今天继续介绍HCIE安全系列的内容。 本文使用华为eNSP模拟器,实现了镜像模式下华为防火墙双机热备配置实例。
读了这篇文章,你需要有一定的防火墙配置基础和防火墙心跳理论基础。 如果你还困惑的话,请参考我博客里的其他文章。 我相信你一定会得到的。
建议阅读导读文章:
详细了解VGMP协议
HRP协议详细信息
双机热备技术细节
一、实验目的和拓扑
如上所述,实验拓扑结构目前要求在两台防火墙上以透明模式配置双机热备。
二、实验配置指令防火墙在透明模式下运行后,两台防火墙相当于一台防火墙使用。 他们的所有配置都是完全相同的,因此在防火墙物理接口上也必须完全匹配。 在透明模式下,防火墙接口具有相同的IP地址。
)一)心跳预准备命令首先,可以先配置防火墙(心跳)。 后续命令可以由一个防火墙组成,另一个防火墙自动同步命令。
防火墙白色区域需要配置心跳,并启用心跳功能。 配置命令如下:
hrpinterfacegigabitethernet1/0/6远程192.168.0.2 HRP enable # firewallzonedmzsetpriority 50 addinterfacegigabitethernet
hrp standby-device这样,在防火墙上双击热备盘可以成功配置。
)完成双机热备盘的配置后,命令可以在双机热备盘配置完成后配置接口IP、安全区域、安全策略和VGMP组。 相关命令如下:
hrpenablehrpmirrorconfigenablehrpstandby-devicehrpinterfacegigabitethernet1/0/6远程192.168.0.1 hrptrackinterfacegage0hrptrackinterfacegigabitethernet1/0/1#接口千兆以太网0/0/0 undoshutdownipbindingvpn-instancedefaultipaddress 192.168.0.1255.255.255.0 alias ge0/meth # 接口千兆以太网0 undoshutdownipaddress 192.168.1.254255.255.255.0 #接口千兆以太网1/0/1 undoshutdownipaddress 192.168接口千兆以太网1/0/6 undoshutdownipaddress 192.168.0.2255.255.255.0 # fireewnipadress 0 addinterfacegigabitethernet1/0/0# firewallzoneuntrustsetpriority5addinterfacegigabitethernet1/0/1# IP路由静态
三、实验现象(一)双击热备盘配置后,命令自动同步
从上图中可以看到,在透明模式下,每次在主设备上运行命令时都会显示b符号。 这表示命令已成功配置到备份防火墙。
(二)双击热备盘状态
(三)所有布置完成后进行实验
原创不容易。 转载来源: https://blog.csdn.net/weixin _ 40228200/article/details/119282097