今天继续介绍HCIE安全系列的相关内容。 本文以华为eNSP模拟器为例,实现了防火墙双击热备配置技术的配置实例,采用上下开关配置VRRP的主模式。
读了这篇文章,你需要有一定的防火墙配置基础和防火墙心跳理论基础。 如果你还困惑的话,请参考我博客里的其他文章。 我相信你一定会得到的。
建议阅读导读文章:
详细了解VGMP协议
HRP协议详细信息
双机热备技术细节
一、实验拓扑和要求
如上所述,实验拓扑结构目前要求在FW1和FW1上配置防火墙、双机热备,上下行设备路由器,在整个拓扑结构中运行OSPF协议,实现路由。 双机热备盘配置主备份模式,并通过调整OSPF优先级实现故障切换。
二、实验配置命令(一) HRP相关配置在本实验中,HRP相关配置如下:
hrpenablehrpinterfaceeth -中继1远程192.168.0.2 hrpmirrorsessionenablehrptrackinterfacegigabitethernet1/0/0hrptrack 必须配置与Eth-Trunk端口相关的IP地址、子接口和区域配置。 这里不说明。 有关配置,请参阅后面的防火墙代码附录。
(二)运行OSPF配置在本实验中,防火墙和对方路由器运行OSPF协议时,必须在防火墙上的安全策略方面发送OSPF消息。 相关构成如下。
安全-策略别名ospfsource-zonetrustsource-zoneuntrustdestination-zonelocalserviceospfactionpermit三,实验现象(一)
)二)查看防火墙双机热备状态
从上图中可以看到,如果本地设备处于活动状态,对方设备处于活动状态,则可以确定防火墙处于主备份模式。
四、附录——防火墙相关配置命令FW1实验相关配置如下:
hrpenablehrpinterfaceeth -中继1远程192.168.0.2 hrpmirrorsessionenablehrptrackinterfacegigabitethernet1/0/0hrptrack 接口千兆以太网0/0/0 undoshutdownipbindingvpn-instancedefaultipaddress 192.168.0.1255.255.255.0别名接口千兆以太网0 undoshutdownipaddress 150.1.1.10255.255.255.0 #接口千兆以太网1/0/1 undoshutdownipaddress 192.168 .接口千兆以太网1/0/5 undoshutdowneth -中继1 #接口千兆以太网1/0/6 firewallzonetrustsetpriority 85 addinterfacegigabitethernet0/0/0addinterfacegigabitethernet1/0/1# firewallzoneuntrustsetpriority5addinterfacegigabitethernet1/0/0# firewallzonedmzsetpriority 50 addinterfaceeth -中继1 # OSPF1area0.0.0. 0net work 150.1.1.0.0.0.0.255 network 192.168.1.0.0.0.0.255 # security-policyrulenameospfsource-zonetrustsource-zoneuntrustdestination-zonelocalserviceospfactionpermitrulenamepingsstion 资料来源:转载https://blog.csdn.net/weixin _ 40228200/article/details