成人免费xxxxx在线视频软件_久久精品久久久_亚洲国产精品久久久_天天色天天色_亚洲人成一区_欧美一级欧美三级在线观看

掌握防火墻雙機熱備,確保業(yè)務(wù)不間斷!

作者:didiplus
安全
防火墻雙機熱備技術(shù),宛如網(wǎng)絡(luò)的安全雙保險,確保在一臺防火墻發(fā)生故障或停機時,另一臺能夠即時接管,實現(xiàn)無縫切換,保持網(wǎng)絡(luò)的不間斷運行。

在網(wǎng)絡(luò)安全的領(lǐng)域中,保障連續(xù)性和可靠性至關(guān)重要。而防火墻雙機熱備技術(shù),宛如網(wǎng)絡(luò)的安全雙保險,確保在一臺防火墻發(fā)生故障或停機時,另一臺能夠即時接管,實現(xiàn)無縫切換,保持網(wǎng)絡(luò)的不間斷運行。這種高可用性的設(shè)計為網(wǎng)絡(luò)架構(gòu)提供了額外的安全層,應(yīng)對潛在風(fēng)險,確保網(wǎng)絡(luò)的穩(wěn)定與安全。

今天來分享一下防火墻雙機熱備的基本配置方法。下圖是今天的實驗拓撲:

實驗拓撲

實驗需求

  • 部署防墻雙機熱備負載分擔(dān),實現(xiàn)VLAN10、VLAN20訪問服務(wù)器的流量分別使用不同的防火墻轉(zhuǎn)發(fā)。
  • 若防火墻檢測到上行鏈路故障,則切換到另外一個防火墻轉(zhuǎn)發(fā)(使用IP LINK與BFD實現(xiàn))。
  • 用戶網(wǎng)關(guān)接口位于防火墻的子接口。

配置步驟

(1) 配置SW1,創(chuàng)建VLAN10和VLAN20,并GE0/0/10和GE0/0/20分別加入到VLAN10和VLAN20中,并把GE0/0/1和GE0/0/2配置成trunk,允許VLAN10、20通過。關(guān)鍵配置如下:

vlan batch 10 20

interface GigabitEthernet0/0/1
 port link-type trunk
 port trunk allow-pass vlan 10 20
#
interface GigabitEthernet0/0/2
 port link-type trunk
 port trunk allow-pass vlan 10 20

interface GigabitEthernet0/0/10
 port link-type access
 port default vlan 10
interface GigabitEthernet0/0/20
 port link-type access
 port default vlan 20

(2) 配置防火墻,優(yōu)先開啟HRP功能。

配置心跳接口的IP地址,并把心跳接口加入到DMZ區(qū)域。關(guān)鍵配置如下:

# FW1的心跳配置
firewall zone dmz
 set priority 50
 add interface GigabitEthernet1/0/0
interface GigabitEthernet1/0/0
 undo shutdown
 ip address 10.1.123.1 255.255.255.252 

# FW2的心跳配置
firewall zone dmz
 set priority 50
 add interface GigabitEthernet1/0/0
interface GigabitEthernet1/0/0
 undo shutdown
 ip address 10.1.123.2 255.255.255.252

使能HRP功能,關(guān)鍵配置如下:

# FW1的使能HRP
hrp enable
hrp interface GigabitEthernet 1/0/0 remote  10.1.123.2

# FW2的使能HRP
hrp enable
hrp interface GigabitEthernet 1/0/0 remote  10.1.123.1

配置子接口作為VLAN10和VLAN20的網(wǎng)關(guān),讓FW1作為VLAN10的主設(shè)備、FW2作為VLAN10的備份。當(dāng)出現(xiàn)故障時,F(xiàn)W2切換成主設(shè)備。VLAN20則是相反的配置。

# FW1的使能VRRP功能
interface GigabitEthernet1/0/2.10
 vlan-type dot1q 10
 ip address 10.1.10.252 255.255.255.0
 vrrp vrid 10 virtual-ip 10.1.10.254 active

interface GigabitEthernet1/0/2.20
 vlan-type dot1q 20
 ip address 10.1.20.252 255.255.255.0
 vrrp vrid 20 virtual-ip 10.1.20.254 standby

# FW2的使能VRRP功能
interface GigabitEthernet1/0/2.10
 vlan-type dot1q 10
 ip address 10.1.10.253 255.255.255.0
 vrrp vrid 10 virtual-ip 10.1.10.254 standby

 interface GigabitEthernet1/0/2.20
 vlan-type dot1q 20
 ip address 10.1.20.253 255.255.255.0
 vrrp vrid 20 virtual-ip 10.1.20.254 active

配置防火墻上行接口,并把上行接口加入到untrust區(qū)域中。關(guān)鍵配置如下:

#FW1配置
interface GigabitEthernet1/0/1
 undo shutdown
 ip address 10.1.121.2 255.255.255.252
firewall zone untrust
 set priority 5
 add interface GigabitEthernet1/0/1
#FW2配置
interface GigabitEthernet1/0/1
 undo shutdown
 ip address 10.1.122.2 255.255.255.252
firewall zone untrust
 set priority 5
 add interface GigabitEthernet1/0/1

使能OSPF功能。關(guān)鍵配置如下:

#FW1配置
ospf 1 router-id 2.2.2.2
 silent-interface GigabitEthernet1/0/2.10
 silent-interface GigabitEthernet1/0/2.20
 area 0.0.0.0
  network 10.1.0.0 0.0.255.255
  network 10.1.121.2 0.0.0.0
#FW2配置
ospf 1 router-id 3.3.3.3
 silent-interface GigabitEthernet1/0/2.10
 silent-interface GigabitEthernet1/0/2.20
 area 0.0.0.0
  network 10.1.0.0 0.0.255.255
  network 10.1.122.2 0.0.0.0

放通安全策略,關(guān)鍵配置如下:

ip address-set net10 type object
 address 0 10.1.10.0 mask 24
 address 1 10.1.20.0 mask 24

security-policy
 rule name LOCAL-ANY
  source-zone local
  action permit
 rule name trust->untrust
  source-zone trust
  destination-zone untrust
  source-address address-set net10
  action permit

(3) 配置R1路由器,并啟用OSPF功能。關(guān)鍵配置如下:

interface GigabitEthernet0/0/0
 ip address 10.1.1.254 255.255.255.0 
#
interface GigabitEthernet0/0/1
 ip address 10.1.121.1 255.255.255.252 
#
interface GigabitEthernet0/0/2
 ip address 10.1.122.1 255.255.255.252 

ospf 1 router-id 1.1.1.1 
 area 0.0.0.0 
  network 10.1.121.1 0.0.0.0 
  network 10.1.122.1 0.0.0.0 
  network 10.1.1.0 0.0.0.255

完成上述的配置后,在PC1上進行測試,發(fā)現(xiàn)不通。如下圖:

PC1上測試

由于該案例中防火墻采用的是雙活方式部署,數(shù)據(jù)包有可能來回的路徑不一樣導(dǎo)致不通,所以防火墻使用雙活部署方式,需要開啟狀態(tài)信息同步開關(guān)。

#FW1和FW2
hrp mirror session  enable

完成上述配置再次進行測試,如下圖:

PC1

PC2

從上述的測試結(jié)果,PC1的流量從FW1進行轉(zhuǎn)發(fā),PC2的流量從FW2進行轉(zhuǎn)發(fā)。

tracert 路徑跟蹤防火墻不顯示,可以使用如下命令:

icmp ttl-exceeded send

為了提高網(wǎng)絡(luò)的健壯性,我們需要借助IP-Link和BFD技術(shù)檢測上行鏈路是否故障。當(dāng)檢測故障后,及時進行主備切換。

在防火墻FW1上使用IP-Link技術(shù)。關(guān)鍵配置如下:

#FW1 配置IP-Link檢測上行鏈路
ip-link check enable
ip-link name TEST_R1
 destination 10.1.121.1 mode icmp
hrp track ip-link TEST_R1

完成上述配置后,檢查雙機熱備的狀態(tài)。如下圖:

雙機熱備的狀態(tài)

在防火墻FW2上使用BFD技術(shù)。關(guān)鍵配置如下:

#FW2配置BDF檢測上行鏈路
bfd test_R1 bind peer-ip 10.1.122.1 interface GigabitEthernet1/0/1
 discriminator local 1301
 discriminator remote 1013
 commit
hrp track bfd-session  1301

#在R1上配置BDF
bfd test_fw2 bind peer-ip 10.1.122.2 interface GigabitEthernet0/0/2
 discriminator local 1013
 discriminator remote 1301
 commit

在R1路由器上查看BFD的狀態(tài)。如下圖:

BFD的狀態(tài)

防火墻上查看BFD的狀態(tài),如下圖:

測試雙機熱備的切換情況,如下圖:

雙機發(fā)生切換

在PC2上進行測試,發(fā)現(xiàn)PC2的流量走到了FW1上,如下圖:

PC2路徑跟蹤

責(zé)任編輯:趙寧寧 來源: 攻城獅成長日記
防火墻網(wǎng)絡(luò) 安全雙機熱備
相關(guān)推薦

2017-06-16 10:39:51

雙機熱備軟件

2016-03-27 15:06:02

Veeam/業(yè)務(wù)永續(xù)

2013-03-07 15:06:39

IBM云計算SmartCloud

2009-12-10 16:02:11

Juniper防火墻配

2009-01-09 22:37:43

服務(wù)器系統(tǒng)故障

2023-08-29 17:08:14

5G物聯(lián)網(wǎng)

2010-12-21 18:04:26

2010-12-08 09:29:27

下一代防火墻

2010-09-14 13:08:52

2021-02-22 22:06:54

軟件安全數(shù)據(jù)安全漏洞

2009-10-16 11:09:37

2021-06-25 18:31:37

云防火墻

2010-05-24 17:49:56

2011-06-27 13:31:21

2015-12-28 15:24:48

數(shù)據(jù)中心網(wǎng)絡(luò)設(shè)備

2011-03-25 11:18:51

2009-09-24 13:53:53

2010-09-09 17:22:36

2024-09-09 13:01:52

2013-07-04 10:16:24

點贊
收藏

51CTO技術(shù)棧公眾號

主站蜘蛛池模板: 欧美一区二区三区四区视频 | 91麻豆精品国产91久久久更新资源速度超快 | 精品欧美乱码久久久久久 | 99精品久久久国产一区二区三 | 五十女人一级毛片 | 在线观看亚洲一区二区 | 91精品亚洲 | 午夜一区 | 奇米av| 小川阿佐美pgd-606在线 | 亚洲欧美成人在线 | 欧美激情久久久 | 中文字幕久久精品 | 日本午夜网 | 亚洲精品久久久久久久久久吃药 | 国产成人叼嘿视频在线观看 | 久久99精品久久久久久青青日本 | 亚洲一区二区三区免费视频 | 午夜一区二区三区在线观看 | 精品1区2区| 国产成人啪免费观看软件 | 日本久久网站 | 亚洲男人网| 久久精品久久综合 | 国产免费拔擦拔擦8x高清 | 日韩精品一区二区三区四区 | 秋霞电影一区二区 | 在线观看成人 | 成人精品久久日伦片大全免费 | 亚洲九九| 国产日韩精品一区二区 | 亚洲一区久久 | 五月婷婷 六月丁香 | av影音在线 | 色香蕉在线 | 日韩1区2区| 九九热在线视频观看这里只有精品 | www.亚洲视频.com | 91社区在线高清 | 第一区在线观看免费国语入口 | 国产成人久久 |