收藏
下载资源 加入VIP免费专享

DS002104Eudemon防火墙双机热备业务上机指导书ISSUE1.docx

上传人:牧羊曲112 文档编号:2011331 上传时间:2022-12-31 格式:DOCX 页数:35 大小:7.03MB
返回 下载 相关 举报
DS002104Eudemon防火墙双机热备业务上机指导书ISSUE1.docx_第1页
第1页 / 共35页
DS002104Eudemon防火墙双机热备业务上机指导书ISSUE1.docx_第2页
第2页 / 共35页
DS002104Eudemon防火墙双机热备业务上机指导书ISSUE1.docx_第3页
第3页 / 共35页
DS002104Eudemon防火墙双机热备业务上机指导书ISSUE1.docx_第4页
第4页 / 共35页
DS002104Eudemon防火墙双机热备业务上机指导书ISSUE1.docx_第5页
第5页 / 共35页
点击查看更多>>
资源描述

《DS002104Eudemon防火墙双机热备业务上机指导书ISSUE1.docx》由会员分享,可在线阅读,更多相关《DS002104Eudemon防火墙双机热备业务上机指导书ISSUE1.docx(35页珍藏版)》请在三一办公上搜索。

1、修订记录课程编码适用产品产品版本课程版本ISSUEDS002104EudemonALL1.00开发/优化者时间审核人开发类型(新开发/优化)卢希2009-5-15凃昭新开发Eudemon防火墙双机热备业务上机指导书Eudemon防火墙双机热备业务上机指导书上机指导书(页眉)目 录目 录实验说明1实验说明1版本介绍1实验目的1实验任务1相关资料1第1章 路由模式+主备组网方式的双机热备技术在Eudemon防火墙上的部署21.1 组网及业务描述21.2 命令行列表31.3 配置流程图41.4 配置步骤41.5 具体配置及实验结果验证4第2章 路由模式+负载分担方式的双机热备技术在Eudemon防火

2、墙上的部署122.1 组网及业务描述122.2 命令行列表132.3 配置流程图142.4 配置步骤142.5 具体配置及实验结果验证14第3章 混合模式+主备组网方式的双机热备份技术在Eudemon防火墙上的部署233.1 组网及业务描述233.2 命令行列表243.3 配置流程图243.4 配置步骤243.5 具体配置及实验结果验证25i华为技术有限公司 版权所有, 未经许可不得扩散Eudemon防火墙双机热备业务上机指导书Error! No text of specified style in document.实验说明实验说明本实验指导书本主要介绍了Eudemon防火墙双机热备技术的常

3、见组网方式及配置流程,涵盖了VRRP、VGMP和HRP等防火墙双机热备的主要技术。希望您能通过本指导书了解并掌握Eudemon防火墙双机热备技术的部署。版本介绍本指导书适用于VRP版本3.30实验目的l 掌握Eudemon防火墙双机热备的基本原理l 熟悉路由模式+主备组网方式的防火墙双机热备技术l 熟悉路由模式+负载分担组网方式的防火墙双机热备技术l 熟悉混合模式+主备组网方式的防火墙双机热备技术实验任务l 完成Eudemon防火墙的基本配置l 配置VRRP备份组l 配置HRP相关资料l Eudemon防火墙产品手册 配置指南l Eudemon防火墙产品手册 命令参考1华为技术有限公司 版权所

4、有, 未经许可不得扩散Eudemon防火墙双机热备业务上机指导书Error! No text of specified style in document.Error! No text of specified style in document.第1章 路由模式+主备组网方式的双机热备技术在Eudemon防火墙上的部署1.1 组网及业务描述路由模式+主备组网方式Eudemon作为安全设备被部署在业务节点上。其中上下行设备均是交换机,Eudemon A、Eudemon B分别充当主用设备和备用设备,且均工作在路由模式下。网络规划如下:需要保护的网段地址为10.100.10.0/24,与防火墙的

5、GigabitEthernet 0/0/0接口相连,部署在Trust区域。 外部网络与防火墙的GigabitEthernet 0/0/2接口相连,部署在Untrust区域。 两台防火墙的HRP备份通道接口GigabitEthernet 0/0/1部署在DMZ区域。 两台防火墙分别通过交换机连接各个安全区域。其中,各安全区域对应的备份组虚拟IP地址如下:Trust区域对应的备份组虚拟IP地址为10.100.10.1。 Untrust区域对应的备份组虚拟IP地址为202.38.10.1。 DMZ区域对应的备份组虚拟IP地址为10.100.20.1。防火墙和PC地址规划如下:Eudemon A:GE

6、0/0/0:10.100.10.2/24;GE0/0/1:10.100.20.2/24;GE0/0/2:202.38.10.2/24Eudemon B:GE0/0/0:10.100.10.3/24;GE0/0/1:10.100.20.3/24;GE0/0/2:202.38.10.3/24PC1:10.100.10.410.100.10.254/24PC2:202.38.10.4202.38.10.254/24实验要求:1、完成防火墙双机热备配置,使PC1可以ping通PC2,PC2无法ping通PC1。2、宕掉主用防火墙的一个HRP备份通道接口,主用防火墙管理组优先级发生变化,导致主备倒换。查

7、看主备防火墙倒换对于从PC1发往PC2的数据包的影响。1.2 命令行列表操作版本命令配置VRRP备份组的虚拟IP地址并指定备份组所属的管理组。VRP 3.30vrrp vrid virtual-router-ID virtual-ip virtual-address ip-mask | ip-mask-length slave | master 使能HRP功能。VRP 3.30hrp enable创建备份会话表的通道接口。VRP 3.30hrp interface interface-type interface-number transfer-only使能配置命令和连接状态的自动备份。VRP

8、 3.30hrp auto-sync config batch-backup | connection-status 编写提示:通过表格的形式列举实验中要使用到的主要的,典型的命令行列。可以参考命令行手册。主要数通采用。印刷时上段话删除。1.3 配置流程图防火墙基本配置配置VRRP备份组配置HRP1.4 配置步骤(1) 基本配置:配置接口的IP地址;将接口分别添加到对应的区域;配置区域间包过滤规则。(2) 配置VRRP备份组并制定备份组所属的管理组。(3) 创建备份会话表的通道接口并使能HRP功能。(4) 使能配置命令和连接状态的自动备份功能。1.5 具体配置及实验结果验证1.5.1 Eude

9、mon A的基本配置:#配置主机名system-viewEudemonsysname Eudemon A#配置接口IP地址Eudemon Ainterface GigabitEthernet 0/0/0Eudemon A- GigabitEthernet0/0/0ip address 10.100.10.2 24Eudemon A- GigabitEthernet0/0/0quitEudemon Ainterface GigabitEthernet 0/0/1Eudemon A- GigabitEthernet0/0/1ip address 10.100.20.2 24Eudemon A- G

10、igabitEthernet0/0/1quitEudemon Ainterface GigabitEthernet 0/0/2Eudemon A-Ethernet0/0/2ip address 202.38.10.2 24Eudemon A-Ethernet0/0/2quit#添加接口至对应区域Eudemon Afirewall zone trustEudemon A-zone-trustadd interface GigabitEthernet 0/0/0Eudemon A-zone-trustquitEudemon Afirewall zone dmzEudemon A-zone-dmza

11、dd interface GigabitEthernet 0/0/1Eudemon A-zone-dmzquitEudemon Afirewall zone untrustEudemon A-zone-untrustadd interface GigabitEthernet 0/0/2Eudemon A-zone-untrustquit#配置VRRP备份组,并指定备份组所属的管理组。Eudemon Ainterface GigabitEthernet 0/0/0Eudemon A-GigabitEthernet0/0/0vrrp vrid 1 virtual-ip 10.100.10.1 ma

12、sterEudemon AquitEudemon Ainterface GigabitEthernet 0/0/1Eudemon A-GigabitEthernet0/0/1vrrp vrid 2 virtual-ip 10.100.20.1 masterEudemon AquitEudemon Ainterface GigabitEthernet 0/0/2Eudemon A-GigabitEthernet0/0/2vrrp vrid 3 virtual-ip 202.38.10.1 master#配置local区域和dmz区域的域间包过滤规则,以便VRRP报文、VGMP报文和HRP报文能够

13、通过心跳接口正常交互。Eudemon Aacl 2000Eudemon A-acl-basic-2000rule permit source 10.100.20.0 0.0.0.255Eudemon A-acl-basic-2000quitEudemon Afirewall interzone local dmzEudemon A-interzone-local-dmzpacket-filter 2000 inboundEudemon A-interzone-local-dmzpacket-filter 2000 outbound#配置HRP备份通道。Eudemon Ahrp interfac

14、e GigabitEthernet 0/0/1 transfer-onlyEudemon Ahrp interface GigabitEthernet 0/0/0Eudemon Ahrp interface GigabitEthernet 0/0/2#使能HRP功能Eudemon Ahrp enable1.5.2 Eudemon B的基本配置:#配置主机名system-viewEudemonsysname Eudemon B#配置接口IP地址Eudemon Binterface GigabitEthernet 0/0/0Eudemon B- GigabitEthernet0/0/0ip add

15、ress 10.100.10.3 24Eudemon B- GigabitEthernet0/0/0quitEudemon Binterface GigabitEthernet 0/0/1Eudemon B- GigabitEthernet0/0/1ip address 10.100.20.3 24Eudemon B- GigabitEthernet0/0/1quitEudemon Binterface GigabitEthernet 0/0/2Eudemon B- GigabitEthernet0/0/2ip address 202.38.10.3 24Eudemon B- GigabitE

16、thernet0/0/2quit#添加接口至对应区域Eudemon Bfirewall zone trustEudemon B-zone-trustadd interface GigabitEthernet 0/0/0Eudemon B-zone-trustquitEudemon Bfirewall zone dmzEudemon B-zone-dmzadd interface GigabitEthernet 0/0/1Eudemon B-zone-dmzquitEudemon Bfirewall zone untrustEudemon B-zone-untrustadd interface

17、GigabitEthernet 0/0/2Eudemon B-zone-untrustquit#配置VRRP备份组,并指定备份组所属的管理组。Eudemon Binterface GigabitEthernet 0/0/0Eudemon B-GigabitEthernet0/0/0vrrp vrid 1 virtual-ip 10.100.10.1 slaveEudemon BquitEudemon Binterface GigabitEthernet 0/0/1Eudemon B-GigabitEthernet0/0/1vrrp vrid 2 virtual-ip 10.100.20.1 s

18、laveEudemon BquitEudemon Binterface GigabitEthernet 0/0/2Eudemon B-GigabitEthernet0/0/2vrrp vrid 3 virtual-ip 202.38.10.1 slave#配置local区域和dmz区域的域间包过滤规则,以便VRRP报文、VGMP报文和HRP报文能够通过心跳接口正常交互。Eudemon Bacl 2000Eudemon B-acl-basic-2000rule permit source 10.100.10.0 0.0.0.255Eudemon B-acl-basic-2000quitEudem

19、on Bfirewall interzone local dmzEudemon B-interzone-local-dmzpacket-filter 2000 inboundEudemon B-interzone-local-dmzpacket-filter 2000 outbound#配置HRP备份通道。Eudemon Bhrp interface GigabitEthernet 0/0/1 transfer-onlyEudemon Bhrp interface GigabitEthernet 0/0/0Eudemon Bhrp interface GigabitEthernet 0/0/2

20、#使能HRP功能Eudemon Bhrp enable1.5.3 Switch和PC的基本配置:本实验中使用的Switch都是二层交换机,不需要任何配置;给PC1和PC2配上IP地址和默认网关,PC1和PC2的网关分别对应VRRP管理组1和VRRP管理组2的虚拟IP地址。1.5.4 实验结果验证实验结果验证一:通过命令display vrrp查看VRRP备份组的状态。HRP_MEudemon Adisplay vrrp GigabitEthernet0/0/2 | Virtual Router 3 state : Master Virtual IP : 202.38.10.1 Priority

21、Run : 100 PriorityConfig : 100 MasterPriority : 100 Preempt : YES Delay Time : 0 Timer : 1 Auth Type : NONE Check TTL : YES GigabitEthernet0/0/1 | Virtual Router 2 state : Master Virtual IP : 10.100.20.1 PriorityRun : 100 PriorityConfig : 100 MasterPriority : 100 Preempt : YES Delay Time : 0 Timer :

22、 1 Auth Type : NONE Check TTL : YES GigabitEthernet0/0/0 | Virtual Router 1 state : Master Virtual IP : 10.100.10.1 PriorityRun : 100 PriorityConfig : 100 MasterPriority : 100 Preempt : YES Delay Time : 0 Timer : 1 Auth Type : NONECheck TTL : YESHRP_SEudemon Bdisplay vrrp GigabitEthernet0/0/2 | Virt

23、ual Router 3 state : Backup Virtual IP : 202.38.10.1 PriorityRun : 100 PriorityConfig : 100 MasterPriority : 100 Preempt : YES Delay Time : 0 Timer : 1 Auth Type : NONE Check TTL : YES GigabitEthernet0/0/1 | Virtual Router 2 state : Backup Virtual IP : 10.100.20.1 PriorityRun : 100 PriorityConfig :

24、100 MasterPriority : 100 Preempt : YES Delay Time : 0 Timer : 1 Auth Type : NONE Check TTL : YES GigabitEthernet0/0/0 | Virtual Router 1 state : Backup Virtual IP : 10.100.10.1 PriorityRun : 100 PriorityConfig : 100 MasterPriority : 100 Preempt : YES Delay Time : 0 Timer : 1 Auth Type : NONE Check T

25、TL : YES通过以上结果可知, Eudemon A在三个备份组中都处于Master状态;Eudemon B在三个备份组中都处于Backup状态。实验结果验证二:通过命令display hrp state查看HRP管理组的状态。HRP_MEudemon Adisplay hrp state The firewalls config state is: MASTER Current state of virtual routers configured as master: GigabitEthernet0/0/2 vrid 3 : master GigabitEthernet0/0/1 vr

26、id 2 : master GigabitEthernet0/0/0 vrid 1 : masterHRP_SEudemon Bdisplay hrp state The firewalls config state is: SLAVE Current state of virtual routers configured as slave: GigabitEthernet0/0/2 vrid 3 : slave GigabitEthernet0/0/1 vrid 2 : slave GigabitEthernet0/0/0 vrid 1 : slave通过以上结果可知,Eudemon A的三

27、个接口属于Master管理组,状态为MASTER;Eudemon B的三个接口属于Slave管理组,状态为SLAVE。只有当Master管理组的优先级发生变化,低于Slave管理组的优先级时,Eudemon B才开始负责所有域间数据转发。实验结果验证三:使用命令display hrp group查看VGMP管理组的 信息,包括Master管理组的信息和运行状态、Slave管理组的信息和运行状态以及管理组的优先级等。HRP_MEudemon Adisplay hrp group Master group status: Group enabled: yes State: master Prior

28、ity running: 65001 Total VRRP members: 3 Hello interval(ms): 1000 Preempt delay(s): 30 Peer group available: 1 Peers member same: yes Slave group status: Group enabled: no State: initialize Priority running: 65000 Total VRRP members: 0 Hello interval(ms): 1000 Preempt delay(s): 30 Peer group availab

29、le: 1 Peers member same: noHRP_SEudemon Bdisplay hrp group Master group status: Group enabled: no State: initialize Priority running: 65001 Total VRRP members: 0 Hello interval(ms): 1000 Preempt delay(s): 30 Peer group available: 0 Peers member same: yes Slave group status: Group enabled: yes State:

30、 slave Priority running: 65000 Total VRRP members: 3 Hello interval(ms): 1000 Preempt delay(s): 30 Peer group available: 1 Peers member same: yes在Eudemon A上,我们只配置了Master管理组,在Eudemon B上我们只配置了Slave管理组。所以由以上实验结果可以看出,Eudemon A上的Slave管理组和Eudemon B上的Master管理组的状态均为“initialize”。注:在主备组网方式中,任何一台防火墙上都只存在一个管理组。

31、只有负载分担组网方式中,两台防火墙上才会同时使能Master管理组和Slave管理组。实验结果验证四:在PC1上使用ping命令,是否能ping通PC2呢?如果不能,为什么?在Eudemon A上配置以下命令:Eudemon Aacl 2001Eudemon A-acl-basic-2001rule permit source 10.100.10.0 0.0.0.255Eudemon A-acl-basic-2001quitEudemon Afirewall interzone trust untrustEudemon A-interzone-trust-untrustpacket-filte

32、r 2001 outbound再次使用ping命令,PC1是否能ping通PC2呢?以上命令用户配置trust区域和untrust区域的域间包过滤规则,如果宕掉Eudemon A的接口GE0/0/2,PC1是否还能ping通PC2呢?检查的配置发现,在Eudemon B上并没有配置trust区域和untrust区域的域间包过滤规则,所以PC1无法ping通PC2。可以通过在Eudemon B上配置trust区域和untrust区域的域间包过滤规则解决上述问题。除了这种方法,有没有其他方法可以解决上述问题呢?HRP用户在主备设备间备份会话表信息及关键配置信息,为什么域间包过滤规则没有备份到Eud

33、emon B上呢?在Eudemon A和Eudemon B上配置以下命令,使用display current-configuration查看Eudemon B的配置信息。HRP_MEudemon A hrp auto-syncHRP_SEudemon B hrp auto-sync通过配置以上命令,可以发现Eudemon B上多了以下配置命令:firewall interzone trust untrustpacket-filter 2000 outbound也就是说,域间包过滤规则已经备份到Eudemon B。此时,再次验证PC1是否可以ping通PC2:C:Documents and Se

34、ttingsAdministratorping 202.38.10.5Pinging 202.38.10.5 with 32 bytes of data:Reply from 202.38.10.5: bytes=32 time=3ms TTL=254Reply from 202.38.10.5: bytes=32 time=2ms TTL=254Reply from 202.38.10.5: bytes=32 time=2ms TTL=254Reply from 202.38.10.5: bytes=32 time=2ms TTL=254实验结果验证五:在Eudemon A和Eudemon

35、B上使用display firewall session table verbose查看会话:HRP_MEudemon Adisplay firewall session table verbose Current Total Sessions : 1 icmp (vpn: public - public) zone: trust - untrust tag: 0x3588 State: 0x0 ttl: 00:00:20 left: 00:00:19 Id: 1c979878 SlvId: 2cc412d0 Interface: G0/0/2 Nexthop: 202.38.10.5 Mac

36、: 00-e0-fc-35-ff-f4 packets:0 bytes:010.100.10.5:512-202.38.10.5:512HRP_SEudemon Bdisplay firewall session table verbose Current Total Sessions : 1 icmp (vpn: public - public) Remote zone: trust - untrust tag: 0x35b8 State: 0x0 ttl: 00:00:20 left: 00:00:14 Id: 1c979878 SlvId: 2cc412d0 Interface: G0/

37、0/0 Nexthop: 0.0.0.0 Mac: 00-00-00-00-00-00 packets:0 bytes:010.100.10.5:512-202.38.10.5:512可以看到Eudemon B上存在带有Remote标记的会话,表示配置双机热备份功能后,会话备份成功。实验结果验证六:在PC1上执行“ping t 202.38.10.5”,宕掉Eudemon A的接口GE0/0/2,观察防火墙的主备倒换以及对数据包转发的影响。第2章 路由模式+负载分担方式的双机热备技术在Eudemon防火墙上的部署2.1 组网及业务描述路由模式+负载分担组网方式Eudemon作为安全设备被部署在

38、业务节点上。其中上下行设备均是交换机,Eudemon A、Eudemon B采用负载分担方式组网,且均工作在路由模式下。网络规划如下:需要保护的网段地址为10.100.10.0/24,与防火墙的GigabitEthernet 0/0/0接口相连,部署在Trust区域。 外部网络与防火墙的GigabitEthernet 0/0/2接口相连,部署在Untrust区域。 两台防火墙的HRP备份通道接口GigabitEthernet 0/0/1部署在DMZ区域。 两台防火墙分别通过交换机连接各个安全区域。其中,各安全区域对应的备份组虚拟IP地址如下:Trust区域对应的备份组1的虚拟IP地址为10.1

39、00.10.1;备份组4的虚拟IP地址为10.100.10.2。 Untrust区域对应的备份组2的虚拟IP地址为202.38.10.1;备份组5的虚拟IP地址为202.38.10.2。 DMZ区域对应的备份组3虚拟IP地址为10.100.20.1;备份组6的虚拟IP地址为10.100.20.1。防火墙和PC地址规划如下:Eudemon A:GE0/0/0:10.100.10.3/24;GE0/0/1:10.100.20.3/24;GE0/0/2:202.38.10.3/24Eudemon B:GE0/0/0:10.100.10.4/24;GE0/0/1:10.100.20.4/24;GE0/

40、0/2:202.38.10.4/24PC1:10.100.10.510.100.10.254/24PC2:202.38.10.5202.38.10.254/24实验要求:1、完成防火墙双机热备配置,使PC1可以ping通PC2,PC2无法ping通PC1。2、宕掉主用防火墙的一个HRP备份通道接口,主用防火墙管理组优先级发生变化,导致主备倒换。查看主备防火墙倒换对于从PC1发往PC2的数据包的影响。2.2 命令行列表操作版本命令配置VRRP备份组的虚拟IP地址并指定备份组所属的管理组。VRP 3.30vrrp vrid virtual-router-ID virtual-ip virtual-

41、address ip-mask | ip-mask-length slave | master 使能HRP功能。VRP 3.30hrp enable创建备份会话表的通道接口。VRP 3.30hrp interface interface-type interface-number transfer-only使能配置命令和连接状态的自动备份。VRP 3.30hrp auto-sync config batch-backup | connection-status 编写提示:通过表格的形式列举实验中要使用到的主要的,典型的命令行列。可以参考命令行手册。主要数通采用。印刷时上段话删除。2.3 配置流

42、程图防火墙基本配置配置VRRP备份组配置HRP2.4 配置步骤(1) 基本配置:配置接口的IP地址;将接口分别添加到对应的区域;配置区域间包过滤规则。(2) 配置VRRP备份组并制定备份组所属的管理组。(3) 创建备份会话表的通道接口并使能HRP功能。(4) 使能配置命令和连接状态的自动备份功能。2.5 具体配置及实验结果验证2.5.1 Eudemon A的基本配置:#配置主机名system-viewEudemonsysname Eudemon A#配置接口IP地址Eudemon Ainterface GigabitEthernet 0/0/0Eudemon A- GigabitEtherne

43、t0/0/0ip address 10.100.10.2 24Eudemon A- GigabitEthernet0/0/0quitEudemon Ainterface GigabitEthernet 0/0/1Eudemon A- GigabitEthernet0/0/1ip address 10.100.20.2 24Eudemon A- GigabitEthernet0/0/1quitEudemon Ainterface GigabitEthernet 0/0/2Eudemon A-Ethernet0/0/2ip address 202.38.10.2 24Eudemon A-Ethernet0/0/2quit#添加接口至对应区域Eudemon Afirewall zone t

展开阅读全文
相关资源
猜你喜欢
相关搜索
资源标签

当前位置:首页 > 生活休闲 > 在线阅读


备案号:宁ICP备20000045号-2

经营许可证:宁B2-20210002

宁公网安备 64010402000987号