防火墙双双机热备

news2024/11/24 14:10:09

设备直路部署,上下行连接交换机


图所示,DeviceA和DeviceB的业务接口都工作在三层,上下行分别连接二层交换机。上行交换机连接运营商的接入点,运营商为企业分配的IP地址为1.1.1.3和1.1.1.4。现在希望DeviceA和DeviceB以负载分担方式工作。正常情况下,DeviceA和DeviceB共同转发流量;当其中一台设备出现故障时,另外一台设备转发全部业务,保证业务不中断。

操作步骤
  1. 完成网络基本配置。

    DeviceA

    DeviceB

    # 配置DeviceA和DeviceB各接口的IP地址。

    <HUAWEI> system-view
    [HUAWEI] sysname DeviceA
    [DeviceA] interface 10ge 0/0/1
    [DeviceA-10GE0/0/1] ip address 10.2.0.1 24
    [DeviceA-10GE0/0/1] quit 
    [DeviceA] interface 10ge 0/0/3
    [DeviceA-10GE0/0/3] ip address 10.3.0.1 24
    [DeviceA-10GE0/0/3] quit 
    [DeviceA] interface 10ge 0/0/7
    [DeviceA-10GE0/0/7] ip address 10.10.0.1 24
    [DeviceA-10GE0/0/7] quit 
    <HUAWEI> system-view
    [HUAWEI] sysname DeviceB
    [DeviceB] interface 10ge 0/0/1
    [DeviceB-10GE0/0/1] ip address 10.2.0.2 24
    [DeviceB-10GE0/0/1] quit 
    [DeviceB] interface 10ge 0/0/3
    [DeviceB-10GE0/0/3] ip address 10.3.0.2 24
    [DeviceB-10GE0/0/3] quit 
    [DeviceB] interface 10ge 0/0/7
    [DeviceB-10GE0/0/7] ip address 10.10.0.2 24
    [DeviceB-10GE0/0/7] quit 

    # 将DeviceA和DeviceB各接口加入相应的安全区域。

    [DeviceA] firewall zone untrust
    [DeviceA-zone-untrust] add interface 10ge 0/0/1
    [DeviceA-zone-untrust] quit
    [DeviceA] firewall zone trust
    [DeviceA-zone-trust] add interface 10ge 0/0/3
    [DeviceA-zone-trust] quit 
    [DeviceA] firewall zone dmz
    [DeviceA-zone-dmz] add interface 10ge 0/0/7
    [DeviceA-zone-dmz] quit 
    [DeviceB] firewall zone untrust
    [DeviceB-zone-untrust] add interface 10ge 0/0/1
    [DeviceB-zone-untrust] quit
    [DeviceB] firewall zone trust
    [DeviceB-zone-trust] add interface 10ge 0/0/3
    [DeviceB-zone-trust] quit 
    [DeviceB] firewall zone dmz
    [DeviceB-zone-dmz] add interface 10ge 0/0/7
    [DeviceB-zone-dmz] quit

    # 在DeviceA和DeviceB上配置一条缺省路由,下一跳为1.1.1.10,使内网用户的流量可以正常转发至Router。

    [DeviceA] ip route-static 0.0.0.0 0.0.0.0 1.1.1.10
    [DeviceB] ip route-static 0.0.0.0 0.0.0.0 1.1.1.10

  2. 配置VRRP备份组。

    为了实现负载分担组网需要在每个业务接口上配置两个VRRP备份组,一个设置状态为Active,另一个设置状态为Standby。

    DeviceA

    DeviceB

    # 在DeviceA上行业务接口10GE0/0/1上配置VRRP备份组1,并将其状态设置为Active;配置VRRP备份组2,并将其状态设置为Standby。在DeviceB上行业务接口10GE0/0/1上配置VRRP备份组1,并将其状态设置为Standby;配置VRRP备份组2,并将其状态设置为Active。需要注意的是:如果接口的IP地址与VRRP备份组地址不在同一网段,则配置VRRP备份组地址时需要指定掩码。

    [DeviceA] interface 10ge 0/0/1
    [DeviceA-10GE0/0/1] vrrp vrid 1 virtual-ip 1.1.1.3 24 active
    [DeviceA-10GE0/0/1] vrrp vrid 2 virtual-ip 1.1.1.4 24 standby
    [DeviceA-10GE0/0/1] quit
    [DeviceB] interface 10ge 0/0/1
    [DeviceB-10GE0/0/1] vrrp vrid 1 virtual-ip 1.1.1.3 24 standby
    [DeviceB-10GE0/0/1] vrrp vrid 2 virtual-ip 1.1.1.4 24 active
    [DeviceB-10GE0/0/1] quit

    # 在DeviceA下行业务接口10GE0/0/3上配置VRRP备份组3,并将其状态设置为Active;配置VRRP备份组4,并将其状态设置为Standby。在DeviceB下行业务接口10GE0/0/3上配置VRRP备份组3,并将其状态设置为Standby;配置VRRP备份组4,并将其状态设置为Active。

    [DeviceA] interface 10ge 0/0/3
    [DeviceA-10GE0/0/3] vrrp vrid 3 virtual-ip 10.3.0.3 active
    [DeviceA-10GE0/0/3] vrrp vrid 4 virtual-ip 10.3.0.4 standby
    [DeviceA-10GE0/0/3] quit 
    [DeviceB] interface 10ge 0/0/3
    [DeviceB-10GE0/0/3] vrrp vrid 3 virtual-ip 10.3.0.3 standby
    [DeviceB-10GE0/0/3] vrrp vrid 4 virtual-ip 10.3.0.4 active
    [DeviceB-10GE0/0/3] quit 
  3. 配置安全策略,允许心跳接口之间交互HRP报文。

DeviceA

DeviceB

[DeviceA] security-policy
[DeviceA-policy-security] rule name ha_local_to_dmz
[DeviceA-policy-security-rule-ha_local_to_dmz] source-zone local dmz
[DeviceA-policy-security-rule-ha_local_to_dmz] destination-zone local dmz
[DeviceA-policy-security-rule-ha_local_to_dmz] service protocol udp destination-port 18514
[DeviceA-policy-security-rule-ha_local_to_dmz] action permit
[DeviceA-policy-security-rule-ha_local_to_dmz] quit
[DeviceA-policy-security] quit
[DeviceB] security-policy
[DeviceB-policy-security] rule name ha_local_to_dmz
[DeviceB-policy-security-rule-ha_local_to_dmz] source-zone local dmz
[DeviceB-policy-security-rule-ha_local_to_dmz] destination-zone local dmz
[DeviceB-policy-security-rule-ha_local_to_dmz] service protocol udp destination-port 18514
[DeviceB-policy-security-rule-ha_local_to_dmz] action permit
[DeviceB-policy-security-rule-ha_local_to_dmz] quit
[DeviceB-policy-security] quit

4. 配置会话快速备份功能,指定心跳口并启用双机热备功能。

DeviceA

DeviceB

# 负载分担组网下,DeviceA和DeviceB都转发流量,为了防止来回路径不一致,需要在两台设备上都配置会话快速备份功能。

[DeviceA] hrp mirror session enable
[DeviceB] hrp mirror session enable

# 在DeviceA和DeviceB上指定心跳接口,配置认证密钥,并启用双机热备功能。

[DeviceA] hrp interface 10ge 0/0/7 remote 10.10.0.2 
[DeviceA] hrp authentication-key Admin@123
[DeviceA] hrp enable 
[DeviceB] hrp interface 10ge 0/0/7 remote 10.10.0.1 
[DeviceB] hrp authentication-key Admin@123
[DeviceB] hrp enable 

5. 在DeviceA上配置安全策略。双机热备状态成功建立后,DeviceA的安全策略配置会自动备份到DeviceB上。

# 配置安全策略,允许内网用户访问Internet。

HRP_M[DeviceA] security-policy
HRP_M[DeviceA-policy-security] rule name trust_to_untrust  
HRP_M[DeviceA-policy-security-rule-trust_to_untrust] source-zone trust
HRP_M[DeviceA-policy-security-rule-trust_to_untrust] destination-zone untrust
HRP_M[DeviceA-policy-security-rule-trust_to_untrust] action permit
HRP_M[DeviceA-policy-security-rule-trust_to_untrust] source-address 10.3.0.0 24
HRP_M[DeviceA-policy-security-rule-trust_to_untrust] quit
HRP_M[DeviceA-policy-security] quit  

6. 在DeviceA上配置NAT策略。双机热备状态成功建立后,DeviceA的NAT策略配置会自动备份到DeviceB上。

# 配置NAT策略,当内网用户访问Internet时,将源地址由10.3.0.0/24网段转换为地址池中的地址(1.1.2.5-1.1.2.8)。

HRP_M[DeviceA] nat address-group group1
HRP_M[DeviceA-address-group-group1] section 0 1.1.2.5 1.1.2.8
HRP_M[DeviceA-address-group-group1] quit
HRP_M[DeviceA] nat-policy
HRP_M[DeviceA-policy-nat] rule name policy_nat1  
HRP_M[DeviceA-policy-nat-rule-policy_nat1] source-zone trust
HRP_M[DeviceA-policy-nat-rule-policy_nat1] destination-zone untrust
HRP_M[DeviceA-policy-nat-rule-policy_nat1] source-address 10.3.0.0 24 
HRP_M[DeviceA-policy-nat-rule-policy_nat1] action source-nat address-group group1
HRP_M[DeviceA-policy-nat-rule-policy_nat1] quit
HRP_M[DeviceA-policy-nat] quit 

# 对于双机热备的负载分担组网,为了防止两台设备进行NAT转换时端口冲突,需要在DeviceA和DeviceB上分别配置可用的端口范围。在DeviceA上进行如下配置:

HRP_M[DeviceA] hrp nat resource primary-group

DeviceA配置此命令后,DeviceB上会自动备份此命令,并转换成hrp nat resource secondary-group命令。

7. 配置Switch和PC。

        a.分别将两台Switch的三个接口加入同一个VLAN,具体配置命令请参考交换机的相关文档。

        b. 在内网的部分PC上将VRRP备份组3的地址10.3.0.3设置为默认网关,在内网的另一部分PC上将VRRP备份组4的地址10.3.0.4设置为默认网关,从而实现内网流量的负载分担。

8. 配置Router。

        在Router上配置到NAT地址池的等价路由,路由下一跳分别指向VRRP备份组1和VRRP备份组2的虚拟IP地址。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1871155.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

鸿蒙 雷达图 绘制 人生四运图

let radius = Math.min(this.context.width, this.context.height) / 2 - 20;let centerX = this.context.width / 2;let centerY = this.context.height / 2;// 绘制圆环this.context.strokeStyle = #E4E4E4;const numRings = 5;const ringInterval = 1;for (let i = 0; i <…

Zookeeper:基于Zookeeper的分布式锁

一、Zookeeper分布式锁原理 二、Zookeeper JavaAPI操作 1、Curator介绍 Curator是Apache Zookeeper的Java客户端。常见的Zookeeper Java API&#xff1a; 原生Java API。ZkClient。Curator。 Curator项目目标是简化Zookeeper客户端的使用。Curator最初是Netfix研发的&#xf…

C++学习笔记---串口通信

串口基础知识 DB9针的RS-232串口&#xff0c;分别是公头、母头&#xff0c;这两种串口可以连接在一起。DB9针的串口信号脚编号及信号脚的具体含义如下 串口通信可以使用3根线完成&#xff0c;对应信号脚分别是&#xff1a;2接收、3发送、5地线。对此&#xff0c;有个简单的记法…

你知道大数据信用分低需要如何改善吗?

在当今社会&#xff0c;大数据信用分已经成为个人信用评估的重要指标之一。然而&#xff0c;有时候我们会发现自己的大数据信用分较低&#xff0c;这可能会对我们的信用状况产生负面影响。那么&#xff0c;如何改善自己的大数据信用分呢?本文将从信用分低的原因进行分析&#…

python pyautogui.position实时输出坐标

import pyautogui import timewhile True:# 获取鼠标当前坐标x, y pyautogui.position()# 打印坐标print(f"当前坐标&#xff1a;({x}, {y})")# 暂停1秒time.sleep(1) 输出实时鼠标位置坐标

6.26.4.1 基于交叉视角变换的未配准医学图像多视角分析

1. 介绍 许多医学成像任务使用来自多个视图或模式的数据&#xff0c;但很难有效地将这些数据结合起来。虽然多模态图像通常可以在神经网络中作为多个输入通道进行配准和处理&#xff0c;但来自不同视图的图像可能难以正确配准(例如&#xff0c;[2])。因此&#xff0c;大多数多视…

【集成学习】基于python的stacking回归预测

1 回归模型 当涉及到线性回归、岭回归、套索回归、决策树回归、随机森林回归、梯度提升回归和支持向量机回归模型的原理时&#xff0c;我们可以按照以下方式清晰地解释它们&#xff1a; 1.1 线性回归 线性回归是利用数理统计中的回归分析来确定两种或两种以上变量间相互依赖的…

说一说ABAP CDS View的发展历史与特性

1. 背景 随着SAP Fiori应用程序的兴起&#xff0c;SAP领域的小伙伴接触和使用ABAP CDS View的机会也是越来越多。今天&#xff0c;让我们花些时间&#xff0c;一起在了解下这项技术的设计初衷和发展历史。 2. 设计初衷 说起ABAP CDS View&#xff0c;就不得不提及SAP HANA。…

从零开始了解GPT-4o模型:它是如何工作的?

人工智能&#xff08;AI&#xff09;技术正以惊人的速度发展&#xff0c;其中最引人注目的是OpenAI发布的GPT-4o模型。作为GPT系列的新成员&#xff0c;GPT-4o在多模态输入处理和响应速度上取得了重大进展。本文将深入探讨GPT-4o的工作原理&#xff0c;帮助您全面了解这一尖端A…

2、数据库模型图、er图

关系 user和administarators是多对一的关系 user和order是一对多的关系 shipped和order是多对一的关系 order和books是多对多的关系 leavewords和order是一对一的关系 stock和books是一对多的关系 Chens 数据库表示法——ER图 Crows Foot数据库表示法——数据库模型图 Navicat表…

【实战教程】如何使用JMeter来轻松测试WebSocket接口?

1、websocket接口原理 打开网页&#xff1a;从http协议&#xff0c;升级到websocket协议&#xff0c;请求建立websocket连接服务器返回建立成功成功客户端向服务端发送匹配请求服务端选择一个客服上线服务器返回客服id客户端向服务器发送消息服务器推送消息给指定的客服服务器…

经典神经网络(13)GPT-1、GPT-2原理及nanoGPT源码分析(GPT-2)

经典神经网络(13)GPT-1、GPT-2原理及nanoGPT源码分析(GPT-2) 2022 年 11 月&#xff0c;ChatGPT 成功面世&#xff0c;成为历史上用户增长最快的消费者应用。与 Google、FaceBook等公司不同&#xff0c;OpenAI 从初代模型 GPT-1 开始&#xff0c;始终贯彻只有解码器&#xff0…

Vue-cli搭建项目----基础版

什么是Vue-cli 全称:Vue command line interface 是一个用于快速搭建Vue.js项目的标准工具,他简化了Vue.js应用的创建和管理过程,通过命令工具帮助开发者快速生成,配置和管理Vue项目. 主要功能 同一的目录结构本地调试热部署单元测试集成打包上线 具体操作 第一步创建项目:…

STL-迭代器

1.迭代器 1.1正向迭代器 正向迭代器是用一个类封装的&#xff0c;迭代器类。例如&#xff1a;在vector&#xff0c;string中的迭代器就相当于一个指针&#xff0c;在list类中用一个类来封装一个节点&#xff0c;实质上也还是一个指针&#xff0c;迭代器就相当于指向一个节点的…

Ueditor中集成135编辑器

一、背景 在资讯项目平台运营过程中&#xff0c;资讯需要排版&#xff0c;一般都是在135编辑器排好以后&#xff0c;复制到平台中UEditor编辑器中&#xff0c;所以&#xff0c;他们建议集成一下135哈 二、了解135编辑器 开始调研了解135编辑器&#xff0c;发现人家就支持集成…

系统架构师考点--系统配置与性能评价

大家好。今天我们来总结一下系统配置与性能评价的考点内容&#xff0c;这一部分一般是出在上午场的选择题中&#xff0c;占1-2分左右。 一、性能指标 计算机 对计算机评价的主要性能指标有&#xff1a;时钟频率(主频)&#xff1b;运算速度&#xff1b;运算精度内存的存储容量…

通达信机构买卖抓牛指标公式源码

通达信机构买卖抓牛指标公式源码&#xff1a; X_1:V/CLOSE/2; X_2:SUM(IF(X_1>100 AND CLOSE>REF(CLOSE,1),X_1,0),0); X_3:SUM(IF(X_1>100 AND CLOSE<REF(CLOSE,1),X_1,0),0); X_4:SUM(IF(X_1<100 AND CLOSE>REF(CLOSE,1),X_1,0),0); X_5:SUM(IF(X_1&l…

涉案财物管理系统|DW-S405系统实现涉案财物科学化管理

随着社会的不断发展&#xff0c;犯罪形式日益复杂&#xff0c;涉案财物的种类和数量也不断增加。传统的涉案财物管理方式已经无法满足现代执法办案的需求。因此&#xff0c;建立一套科学、高效、规范的警用涉案财物管理系统成为公安机关亟待解决的问题。 涉案财物管理系统DW-S…

sheng的学习笔记-AI-K均值算法

ai目录&#xff1a;sheng的学习笔记-AI目录-CSDN博客 需要学习前置知识&#xff1a;聚类&#xff0c;可参考 sheng的学习笔记-聚类(Clustering)-CSDN博客 目录 什么是k均值算法 流程 伪代码 数据集 伪代码 代码解释 划分示意图 优化目标 随机初始化 选择聚类数…

快来看,错过了今天就要设置为vip文章了----openEuler:智能算力时代的数字基础设施底座

会议主题&#xff1a;openEuler2024全球发展展望与战略规划 OpenEuler2024项目在2024年成功推出了多个长期支持&#xff08;LTS&#xff09;版本&#xff0c;标志着其在智能技术领域的全新篇章&#xff0c;并致力于构建全球性的开源新生态。以下是该项目的主要内容和成就概览&a…