet1/0/0]ip ad 10.0.0.252 24[usg6000v1-gigabitethernet1/0/0]int g1/0/3[usg6000v1-gigabitethernet1/0/3]ip ad 10.0.12.2 24[usg6000v1-gigabitethernet1/0/3]int g1/0/2[usg6000v1-gigabitethernet1/0/2]ip ad 202.196.1.252 2
步骤二
根据拓扑,将接口划入对应的安全区域。
注意:两个防火墙之间的心跳接口要必须放进信任区域
fw1:
[usg6000v1]firewall zone trust [usg6000v1-zone-trust]add interface g1/0/0[usg6000v1-zone-trust]ad interface g1/0/3[usg6000v1-zone-trust]q[usg6000v1]firewall zone untrust [usg6000v1-zone-untrust]ad in g1/0/1[usg6000v1-zone-untrust]qusg6000v1]firewall zone dmz [usg6000v1-zone-dmz]ad in g1/0/2
fw2:
[usg6000v1]firewall zone trust [usg6000v1-zone-trust]ad in g1/0/3 [usg6000v1-zone-trust]ad in g1/0/1[usg6000v1-zone-trust]q[usg6000v1]firewall zone untrust [usg6000v1-zone-untrust]ad in g1/0/2[usg6000v1]firewall zone dmz [usg6000v1-zone-dmz]ad in g1/0/0
步骤三
配置vrrp备份组
主设备:fw1
[usg6000v1]int g1/0/0[usg6000v1-gigabitethernet1/0/0]vrrp vrid 1 virtual-ip 192.168.1.254 active [usg6000v1-gigabitethernet1/0/0]int g1/0/2[usg6000v1-gigabitethernet1/0/2]vrrp vrid 2 virtual-ip 10.0.0.254 active [usg6000v1-gigabitethernet1/0/2]int g1/0/1[usg6000v1-gigabitethernet1/0/1]vrrp vrid 3 virtual-ip 202.196.1.254 active
备份设备:fw2
[usg6000v1]int g1/0/0[usg6000v1-gigabitethernet1/0/0]vrrp vrid 2 virtual-ip 10.0.0.254 standby [usg6000v1-gigabitethernet1/0/0]int g1/0/1[usg6000v1-gigabitethernet1/0/1]vrrp vrid 1 virtual-ip 192.168.1.254 standby [usg6000v1-gigabitethernet1/0/1]int g1/0/2[usg6000v1-gigabitethernet1/0/2]vrrp vrid 3 virtual-ip 202.196.1.254 standby
我们可以通过display vrrp interface g1/0/3来查看vrrp备份组中的接口状态信息
步骤四
开启hrp协议并配置心跳接口和会话备份功能
fw1:
[usg6000v1]hrp enable //开启hrp功能,开启后提示符出现hrp_m(master)hrp_m[usg6000v1]hrp interface g1/0/3 remote 10.0.12.2 //指定心跳口: hrp interface [心跳口] remote [邻居心跳口ip地址]hrp_m[usg6000v1]hrp mirror session enable //启动会话快速备份
fw2:
[usg6000v1]hrp enable ////开启hrp功能,开启后提示符出现hrp_s(standby)hrp_s[usg6000v1]hrp interface g1/0/3 remote 10.0.12.1hrp_s[usg6000v1]hrp mirror session enable
我们可以通过dis hrp state查看hrp状态
步骤五
配置安全策列,是内网用户可以访问服务器和外网用户;外网用户只能访问服务器
注意:只需要配置master即可,backup设备不用配置,配置命令会自动从主设备备份到备份设备。
fw1:
hrp_m[usg6000v1]security-policy (+b) //(+b)的意思为配置同时备份到备份设备。hrp_m[usg6000v1-policy-security]rule name t2ud (+b)hrp_m[usg6000v1-policy-security-rule-t2ud]source-zone trust (+b)hrp_m[usg6000v1-policy-security-rule-t2ud]destination-zone untrust dmz (+b)hrp_m[usg6000v1-policy-security-rule-t2ud]action permit (+b)hrp_m[usg6000v1-policy-security-rule-t2ud]qhrp_m[usg6000v1-policy-security]rule name u2d (+b)hrp_m[usg6000v1-policy-security-rule-u2d]source-zone untrust (+b)hrp_m[usg6000v1-policy-security-rule-u2d]destination-zone dmz (+b)hrp_m[usg6000v1-policy-security-rule-u2d]action permit (+b)
验证
内网pc能够ping通服务器与外网pc
外网pc能ping通服务器,但是不能ping通内网pc
内网pc 外网pc
步骤六
将master设备(fw1)关闭,模拟master设备宕机,验证在master设备宕机之后,网络的连通性。
验证
验证发现,所有前期会有一定的丢包,但是网络连通性正常,依然能够正常通信。
浅聊一下铜缆跳线
如何手势控制鼠标
魅族Pro7最新消息:小米6发布过后的余温,魅族Pro7即将发布,售价2699起!
河道监测化学需氧量分析仪
DJSF1352电子式直流电能表概述
防火墙双机热备命令行配置方案
华为、安立两家公司联合宣布,在5G一致性测试上的合作联调取得重要进展
越来越多的日本制造商重新把中国作为投资目的地
ne555引脚图及功能
【知识】连接器在消费电子行业的互连方案
3D视觉热潮来袭,“ToF”接力“结构光”
正点原子DS100mini示波器的拆解说明
再获省级称号!进芯电子获评2022省级企业技术中心!
中兴完成5G终端三大场景测试 5G手机明年商用
锁相环频率合成器捕捉过程的分析与仿真
360可视门铃1C体验 取景范围和夜视能力非常出色具备较强的安全系数
晶圆代工英特尔凶猛来袭,台积电仍有三大优势
无服务器架构面临的10大安全威胁
iphone8什么时候上市?iphone8最新消息:iPhone 8成史上最大进化!5大黑科技10月开售!起价8998你会买么?
慕尼黑上海电子展为国内电子产业复苏带来了巨大推动力
作者:圈圈
id:wljsghq
实验要求
部署防火墙双机热备,避免防火墙出现单点故障而导致的网络瘫痪
进行故障模拟,在双机热备的部署完成之后,关闭主设备,查看业务连通性是否收到影响
连通性要求:
内网用户可以访问外网、服务器
外网用户可以访问服务器
在这里插入图片描述
实验内容
步骤一
搭建拓扑,规划网段。配置终端和防火墙各个接口ip地址。
fw1:
[usg6000v1]int g1/0/0[usg6000v1-gigabitethernet1/0/0]ip ad 192.168.1.253 24[usg6000v1]int g1/0/1[usg6000v1-gigabitethernet1/0/1]ip ad 202.196.1.253 24[usg6000v1-gigabitethernet1/0/1]int g1/0/2[usg6000v1-gigabitethernet1/0/2]ip ad 10.0.0.253 24[usg6000v1-gigabitethernet1/0/2]int g1/0/3[usg6000v1-gigabitethernet1/0/3]ip ad 10.0.12.1 24
fw2:
[usg6000v1]int g1/0/1[usg6000v1-gigabitethernet1/0/1]ip ad 192.168.1.252 24[usg6000v1-gigabitethernet1/0/1]int g1/0/0[usg6000v1-gigabitethernet1/0/0]ip ad 10.0.0.252 24[usg6000v1-gigabitethernet1/0/0]int g1/0/3[usg6000v1-gigabitethernet1/0/3]ip ad 10.0.12.2 24[usg6000v1-gigabitethernet1/0/3]int g1/0/2[usg6000v1-gigabitethernet1/0/2]ip ad 202.196.1.252 2
步骤二
根据拓扑,将接口划入对应的安全区域。
注意:两个防火墙之间的心跳接口要必须放进信任区域
fw1:
[usg6000v1]firewall zone trust [usg6000v1-zone-trust]add interface g1/0/0[usg6000v1-zone-trust]ad interface g1/0/3[usg6000v1-zone-trust]q[usg6000v1]firewall zone untrust [usg6000v1-zone-untrust]ad in g1/0/1[usg6000v1-zone-untrust]qusg6000v1]firewall zone dmz [usg6000v1-zone-dmz]ad in g1/0/2
fw2:
[usg6000v1]firewall zone trust [usg6000v1-zone-trust]ad in g1/0/3 [usg6000v1-zone-trust]ad in g1/0/1[usg6000v1-zone-trust]q[usg6000v1]firewall zone untrust [usg6000v1-zone-untrust]ad in g1/0/2[usg6000v1]firewall zone dmz [usg6000v1-zone-dmz]ad in g1/0/0
步骤三
配置vrrp备份组
主设备:fw1
[usg6000v1]int g1/0/0[usg6000v1-gigabitethernet1/0/0]vrrp vrid 1 virtual-ip 192.168.1.254 active [usg6000v1-gigabitethernet1/0/0]int g1/0/2[usg6000v1-gigabitethernet1/0/2]vrrp vrid 2 virtual-ip 10.0.0.254 active [usg6000v1-gigabitethernet1/0/2]int g1/0/1[usg6000v1-gigabitethernet1/0/1]vrrp vrid 3 virtual-ip 202.196.1.254 active
备份设备:fw2
[usg6000v1]int g1/0/0[usg6000v1-gigabitethernet1/0/0]vrrp vrid 2 virtual-ip 10.0.0.254 standby [usg6000v1-gigabitethernet1/0/0]int g1/0/1[usg6000v1-gigabitethernet1/0/1]vrrp vrid 1 virtual-ip 192.168.1.254 standby [usg6000v1-gigabitethernet1/0/1]int g1/0/2[usg6000v1-gigabitethernet1/0/2]vrrp vrid 3 virtual-ip 202.196.1.254 standby
我们可以通过display vrrp interface g1/0/3来查看vrrp备份组中的接口状态信息
步骤四
开启hrp协议并配置心跳接口和会话备份功能
fw1:
[usg6000v1]hrp enable //开启hrp功能,开启后提示符出现hrp_m(master)hrp_m[usg6000v1]hrp interface g1/0/3 remote 10.0.12.2 //指定心跳口: hrp interface [心跳口] remote [邻居心跳口ip地址]hrp_m[usg6000v1]hrp mirror session enable //启动会话快速备份
fw2:
[usg6000v1]hrp enable ////开启hrp功能,开启后提示符出现hrp_s(standby)hrp_s[usg6000v1]hrp interface g1/0/3 remote 10.0.12.1hrp_s[usg6000v1]hrp mirror session enable
我们可以通过dis hrp state查看hrp状态
步骤五
配置安全策列,是内网用户可以访问服务器和外网用户;外网用户只能访问服务器
注意:只需要配置master即可,backup设备不用配置,配置命令会自动从主设备备份到备份设备。
fw1:
hrp_m[usg6000v1]security-policy (+b) //(+b)的意思为配置同时备份到备份设备。hrp_m[usg6000v1-policy-security]rule name t2ud (+b)hrp_m[usg6000v1-policy-security-rule-t2ud]source-zone trust (+b)hrp_m[usg6000v1-policy-security-rule-t2ud]destination-zone untrust dmz (+b)hrp_m[usg6000v1-policy-security-rule-t2ud]action permit (+b)hrp_m[usg6000v1-policy-security-rule-t2ud]qhrp_m[usg6000v1-policy-security]rule name u2d (+b)hrp_m[usg6000v1-policy-security-rule-u2d]source-zone untrust (+b)hrp_m[usg6000v1-policy-security-rule-u2d]destination-zone dmz (+b)hrp_m[usg6000v1-policy-security-rule-u2d]action permit (+b)
验证
内网pc能够ping通服务器与外网pc
外网pc能ping通服务器,但是不能ping通内网pc
内网pc 外网pc
步骤六
将master设备(fw1)关闭,模拟master设备宕机,验证在master设备宕机之后,网络的连通性。
验证
验证发现,所有前期会有一定的丢包,但是网络连通性正常,依然能够正常通信。
浅聊一下铜缆跳线
如何手势控制鼠标
魅族Pro7最新消息:小米6发布过后的余温,魅族Pro7即将发布,售价2699起!
河道监测化学需氧量分析仪
DJSF1352电子式直流电能表概述
防火墙双机热备命令行配置方案
华为、安立两家公司联合宣布,在5G一致性测试上的合作联调取得重要进展
越来越多的日本制造商重新把中国作为投资目的地
ne555引脚图及功能
【知识】连接器在消费电子行业的互连方案
3D视觉热潮来袭,“ToF”接力“结构光”
正点原子DS100mini示波器的拆解说明
再获省级称号!进芯电子获评2022省级企业技术中心!
中兴完成5G终端三大场景测试 5G手机明年商用
锁相环频率合成器捕捉过程的分析与仿真
360可视门铃1C体验 取景范围和夜视能力非常出色具备较强的安全系数
晶圆代工英特尔凶猛来袭,台积电仍有三大优势
无服务器架构面临的10大安全威胁
iphone8什么时候上市?iphone8最新消息:iPhone 8成史上最大进化!5大黑科技10月开售!起价8998你会买么?
慕尼黑上海电子展为国内电子产业复苏带来了巨大推动力