ImageVerifierCode 换一换
格式:DOCX , 页数:12 ,大小:69.67KB ,
资源ID:8507384      下载积分:3 金币
快捷下载
登录下载
邮箱/手机:
温馨提示:
快捷下载时,用户名和密码都是您填写的邮箱或者手机号,方便查询和重复下载(系统自动生成)。 如填写123,账号就是123,密码也是123。
特别说明:
请自助下载,系统不会自动发送文件的哦; 如果您已付费,想二次下载,请登录后访问:我的下载记录
支付方式: 支付宝    微信支付   
验证码:   换一换

加入VIP,免费下载
 

温馨提示:由于个人手机设置不同,如果发现不能下载,请复制以下地址【https://www.bdocx.com/down/8507384.html】到电脑端继续下载(重复下载不扣费)。

已注册用户请登录:
账号:
密码:
验证码:   换一换
  忘记密码?
三方登录: 微信登录   QQ登录  

下载须知

1: 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。
2: 试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓。
3: 文件的所有权益归上传用户所有。
4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
5. 本站仅提供交流平台,并不能对任何下载内容负责。
6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

版权提示 | 免责声明

本文(防火墙双机热备配置实例.docx)为本站会员(b****6)主动上传,冰豆网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知冰豆网(发送邮件至service@bdocx.com或直接QQ联系客服),我们立即给予删除!

防火墙双机热备配置实例.docx

1、防火墙双机热备配置实例配置路由模式下负载分担方式的双机热备份举例从组网需求、数据规划、操作步骤、结果验证以及常见问题几方面对路由模式下负载分担方式的双机热备份进行了配置举例。组网需求Eudemon作为安全设备被部署在业务节点上。其中上下行设备均是路由器,Eudemon A、Eudemon B以负载分担方式工作,且均工作在路由模式下。组网图如图1所示,具体描述如下:两台Eudemon和路由器之间运行动态路由OSPF协议,由路由器根据路由计算结果,将业务报文分担发送到两台Eudemon上。网络规划如下: 需要保护的网段地址为192.168.1.0/24,与Eudemon的GigabitEthern

2、et 1/0/0接口相连,部署在Trust区域。 外部网络与Eudemon的GigabitEthernet 1/0/1接口相连,部署在Untrust区域。 两台Eudemon的HRP备份通道接口GigabitEthernet 1/0/2部署在DMZ区域。图1 路由模式下负载分担方式的双机热备份配置举例组网图 数据规划Eudemon接口IP地址Eudemon AGE1/0/010.100.10.2/24GE1/0/110.100.30.2/24GE1/0/210.100.50.2/24Eudemon BGE1/0/010.100.20.2/24GE1/0/110.100.40.2/24GE1/0

3、/210.100.50.3/24操作步骤1. 在Eudemon A上完成以下基本配置。 # 配置GigabitEthernet 1/0/0的IP地址。 system-viewEudemon interface GigabitEthernet 1/0/0Eudemon-GigabitEthernet1/0/0 ip address 10.100.10.2 24Eudemon-GigabitEthernet1/0/0 quit# 配置GigabitEthernet 1/0/0加入Trust区域。Eudemon firewall zone trustEudemon-zone-trust add in

4、terface GigabitEthernet 1/0/0Eudemon-zone-trust quit# 配置GigabitEthernet 1/0/1的IP地址。Eudemon interface GigabitEthernet 1/0/1Eudemon-GigabitEthernet1/0/1 ip address 10.100.30.2 24Eudemon-GigabitEthernet1/0/1 quit# 配置GigabitEthernet 1/0/1加入Untrust区域。Eudemon firewall zone untrustEudemon-zone-untrust add

5、interface GigabitEthernet 1/0/1Eudemon-zone-untrust quit# 配置GigabitEthernet 1/0/2的IP地址。Eudemon interface GigabitEthernet 1/0/2Eudemon-GigabitEthernet1/0/2 ip address 10.100.50.2 24Eudemon-GigabitEthernet1/0/2 quit# 配置GigabitEthernet 1/0/2加入DMZ区域。Eudemon firewall zone dmzEudemon-zone-dmz add interfac

6、e GigabitEthernet 1/0/2Eudemon-zone-dmz quit# 在Eudemon A上配置运行OSPF动态路由协议。注意: 配置OSPF动态路由协议的时候,请打开Trust域和Local域以及Untrust域和Local域的域间包过滤,避免阻塞正常的路由协议报文。Eudemon ospf 101Eudemon-ospf-101 area 0Eudemon-ospf-101-area-0.0.0.0 network 10.100.10.0 0.0.0.255Eudemon-ospf-101-area-0.0.0.0 network 10.100.30.0 0.0.0.

7、255Eudemon-ospf-101-area-0.0.0.0 quit# 配置根据HRP状态调整OSPF的相关COST值的功能。注意: Eudemon工作在路由模式下且部署于OSPF网络中做双机热备份时,必须配置该命令。Eudemon hrp ospf-cost adjust-enable# 在接口视图下配置Master和Slave管理组监视接口状态。Eudemon interface GigabitEthernet 1/0/0Eudemon-GigabitEthernet1/0/0 hrp track masterEudemon-GigabitEthernet1/0/0 hrp trac

8、k slaveEudemon-GigabitEthernet1/0/0 quitEudemon interface GigabitEthernet 1/0/1Eudemon-GigabitEthernet1/0/1 hrp track masterEudemon-GigabitEthernet1/0/1 hrp track slaveEudemon-GigabitEthernet1/0/1 quit# 配置会话快速备份。Eudemon hrp mirror session enable# 配置HRP备份通道。注意: 主备Eudemon的HRP备份通道接口必须直接相连,中间不能连接交换机。Eud

9、emon hrp interface GigabitEthernet 1/0/2# 启动HRP。Eudemon hrp enable2. 配置Eudemon B。 Eudemon B和Eudemon A的配置基本相同,不同之处在于: Eudemon B各接口的IP地址与Eudemon A各接口的IP地址不相同,且Eudemon B和Eudemon A对应的业务接口的IP地址不能在同一网段。 在Eudemon B上配置运行OSPF动态路由协议时,应该发布与Eudemon B的业务接口直接相连的网段的路由。3. 在Eudemon A上启动配置命令的自动备份、配置ACL,并配置Trust区域和Unt

10、rust区域的域间包过滤规则。 说明: 当Eudemon A和Eudemon B都启动HRP功能完成后,在Eudemon A上开启配置命令的自动备份,这样在Eudemon A上配置的ACL以及域间包过滤规则都将自动备份到Eudemon B,不需要再在Eudemon B上单独配置。# 启动配置命令的自动备份功能。HRP_MEudemon hrp auto-sync config# 创建基本ACL 2000,配置源地址为192.168.1.0/24的规则。HRP_MEudemon acl 2000HRP_MEudemon-acl-basic-2000 rule permit source 192.

11、168.1.0 0.0.0.255HRP_MEudemon-acl-basic-2000 quit# 配置Trust区域和Untrust区域的域间包过滤规则。HRP_MEudemon firewall interzone trust untrustHRP_MEudemon-interzone-trust-untrust packet-filter 2000 outboundHRP_MEudemon-interzone-trust-untrust quit4. 配置路由器。 在路由器上配置OSPF,具体配置命令请参考路由器的相关文档。结果验证1. PC2作为HTTP服务器位于Untrust区域,

12、对外提供HTTP服务。在Trust区域的PC1端访问Untrust区域的HTTP服务器,并进行文件的下载操作。分别在Eudemon A和Eudemon B上检查会话。2. HRP_MEudemon display firewall session table verbose3. 12:19:43 2010/02/014. Current total sessions: 15. http: VPN: public - public6. Zone: trust - untrust Slot: 4 CPU: 0 TTL: 00:00:10 Left: 00:00:037. Interface: Gi

13、gabitEthernet1/0/1 NextHop: 202.38.10.18. packets: 23 bytes: 3069. acl: 2000 rule: 0 192.168.1.3:2048 - 202.38.10.1:80HRP_SEudemon_B display firewall session table verbose12:19:43 2010/02/01 Current total sessions: 1 http: VPN: public - public Zone: trust - untrust Remote Slot: 4 CPU: 0 TTL: 00:00:1

14、0 Left: 00:00:03 Interface: GigabitEthernet1/0/1 NextHop: 202.38.10.1 packets: 23 bytes: 306 acl: 2000 rule: 0 192.168.1.3:2048 - 202.38.10.1:80可以看出Eudemon B上存在带有Remote标记的会话,表示配置双机热备份功能后,会话备份成功。常见问题 注意Eudemon的HRP备份通道接口不能对外发布OSPF路由。 组网设备发生故障时,OSPF收敛速度比较快,但故障再恢复时OSPF收敛速度比较慢。配置路由模式下VRRP和OSPF结合的双机热备份举例从

15、组网需求、数据规划、操作步骤、结果验证以及常见问题几方面对路由模式下VRRP和OSPF结合的双机热备份进行了配置举例。组网需求Eudemon作为安全设备被部署在业务节点上。其中上行设备是路由器,下行设备是交换机,Eudemon A、Eudemon B以主备备份方式工作,且均工作在路由模式下。组网图如图1所示,具体描述如下: 两台Eudemon和路由器之间运行动态路由OSPF协议,和交换机之间运行VRRP协议。 Eudemon的双机热备份功能基于VRRP实现,在Eudemon的业务接口上配置一个VRRP备份组加入VGMP管理组的Master或Slave管理组,组成主备备份的组网。网络规划如下:

16、需要保护的网段地址为192.168.1.0/24,与Eudemon的GigabitEthernet 1/0/0接口相连,部署在Trust区域。 外部网络与Eudemon的GigabitEthernet 1/0/1接口相连,部署在Untrust区域。 两台Eudemon的HRP备份通道接口GigabitEthernet 1/0/2部署在DMZ区域。其中,Trust区域对应的备份组虚拟IP地址分别为192.168.1.10。图1 路由模式下VRRP和OSPF结合的双机热备份配置举例组网图 数据规划Eudemon接口IP地址Eudemon AGE1/0/0192.168.1.5/24GE1/0/11

17、0.100.30.2/24GE1/0/210.100.50.2/24Eudemon BGE1/0/0192.168.1.6/24GE1/0/110.100.40.2/24GE1/0/210.100.50.3/24操作步骤1. 在Eudemon A上完成以下基本配置。 # 配置GigabitEthernet 1/0/0的IP地址。 system-viewEudemon interface GigabitEthernet 1/0/0Eudemon-GigabitEthernet1/0/0 ip address 192.168.1.5 24Eudemon-GigabitEthernet1/0/0 q

18、uit# 配置GigabitEthernet 1/0/0加入Trust区域。Eudemon firewall zone trustEudemon-zone-trust add interface GigabitEthernet 1/0/0Eudemon-zone-trust quit# 配置GigabitEthernet 1/0/1的IP地址。Eudemon interface GigabitEthernet 1/0/1Eudemon-GigabitEthernet1/0/1 ip address 10.100.30.2 24Eudemon-GigabitEthernet1/0/1 quit#

19、 配置GigabitEthernet 1/0/1加入Untrust区域。Eudemon firewall zone untrustEudemon-zone-untrust add interface GigabitEthernet 1/0/1Eudemon-zone-untrust quit# 配置GigabitEthernet 1/0/2的IP地址。Eudemon interface GigabitEthernet 1/0/2Eudemon-GigabitEthernet1/0/2 ip address 10.100.50.2 24Eudemon-GigabitEthernet1/0/2 q

20、uit# 配置GigabitEthernet 1/0/2加入DMZ区域。Eudemon firewall zone dmzEudemon-zone-dmz add interface GigabitEthernet 1/0/2Eudemon-zone-dmz quit# 在接口GigabitEthernet 1/0/0上配置VRRP备份组1,并配置备份组的虚拟IP地址。Eudemon interface GigabitEthernet 1/0/0Eudemon-GigabitEthernet1/0/0 vrrp vrid 1 virtual-ip 192.168.1.10 masterEude

21、mon-GigabitEthernet1/0/0 quit# 在Eudemon A上配置运行OSPF动态路由协议。注意: 配置OSPF动态路由协议的时候,请打开Untrust域和Local域的域间包过滤,避免阻塞正常的路由协议报文。 Eudemon A运行OSPF协议对外发布路由时,不能发布与交换机相连的网段的路由。Eudemon ospf 101Eudemon-ospf-101 area 0Eudemon-ospf-101-area-0.0.0.0 network 10.100.30.0 0.0.0.255Eudemon-ospf-101-area-0.0.0.0 quit# 在Eudemo

22、n A上配置引入与交换机相连的网段的直连路由。注意: 引入直连路由时,不能引入HRP备份通道接口所在网段的路由。因此必须通过配置路由策略只引入与交换机相连的网段的直连路由。Eudemon acl 2009Eudemon-acl-basic-2009 description forRoutePolicyOnlyEudemon-acl-basic-2009 rule permit source 192.168.1.0 0.0.255.255Eudemon-acl-basic-2009 quitEudemon route-policy r1 permit node 1Eudemon-route-po

23、licy if-match acl 2009Eudemon-route-policy quitEudemon ospf 101Eudemon-ospf-101 import-route direct route-policy r1Eudemon-ospf-101 quit# 配置根据HRP状态调整OSPF的相关COST值的功能。注意: Eudemon工作在路由模式下且部署于OSPF网络中做双机热备份时,主备Eudemon上都必须配置该命令。Eudemon hrp ospf-cost adjust-enable# 配置VGMP管理组的抢占功能为开启状态,且抢占延迟大于故障恢复后OSPF协议的收敛

24、时间。说明: 根据实际组网情况分析故障恢复后OSPF协议的收敛时间,必须配置此抢占延迟大于OSPF的收敛时间。Eudemon hrp preempt delay 60# 在接口视图下配置Master管理组监视接口状态。Eudemon interface GigabitEthernet 1/0/1Eudemon-GigabitEthernet1/0/1 hrp track masterEudemon-GigabitEthernet1/0/1 quit# 配置会话快速备份。Eudemon hrp mirror session enable# 配置HRP备份通道。注意: 主备Eudemon的HRP备

25、份通道接口必须直接相连,中间不能连接交换机。Eudemon hrp interface GigabitEthernet 1/0/2# 启动HRP。Eudemon hrp enable2. 配置Eudemon B。 Eudemon B和Eudemon A的配置基本相同,不同之处在于: Eudemon B各接口的IP地址与Eudemon A各接口的IP地址不相同。 在Eudemon B的接口GigabitEthernet 1/0/0上配置VRRP备份组时,与Eudemon A的Master管理组对应的必须配置为Slave管理组。 在Eudemon B上不需要配置VGMP管理组的抢占功能。3. 在E

26、udemon A上启动配置命令的自动备份、配置ACL,并配置Trust区域和Untrust区域的域间包过滤规则。 说明: 当Eudemon A和Eudemon B都启动HRP功能完成后,在Eudemon A上开启配置命令的自动备份,这样在Eudemon A上配置的ACL以及域间包过滤规则都将自动备份到Eudemon B,不需要再在Eudemon B上单独配置。# 启动配置命令的自动备份功能。HRP_MEudemon hrp auto-sync config# 创建基本ACL 2000,配置源地址为192.168.1.0/24的规则。HRP_MEudemon acl 2000HRP_MEudem

27、on-acl-basic-2000 rule permit source 192.168.1.0 0.0.0.255HRP_MEudemon-acl-basic-2000 quit# 配置Trust区域和Untrust区域的域间包过滤规则。HRP_MEudemon firewall interzone trust untrustHRP_MEudemon-interzone-trust-untrust packet-filter 2000 outboundHRP_MEudemon-interzone-trust-untrust quit4. 配置路由器。 在路由器上配置OSPF,具体配置命令请参

28、考路由器的相关文档。5. 配置交换机。 # 实际应用中,Switch与Eudemon相连的接口一般是二层接口,配置Eudemon A、Eudemon B连接到Switch的接口以及Switch连接到Trust区域的接口,将此三个接口加入同一个VLAN。# 在PC1上配置静态路由,将VRRP备份组2的虚拟IP地址作为到达其他网段的下一跳地址。具体配置命令请参考交换机的相关文档。结果验证1. 在Eudemon A上执行display vrrp命令,检查VRRP备份组内接口的状态信息,显示以下信息表示VRRP备份组建立成功。2. HRP_MEudemon display vrrp3. Gigabit

29、Ethernet1/0/0 | Virtual Router 14. VRRP Group : Master5. state : Master6. Virtual IP : 192.168.1.107. Virtual MAC : 0000-5e00-01018. Primary IP : 192.168.1.59. PriorityRun : 12010. PriorityConfig : 10011. MasterPriority : 12012. Preempt : YES Delay Time : 013. Timer : 114. Auth Type : NONE Check TTL

30、 : YES 15. 在Eudemon A上执行display hrp state命令,检查当前HRP的状态,显示以下信息表示HRP建立成功。16. HRP_MEudemon display hrp state17. The firewalls config state is: MASTER18. 19. Current state of virtual routers configured as master:20. GigabitEthernet1/0/0 vrid 1 : master21. 22. Current state of interfaces tracked by master: GigabitEthernet1/0/1 : up23. PC2作为HTTP服务器位于Untrust区域,对外提供HTTP服务

copyright@ 2008-2022 冰豆网网站版权所有

经营许可证编号:鄂ICP备2022015515号-1