zoukankan      html  css  js  c++  java
  • 华为ICT大赛辅导——防火墙高可用技术(HA)

    实验需求

    • 要求PC访问AR1的流量必须通过防火墙
    • 当两台防火墙任意一台出现故障,数据流量可以通过另一台设备访问AR1
    • 防火墙的G1/0/4作为HRP(心跳线),用以同步两台防火墙的配置信息

    实验拓扑

    在这里插入图片描述

    实验配置

    基本配置

    • SW1
    sys
    sys SW1
    vlan 10
    int g0/0/1
     p l a
     p d v 10
    int g0/0/2
     p l a
     p d v 10
    int g0/0/12
     p l t
     p t a v 10
    int g0/0/13
     p l t
     p t a v 10
    
    • SW2
    sys
    sys SW2
    vlan bat 10 12 21 23 100
    int vlan 12
     ip ad 10.1.12.2 24
    int vlan 21
     ip ad 10.1.21.2 24
    int vlan 23
     ip ad 10.1.23.2 24
    int g0/0/4
     p l a
     p d v 100
    int g0/0/5
     p l a
     p d v 10
    int g0/0/6
     p l a
     p d v 21
    int g0/0/10
     p l a
     p d v 12
    int g0/0/12
     p l t
     p t a v 10
    int et 23
     trunk g 0/0/2 to 0/0/3
     p l t
     p t a v 23 100
    
    • SW3
    sys
    sys SW3
    vlan bat 10 13 23 32 100
    int vlan 13
     ip ad 10.1.13.3 24
    int vlan 32
     ip ad 10.1.32.3 24
    int vlan 23
     ip ad 10.1.23.3 24
    int g0/0/4
     p l a
     p d v 100
    int g0/0/5
     p l a
     p d v 10
    int g0/0/6
     p l a
     p d v 32
    int g0/0/10
     p l a
     p d v 13
    int g0/0/13
     p l t
     p t a v 10
    int et 23
     tru g 0/0/2 0/0/3
     p l t
     p t a v 23 100
    
    • AR1
    sys
    sys AR1
    int lo 0
     ip ad 10.1.1.1 32
    int g0/0/0
     ip ad 10.1.12.1 24
    int g0/0/1
     ip ad 10.1.13.1 24
    
    • FW1
    int g1/0/4
     ip ad 10.0.0.1 24
    int g1/0/5
     ip ad 10.1.10.12 24
    int g1/0/6
     ip ad 10.1.21.1 24
    
    • FW2
    int g1/0/4
     ip ad 10.0.0.2 24
    int g1/0/5
     ip ad 10.1.10.13 24
    int g1/0/6
     ip ad 10.1.32.2 24
    

    防火墙接口加入相应的安全区域

    • FW1和FW2相同配置
    firewall zone trust
     add int g1/0/5
    firewall zone untrust
     add int g1/0/6
    firewall zone dmz
     add int g1/0/4
    

    防火墙配置安全策略

    • FW1和FW2相同配置
    security-policy
     rule name tr_to_un
      source-zone trust
      destination-zone untrust
      action permit
     rule name lo_to_any
      source-zone local
      action permit
    

    交换机配置MST域

    因为二层STP的原因,这个地方被卡住很久,是个坑,所以需要注意

    • SW1、SW2、SW3都相同配置
    stp region-configuration
     region-name MST
     instance 1 vlan 23
     instance 2 vlan 100
     active region-configuration
    
    • 配置SW2为实例1的根桥,实例2的备根;SW3为实例1的备根,实例2的根桥
    # SW2
    stp instance 1 root primary
    stp instance 2 root secondary
    
    # SW2
    stp instance 1 root secondary
    stp instance 2 root primary
    

    查看STP的状态dis stp bri

    配置底层OSPF

    - FW1配置OSPF

    ospf 1
     area 0
      net 10.1.10.12 0.0.0.0
      net 10.1.21.1 0.0.0.0
    
    • FW2配置OSPF
    ospf 1
     area 0
      net 10.1.10.23 0.0.0.0
      net 10.1.32.2 0.0.0.0
    
    • 配置AR1、SW2、SW3之间的IGP
    # SW2
    ospf 1 router-id 2.2.2.2
     area 0
      net 10.1.12.2 0.0.0.0
      net 10.1.21.2 0.0.0.0
      net 10.1.23.2 0.0.0.0
    
    # SW3
    ospf 1 router-id 3.3.3.3
     area 0
      net 10.1.13.3 0.0.0.0
      net 10.1.32.3 0.0.0.0
      net 10.1.23.3 0.0.0.0
    
    # AR1
    ospf 1 router-id 1.1.1.1
     area 0
      net 10.1.12.1 0.0.0.0
      net 10.1.13.1 0.0.0.0
      net 10.1.1.1 0.0.0.0
    

    在AR1、SW2、SW3上查看OSPF邻居关系

    防火墙配置VRRP

    • FW1
    int g1/0/5
     vrrp vrid 1 virtual-ip 10.1.10.254 active
     vrrp vrid 2 virtual-ip 10.1.10.253 standby
    
    • FW2
    int g1/0/5
     vrrp vrid 1 virtual-ip 10.1.10.254 standby
     vrrp vrid 2 virtual-ip 10.1.10.253 active
    

    在防火墙查看VRRP状态dis vrrp bri
    FW1为10.1.10.254的主设备,10.1.10.253的备设备
    FW2为10.1.10.253的主设备,10.1.10.254的备设备

    配置将防火墙的G1/0/4接口配置HRP(心跳线)

    • FW1
    hrp enable
    hrp interface GigabitEthernet1/0/4 remote 10.0.0.2
    hrp mirror session enable
    
    • FW2
    hrp enable
    hrp interface GigabitEthernet1/0/4 remote 10.0.0.1
    hrp mirror session enable
    

    FW1为主,FW2为备
    查看HRP状态dis hrp state


    以上内容均属原创,如有不详或错误,敬请指出。
    
    做别人的宝贝,别来淌我这趟浑水。
  • 相关阅读:
    5285: [Hnoi2018]寻宝游戏
    CF 1117 E. Decypher the String
    4515: [Sdoi2016]游戏
    CF 1051 G. Distinctification
    4820: [Sdoi2017]硬币游戏
    HNOI2019游记
    最近公共祖先(LCT)
    [WC2006]水管局长(LCT)
    P4178 Tree(点分治)
    二维凸包
  • 原文地址:https://www.cnblogs.com/bad5/p/14081954.html
Copyright © 2011-2022 走看看