自拍偷在线精品自拍偷,亚洲欧美中文日韩v在线观看不卡

掌握防火墻雙機(jī)熱備,確保業(yè)務(wù)不間斷!

作者:didiplus
安全
防火墻雙機(jī)熱備技術(shù),宛如網(wǎng)絡(luò)的安全雙保險(xiǎn),確保在一臺(tái)防火墻發(fā)生故障或停機(jī)時(shí),另一臺(tái)能夠即時(shí)接管,實(shí)現(xiàn)無縫切換,保持網(wǎng)絡(luò)的不間斷運(yùn)行。

在網(wǎng)絡(luò)安全的領(lǐng)域中,保障連續(xù)性和可靠性至關(guān)重要。而防火墻雙機(jī)熱備技術(shù),宛如網(wǎng)絡(luò)的安全雙保險(xiǎn),確保在一臺(tái)防火墻發(fā)生故障或停機(jī)時(shí),另一臺(tái)能夠即時(shí)接管,實(shí)現(xiàn)無縫切換,保持網(wǎng)絡(luò)的不間斷運(yùn)行。這種高可用性的設(shè)計(jì)為網(wǎng)絡(luò)架構(gòu)提供了額外的安全層,應(yīng)對(duì)潛在風(fēng)險(xiǎn),確保網(wǎng)絡(luò)的穩(wěn)定與安全。

今天來分享一下防火墻雙機(jī)熱備的基本配置方法。下圖是今天的實(shí)驗(yàn)拓?fù)洌?/p>

實(shí)驗(yàn)拓?fù)?/p>

實(shí)驗(yàn)需求

  • 部署防墻雙機(jī)熱備負(fù)載分擔(dān),實(shí)現(xiàn)VLAN10、VLAN20訪問服務(wù)器的流量分別使用不同的防火墻轉(zhuǎn)發(fā)。
  • 若防火墻檢測(cè)到上行鏈路故障,則切換到另外一個(gè)防火墻轉(zhuǎn)發(fā)(使用IP LINK與BFD實(shí)現(xiàn))。
  • 用戶網(wǎng)關(guān)接口位于防火墻的子接口。

配置步驟

(1) 配置SW1,創(chuàng)建VLAN10和VLAN20,并GE0/0/10和GE0/0/20分別加入到VLAN10和VLAN20中,并把GE0/0/1和GE0/0/2配置成trunk,允許VLAN10、20通過。關(guān)鍵配置如下:

vlan batch 10 20

interface GigabitEthernet0/0/1
 port link-type trunk
 port trunk allow-pass vlan 10 20
#
interface GigabitEthernet0/0/2
 port link-type trunk
 port trunk allow-pass vlan 10 20

interface GigabitEthernet0/0/10
 port link-type access
 port default vlan 10
interface GigabitEthernet0/0/20
 port link-type access
 port default vlan 20

(2) 配置防火墻,優(yōu)先開啟HRP功能。

配置心跳接口的IP地址,并把心跳接口加入到DMZ區(qū)域。關(guān)鍵配置如下:

# FW1的心跳配置
firewall zone dmz
 set priority 50
 add interface GigabitEthernet1/0/0
interface GigabitEthernet1/0/0
 undo shutdown
 ip address 10.1.123.1 255.255.255.252 

# FW2的心跳配置
firewall zone dmz
 set priority 50
 add interface GigabitEthernet1/0/0
interface GigabitEthernet1/0/0
 undo shutdown
 ip address 10.1.123.2 255.255.255.252

使能HRP功能,關(guān)鍵配置如下:

# FW1的使能HRP
hrp enable
hrp interface GigabitEthernet 1/0/0 remote  10.1.123.2

# FW2的使能HRP
hrp enable
hrp interface GigabitEthernet 1/0/0 remote  10.1.123.1

配置子接口作為VLAN10和VLAN20的網(wǎng)關(guān),讓FW1作為VLAN10的主設(shè)備、FW2作為VLAN10的備份。當(dāng)出現(xiàn)故障時(shí),F(xiàn)W2切換成主設(shè)備。VLAN20則是相反的配置。

# FW1的使能VRRP功能
interface GigabitEthernet1/0/2.10
 vlan-type dot1q 10
 ip address 10.1.10.252 255.255.255.0
 vrrp vrid 10 virtual-ip 10.1.10.254 active

interface GigabitEthernet1/0/2.20
 vlan-type dot1q 20
 ip address 10.1.20.252 255.255.255.0
 vrrp vrid 20 virtual-ip 10.1.20.254 standby

# FW2的使能VRRP功能
interface GigabitEthernet1/0/2.10
 vlan-type dot1q 10
 ip address 10.1.10.253 255.255.255.0
 vrrp vrid 10 virtual-ip 10.1.10.254 standby

 interface GigabitEthernet1/0/2.20
 vlan-type dot1q 20
 ip address 10.1.20.253 255.255.255.0
 vrrp vrid 20 virtual-ip 10.1.20.254 active

配置防火墻上行接口,并把上行接口加入到untrust區(qū)域中。關(guān)鍵配置如下:

#FW1配置
interface GigabitEthernet1/0/1
 undo shutdown
 ip address 10.1.121.2 255.255.255.252
firewall zone untrust
 set priority 5
 add interface GigabitEthernet1/0/1
#FW2配置
interface GigabitEthernet1/0/1
 undo shutdown
 ip address 10.1.122.2 255.255.255.252
firewall zone untrust
 set priority 5
 add interface GigabitEthernet1/0/1

使能OSPF功能。關(guān)鍵配置如下:

#FW1配置
ospf 1 router-id 2.2.2.2
 silent-interface GigabitEthernet1/0/2.10
 silent-interface GigabitEthernet1/0/2.20
 area 0.0.0.0
  network 10.1.0.0 0.0.255.255
  network 10.1.121.2 0.0.0.0
#FW2配置
ospf 1 router-id 3.3.3.3
 silent-interface GigabitEthernet1/0/2.10
 silent-interface GigabitEthernet1/0/2.20
 area 0.0.0.0
  network 10.1.0.0 0.0.255.255
  network 10.1.122.2 0.0.0.0

放通安全策略,關(guān)鍵配置如下:

ip address-set net10 type object
 address 0 10.1.10.0 mask 24
 address 1 10.1.20.0 mask 24

security-policy
 rule name LOCAL-ANY
  source-zone local
  action permit
 rule name trust->untrust
  source-zone trust
  destination-zone untrust
  source-address address-set net10
  action permit

(3) 配置R1路由器,并啟用OSPF功能。關(guān)鍵配置如下:

interface GigabitEthernet0/0/0
 ip address 10.1.1.254 255.255.255.0 
#
interface GigabitEthernet0/0/1
 ip address 10.1.121.1 255.255.255.252 
#
interface GigabitEthernet0/0/2
 ip address 10.1.122.1 255.255.255.252 

ospf 1 router-id 1.1.1.1 
 area 0.0.0.0 
  network 10.1.121.1 0.0.0.0 
  network 10.1.122.1 0.0.0.0 
  network 10.1.1.0 0.0.0.255

完成上述的配置后,在PC1上進(jìn)行測(cè)試,發(fā)現(xiàn)不通。如下圖:

PC1上測(cè)試

由于該案例中防火墻采用的是雙活方式部署,數(shù)據(jù)包有可能來回的路徑不一樣導(dǎo)致不通,所以防火墻使用雙活部署方式,需要開啟狀態(tài)信息同步開關(guān)。

#FW1和FW2
hrp mirror session  enable

完成上述配置再次進(jìn)行測(cè)試,如下圖:

PC1

PC2

從上述的測(cè)試結(jié)果,PC1的流量從FW1進(jìn)行轉(zhuǎn)發(fā),PC2的流量從FW2進(jìn)行轉(zhuǎn)發(fā)。

tracert 路徑跟蹤防火墻不顯示,可以使用如下命令:

icmp ttl-exceeded send

為了提高網(wǎng)絡(luò)的健壯性,我們需要借助IP-Link和BFD技術(shù)檢測(cè)上行鏈路是否故障。當(dāng)檢測(cè)故障后,及時(shí)進(jìn)行主備切換。

在防火墻FW1上使用IP-Link技術(shù)。關(guān)鍵配置如下:

#FW1 配置IP-Link檢測(cè)上行鏈路
ip-link check enable
ip-link name TEST_R1
 destination 10.1.121.1 mode icmp
hrp track ip-link TEST_R1

完成上述配置后,檢查雙機(jī)熱備的狀態(tài)。如下圖:

雙機(jī)熱備的狀態(tài)

在防火墻FW2上使用BFD技術(shù)。關(guān)鍵配置如下:

#FW2配置BDF檢測(cè)上行鏈路
bfd test_R1 bind peer-ip 10.1.122.1 interface GigabitEthernet1/0/1
 discriminator local 1301
 discriminator remote 1013
 commit
hrp track bfd-session  1301

#在R1上配置BDF
bfd test_fw2 bind peer-ip 10.1.122.2 interface GigabitEthernet0/0/2
 discriminator local 1013
 discriminator remote 1301
 commit

在R1路由器上查看BFD的狀態(tài)。如下圖:

BFD的狀態(tài)

防火墻上查看BFD的狀態(tài),如下圖:

測(cè)試雙機(jī)熱備的切換情況,如下圖:

雙機(jī)發(fā)生切換

在PC2上進(jìn)行測(cè)試,發(fā)現(xiàn)PC2的流量走到了FW1上,如下圖:

PC2路徑跟蹤

責(zé)任編輯:趙寧寧 來源: 攻城獅成長(zhǎng)日記
防火墻網(wǎng)絡(luò) 安全雙機(jī)熱備
相關(guān)推薦

2017-06-16 10:39:51

雙機(jī)熱備軟件

2013-03-07 15:06:39

IBM云計(jì)算SmartCloud

2016-03-27 15:06:02

Veeam/業(yè)務(wù)永續(xù)

2009-12-10 16:02:11

Juniper防火墻配

2009-01-09 22:37:43

服務(wù)器系統(tǒng)故障

2023-08-29 17:08:14

5G物聯(lián)網(wǎng)

2010-12-21 18:04:26

2010-09-14 13:08:52

2010-12-08 09:29:27

下一代防火墻

2009-10-16 11:09:37

2010-05-24 17:49:56

2011-06-27 13:31:21

2021-02-22 22:06:54

軟件安全數(shù)據(jù)安全漏洞

2021-06-25 18:31:37

云防火墻

2013-07-04 10:16:24

2024-09-09 13:01:52

2011-03-25 11:18:51

2009-09-24 13:53:53

2010-09-09 17:22:36

2015-12-28 15:24:48

數(shù)據(jù)中心網(wǎng)絡(luò)設(shè)備
點(diǎn)贊
收藏

51CTO技術(shù)棧公眾號(hào)