美文网首页
华为防火墙配置7[配置双机热备与BFD联动]

华为防火墙配置7[配置双机热备与BFD联动]

作者: 炖冬瓜 | 来源:发表于2019-06-08 22:46 被阅读0次

    (一)实验简介

    如图所示,某公司出口连接两个路由器,以双链路接入Internet,为了保证在链路故障时可以动态调整,FW和两台路由器之间配置双机热备绑定BFD,将FW1为主设备,在出现故障时FW2切换为主设备,从而不影响内网用户正常访问 Internet

    网络拓朴结构

    (二)实验目的

    1. 掌握配置双机热备的方法;
    2. 掌握BFD的配置方法;
    3. 掌握双机热备与BFD联动的场景配置方法。

    (三)实验条件

    1. 一台CPU支持VT技术,内存4GB以上的计算机;
    2. 安装eNSP模拟器B510版,导入USG6000V镜像;
    3. 终端工具:SecuretyCRT,Putty,Psftp,XShell等。

    (四)网络拓朴图

    打开ENSP软件,按如下拓朴图创建实验环境,设置地址:

    1. LAN地址:192.168.10.0/24;
    2. ISP1地址:10.1.1.0/24;
    3. ISP2地址:10.2.2.0/24;
    4. HRP地址:10.0.0.0/24
    5. Internet地址:10.77.77.0/24;
    实验拓朴

    (五)配置思路

    1. 配置LAN客户机地址,交换机;
    2. 配置ISP1,IPS2路由器;
    3. 配置Internet客户机的地址,交换机;
    4. 配置防火墙的接口,安全域,安全策略;
    5. 配置双机热备;
    6. 配置BFD;
    7. 配置双机热备与BFD联动。

    (六)配置步骤

    (1)配置LAN的网络

    以下为LAN所在网络的客户机PC1的配置

    PC1的网络地址

    交换机LSW1的配置

    The device is running!

<Huawei>system-view     //进入系统配置视图
Enter system view, return user view with Ctrl+Z.
[Huawei]sysname LSW1    //修改交换机名为LSW1
[LSW1]
[LSW1]undo info-center enable   //关闭信息提示
Info: Information center is disabled.
[LSW1]interface Vlanif 1    //进入vlan接口配置视图
[LSW1-Vlanif1]ip address 192.168.10.254 24      //配置vlan的IP地址
[LSW1-Vlanif1]quit      //退出vlan接口配置,返回系统配置视图
[LSW1]
[LSW1]ospf      //进入OSPF配置接口,默认ID号为1
[LSW1-ospf-1]area 0     //创建OSPF区域,并进入OSPF区域视图
[LSW1-ospf-1-area-0.0.0.0]network 192.168.10.0 0.0.0.255        //指定接口所在的网段地址,反掩码
[LSW1-ospf-1-area-0.0.0.0]quit  //退出OSPF区域,返回OSPF配置视图
[LSW1-ospf-1]quit   //退出OSPF配置视图,返回系统配置视图
[LSW1]quit      //退出系统配置视图,返回用户视图
<LSW1>save      //保存配置
The current configuration will be written to the device.
Are you sure to continue?[Y/N]y
Info: Please input the file name ( *.cfg, *.zip ) [vrpcfg.zip]:
Now saving the current configuration to the slot 0.
Save the configuration successfully.
<LSW1>
<LSW1>

    (2) 配置Internet网络

    以下为Internet网络的客户机PC2的配置

    PC2的网络地址

    交换机LSW2的配置

    The device is running!

<Huawei>sys 
<Huawei>system-view //进入系统配置视图
Enter system view, return user view with Ctrl+Z.
[Huawei]undo info-center enable     //关闭信息提示
Info: Information center is disabled.
[Huawei]sysname LSW2    //修改交换机名为LSW1
[LSW2]int v 1
[LSW2-Vlanif1]ip addr 10.77.77.254 24   //配置vlan的IP地址
[LSW2-Vlanif1]quit  //退出vlan接口配置,返回系统配置视图
[LSW2]ospf 1        //进入OSPF配置接口,默认ID号为1
[LSW2-ospf-1]area 0 //创建OSPF区域,并进入OSPF区域视图
[LSW2-ospf-1-area-0.0.0.0]network 10.77.77.0 0.0.0.255  //指定接口所在的网段地址,反掩码
[LSW2-ospf-1-area-0.0.0.0]quit  //退出OSPF区域,返回OSPF配置视图
[LSW2-ospf-1]quit       //退出OSPF配置视图,返回系统配置视图
[LSW2]quit  //退出系统配置视图,返回用户视图
<LSW2>save  //保存配置
The current configuration will be written to the device.
Are you sure to continue?[Y/N]y
Info: Please input the file name ( *.cfg, *.zip ) [vrpcfg.zip]:
Now saving the current configuration to the slot 0.
Save the configuration successfully.
<LSW2>

    (3) 配置ISP1/ISP2的路由器

    路由器AR1的配置

    The device is running!

<Huawei>
<Huawei>system-view //进入系统配置视图
Enter system view, return user view with Ctrl+Z.
[Huawei]undo info-center enable         //关闭信息提示
Info: Information center is disabled.
[Huawei]sysname AR1 //修改路由器名为AR1
[AR1]
[AR1]interface GigabitEthernet 0/0/0    //进入接口配置
[AR1-GigabitEthernet0/0/0]ip address 10.1.1.2 24        //配置接口地址
[AR1-GigabitEthernet0/0/0]quit  //退出接口配置视图,返回系统视图
[AR1]
[AR1]interface GigabitEthernet 0/0/1    //进入接口配置
[AR1-GigabitEthernet0/0/1]ip address 10.77.77.3 24  //配置接口地址
[AR1-GigabitEthernet0/0/1]quit      //退出接口配置视图,返回系统视图
[AR1]
[AR1]ospf   
[AR1]ospf 1 //进入OSPF配置接口,默认ID号为1
[AR1-ospf-1]area 0  //创建OSPF区域,并进入OSPF区域视图
[AR1-ospf-1-area-0.0.0.0]       
[AR1-ospf-1-area-0.0.0.0]network 10.1.1.0 0.0.0.255     //指定接口所在的网段地
[AR1-ospf-1-area-0.0.0.0]network 10.77.77.0 0.0.0.255   //指定接口所在的网段地
[AR1-ospf-1-area-0.0.0.0]quit   //退出OSPF区域,返回OSPF配置视图
[AR1-ospf-1]quit        //退出OSPF配置视图,返回系统配置视图
[AR1]quit
<AR1>save
  The current configuration will be written to the device. 
  Are you sure to continue? (y/n)[n]:y
  It will take several minutes to save configuration file, please wait........
  Configuration file had been saved successfully
  Note: The configuration file will take effect after being activated
<AR1>

    路由器AR2的配置

    The device is running!

<Huawei>system-view     //进入系统配置视图
Enter system view, return user view with Ctrl+Z.
[Huawei]undo info-center enable     //关闭信息提示
Info: Information center is disabled.
[Huawei]sysname AR2     //修改路由器名为AR2
[AR2]interface GigabitEthernet 0/0/0        //进入接口配置
[AR2-GigabitEthernet0/0/0]ip address 10.2.2.2 24        //配置接口地址
[AR2-GigabitEthernet0/0/0]quit      //退出接口配置视图,返回系统视图
[AR2]interface GigabitEthernet 0/0/1        //进入接口配置
[AR2-GigabitEthernet0/0/1]ip address 10.77.77.4 24      //配置接口地址
[AR2-GigabitEthernet0/0/1]quit      //退出接口配置视图,返回系统视图
[AR2]
[AR2]ospf 1     //进入OSPF配置接口,默认ID号为1
[AR2-ospf-1]area 0      //创建OSPF区域,并进入OSPF区域视图
[AR2-ospf-1-area-0.0.0.0]network 10.2.2.0 0.0.0.255     //指定接口所在的网段地
[AR2-ospf-1-area-0.0.0.0]network 10.77.77.0 0.0.0.255   //指定接口所在的网段地
[AR2-ospf-1-area-0.0.0.0]quit   //退出OSPF区域,返回OSPF配置视图
[AR2-ospf-1]quit        //退出OSPF配置视图,返回系统配置视图
[AR2]quit
<AR2>save
  The current configuration will be written to the device. 
  Are you sure to continue? (y/n)[n]:y
  It will take several minutes to save configuration file, please wait........
  Configuration file had been saved successfully
  Note: The configuration file will take effect after being activated
<AR2>

    (4) 配置防火墙FW1

    分别为防火墙的连接各个网络的接口配置IP地址,网关,允许ping

    <USG6000V1>system-view  //进入系统配置视图
Enter system view, return user view with Ctrl+Z.
[USG6000V1]undo info-center enable  //关闭信息提示
Info: Information center is disabled.
[USG6000V1]sysname FW1  //修改防火墙的设备名为FW1
[FW1]interface GigabitEthernet 1/0/1    //进入GE1/0/1接口
[FW1-GigabitEthernet1/0/1]ip address 192.168.10.253 24  //配置接口的IP地址
[FW1-GigabitEthernet1/0/1]service-manage ping permit    //允许PING
[FW1-GigabitEthernet1/0/1]quit  //退出接口配置视图,返回系统视图
[FW1]interface GigabitEthernet 1/0/2    //进入GE1/0/2接口
[FW1-GigabitEthernet1/0/2]ip address 10.1.1.1 24        //配置接口的IP地址
[FW1-GigabitEthernet1/0/2]service-manage ping permit    //允许PING
[FW1-GigabitEthernet1/0/2]quit  //退出接口配置视图,返回系统视图
[FW1]interface GigabitEthernet 1/0/3    //进入GE1/0/3接口
[FW1-GigabitEthernet1/0/3]ip address 10.0.0.1 24        //配置接口的IP地址
[FW1-GigabitEthernet1/0/3]service-manage ping permit    //允许PING
[FW1-GigabitEthernet1/0/3]quit  //退出接口配置视图,返回系统视图
[FW1]firewall zone trust    //进入安全域trust配置
[FW1-zone-trust]add interface GigabitEthernet 1/0/1 //把GE1/0/1加入安全域
[FW1-zone-trust]quit            //退出安全域配置视图,返回系统视图
[FW1]firewall zone untrust  //进入安全域untrust配置
[FW1-zone-untrust]add interface GigabitEthernet 1/0/2   //把GE1/0/2加入安全域
[FW1-zone-untrust]quit      //退出安全域配置视图,返回系统视图
[FW1]firewall zone dmz      //进入安全域dmz配置
[FW1-zone-dmz]add interface GigabitEthernet 1/0/3   //把GE1/0/3加入安全域
[FW1-zone-dmz]quit          //退出安全域配置视图,返回系统视图
[FW1]
[FW1]security-policy    //进入安全策略配置视图
[FW1-policy-security]rule name lan_isp  //创建名lan_isp的规则
[FW1-policy-security-rule-lan_isp]source-zone local trust   //设置源安全域
[FW1-policy-security-rule-lan_isp]destination-zone local untrust //设置目的安全域
[FW1-policy-security-rule-lan_isp]action permit     //允许匹配规则的流量通过
[FW1-policy-security-rule-lan_isp]quit      //退出规则视图,返回安全策略视图
[FW1-policy-security]rule name hrp_check        //创建名hrp_check的规则
[FW1-policy-security-rule-hrp_check]source-zone local dmz   //设置源安全域
[FW1-policy-security-rule-hrp_check]destination-zone dmz local //设置目的安全域
[FW1-policy-security-rule-hrp_check]action permit    //允许匹配规则的流量通过
[FW1-policy-security-rule-hrp_check]quit            //退出规则视图,返回安全策略视图
[FW1-policy-security]dis this   //查看当前配置结果
#
security-policy
 rule name lan_isp
  source-zone trust
  destination-zone untrust
  action permit
 rule name hrp_check
  source-zone local
  source-zone dmz
  destination-zone local
  destination-zone dmz
  action permit
#
return
[FW1-policy-security]quit   //退出安全策略配置视图,返回系统视图
[FW1]ospf 1     //进入OSPF配置接口,默认ID号为1
[FW1-ospf-1]area 0      //创建OSPF区域,并进入OSPF区域视图
[FW1-ospf-1-area-0.0.0.0]network 192.168.10.0 0.0.0.255     //指定接口所在的网段地
[FW1-ospf-1-area-0.0.0.0]network 10.1.1.0 0.0.0.255     //指定接口所在的网段地
[FW1-ospf-1-area-0.0.0.0]network 10.0.0.0 0.0.0.255     //指定接口所在的网段地
[FW1-ospf-1-area-0.0.0.0]quit       //退出OSPF区域,返回OSPF配置视图
[FW1-ospf-1]quit            //退出OSPF配置视图,返回系统配置视图
[FW1]
[FW1]hrp adjust ospf-cost enable    //动根据主备状态调整OSPF-COST值功能
[FW1]hrp interface GigabitEthernet 1/0/3 remote 10.0.0.2    //创建备份双机间数据的通道接口
[FW1]hrp mirror session enable  //启动会话快速备份功能
[FW1]bfd    //启用BFD功能,并进入BFD全局视图
[FW1-bfd]quit   //退出BFD配置视图,返回系统配置视图
[FW1]bfd 1 bind peer-ip  10.1.1.2   //创建BFD会话绑定,并生成BFD会话
[FW1-bfd-session-1]
[FW1-bfd-session-1]discriminator local 8001 //配置当前BFD会话的本地标识符
[FW1-bfd-session-1]discriminator remote 8002        //配置当前BFD会话的远端标识符
[FW1-bfd-session-1]commit   //提交BFD会话配置
[FW1-bfd-session-1]quit     //退出BFD会话配置,返回系统配置视图
[FW1]
[FW1]

    (5) 配置防火墙FW2

    <USG6000V1>sys  
<USG6000V1>system-view  //进入系统配置视图
Enter system view, return user view with Ctrl+Z.
[USG6000V1]undo info-center enable //关闭信息提示
Info: Information center is disabled.
[USG6000V1]sysname FW2  //修改防火墙的设备名为FW2
[FW2]
[FW2]interface GigabitEthernet 1/0/1        //进入GE1/0/1接口
[FW2-GigabitEthernet1/0/1]ip addr 192.168.10.252 24 //配置接口的IP地址
[FW2-GigabitEthernet1/0/1]service-manage ping permit    //允许PING
[FW2-GigabitEthernet1/0/1]quit  //退出接口配置视图,返回系统视图
[FW2]interface GigabitEthernet 1/0/2        //进入GE1/0/2接口
[FW2-GigabitEthernet1/0/2]ip address  10.2.2.1 24   //配置接口的IP地址
[FW2-GigabitEthernet1/0/2]service-manage ping permit    //允许PING
[FW2-GigabitEthernet1/0/2]quit  //退出接口配置视图,返回系统视图
[FW2]interface GigabitEthernet 1/0/3        //进入GE1/0/3接口
[FW2-GigabitEthernet1/0/3]ip address 10.0.0.2 24        //配置接口的IP地址
[FW2-GigabitEthernet1/0/3]service-manage ping permit    //允许PING
[FW2-GigabitEthernet1/0/3]quit  //退出接口配置视图,返回系统视图
[FW2]
[FW2]
[FW2]firewall zone trust    //进入安全域trust配置
[FW2-zone-trust]add interface GigabitEthernet 1/0/1     //把GE1/0/1加入安全域
[FW2-zone-trust]quit            //退出安全域配置视图,返回系统视图
[FW2]firewall zone untrust  //进入安全域untrust配置
[FW2-zone-untrust]add interface GigabitEthernet 1/0/2       //把GE1/0/2加入安全域
[FW2-zone-untrust]quit  //退出安全域配置视图,返回系统视图
[FW2]firewall zone dmz  //进入安全域dmz配置
[FW2-zone-dmz]add interface GigabitEthernet 1/0/3       //把GE1/0/3加入安全域
[FW2-zone-dmz]quit      //退出安全域配置视图,返回系统视图
[FW2]   
[FW2]security-policy        //进入安全策略配置视图
[FW2-policy-security]rule name lan_isp  //创建名lan_isp的规则
[FW2-policy-security-rule-lan_isp]source-zone local trust   //设置源安全域
[FW2-policy-security-rule-lan_isp]destination-zone local untrust //设置目的安全域
[FW2-policy-security-rule-lan_isp]action permit  //允许匹配规则的流量通过
[FW2-policy-security-rule-lan_isp]quit
[FW2-policy-security]rule name hrp_check        //创建名hrp_check的规则
[FW2-policy-security-rule-hrp_check]source-zone local dmz   //设置源安全域
[FW2-policy-security-rule-hrp_check]destination-zone local dmz //设置目的安全域
[FW2-policy-security-rule-hrp_check]action permit  //允许匹配规则的流量通过
[FW2-policy-security-rule-hrp_check]quit
[FW2-policy-security]quit
[FW2]
[FW2]ospf 1     //进入OSPF配置接口,默认ID号为1
[FW2-ospf-1]area 0  //创建OSPF区域,并进入OSPF区域视图
[FW2-ospf-1-area-0.0.0.0]network 192.168.10.0 0.0.0.255     //指定接口所在的网段地
[FW2-ospf-1-area-0.0.0.0]network 10.2.2.0 0.0.0.255     //指定接口所在的网段地
[FW2-ospf-1-area-0.0.0.0]network 10.0.0.0 0.0.0.255     //指定接口所在的网段地
[FW2-ospf-1-area-0.0.0.0]quit       //退出OSPF区域,返回OSPF配置视图
[FW2-ospf-1]quit        //退出OSPF配置视图,返回系统配置视图
[FW2]
[FW2]       
[FW2]hrp adjust ospf-cost enable    //动根据主备状态调整OSPF-COST值功能
[FW2]hrp interface GigabitEthernet 1/0/3 remote 10.0.0.1    //创建备份双机间数据的通道接口
[FW2]hrp mirror session enable  //启动会话快速备份功能
[FW2]
[FW2]bfd    //启用BFD功能,并进入BFD全局视图
[FW2-bfd]quit   //退出BFD配置视图,返回系统配置视图
[FW2]bfd 1 bind peer-ip  10.1.1.2   //创建BFD会话绑定,并生成BFD会话
[FW2-bfd-session-1]discriminator local 8003     //配置当前BFD会话的本地标识符
[FW2-bfd-session-1]discriminator remote 8004        //配置当前BFD会话的远端标识符
[FW2-bfd-session-1]commit   //提交BFD会话配置
[FW2-bfd-session-1]quit     //退出BFD会话配置,返回系统配置视图
[FW2]
[FW2]

    (6) 配置路由器的BFD

    路由器AR1的BFD

    <AR2>
<AR2>sys    
<AR2>system-view 
Enter system view, return user view with Ctrl+Z.
[AR1]bfd        //启用BFD功能,并进入BFD全局视图
[AR1-bfd]quit       //退出BFD配置视图,返回系统配置视图
[AR1]
[AR1]bfd 1 bind peer-ip 10.1.1.1        //创建BFD会话绑定,并生成BFD会话
[AR1-bfd-session-1]discriminator local 8002 //配置当前BFD会话的本地标识符
[AR1-bfd-session-1]discriminator remote 8001        //配置当前BFD会话的远端标识符
[AR1-bfd-session-1]commit   //提交BFD会话配置
[AR1-bfd-session-1]quit     //退出BFD会话配置,返回系统配置视图
[AR1]
[AR1]

    路由器AR2的BFD

    <AR2>
<AR2>sys    
<AR2>system-view 
Enter system view, return user view with Ctrl+Z.
[AR2]bfd    //启用BFD功能,并进入BFD全局视图
[AR2-bfd]quit   //退出BFD配置视图,返回系统配置视图
[AR2]bfd 1 bind peer-ip 10.2.2.1
[AR2-bfd-session-1]discriminator local 8004     //配置当前BFD会话的本地标识符
[AR2-bfd-session-1]discriminator remote 8003        //配置当前BFD会话的远端标识符
[AR2-bfd-session-1]commit   //提交BFD会话配置
[AR2-bfd-session-1]quit     //退出BFD会话配置,返回系统配置视图
[AR2]

    (7) 配置

    (8)运行防火墙HRP

    防火墙FW1运行,

    [FW1]hrp enable
HRP_M[FW1]

    防火墙FW2运行,

    [FW2]hrp enable
HRP_S[FW2]

    (8) 测试

    用PING命令测试通讯链路,关闭链路中的设备,观察通讯的可靠性

    (七)参考资料

    PS:
    文档由炖冬瓜用Markdown语言编写,输出PDF或HTML。
    炖冬瓜 一枚混迹挨踢江湖十载有余的吃货,好吃懒做,成功的从丝瓜进阶为冬瓜。

    相关文章

      网友评论

          本文标题:华为防火墙配置7[配置双机热备与BFD联动]

          本文链接:https://www.haomeiwen.com/subject/rumwxctx.html

          延伸阅读

          深度阅读

          • 您也可以注册成为美文阅读网的作者,发表您的原创作品、分享您的心情!

          栏目导航

          热点阅读

          关于我们|服务条款|联系我们|华为防火墙配置7[配置双机热备与BFD联动]|投稿指南|网站地图|RSS订阅|排版工具|手机版

          提供经典美文摘抄,优美散文欣赏,现代诗歌精选,短篇小说,心情随笔,表白情书范文,故事会在线阅读欣赏

          Copyright © 2014-2023 Haomeiwen.com All Rights Reserved. 好美文阅读网 版权所有

          备案信息:桂公网安备 45052102000051号 · 桂ICP备13007215号-3

          本站所收录作品、热点评论等信息部分来源互联网,目的只是为了系统归纳学习和传递资讯

          所有作品版权归原创作者所有,与本站立场无关,如不慎侵犯了你的权益,请联系我们告知,我们将做删除处理!