(一)实验简介
如图所示,某公司出口连接两个路由器,以双链路接入Internet,为了保证在链路故障时可以动态调整,FW和两台路由器之间配置双机热备绑定BFD,将FW1为主设备,在出现故障时FW2切换为主设备,从而不影响内网用户正常访问 Internet
网络拓朴结构
(二)实验目的
- 掌握配置双机热备的方法;
- 掌握BFD的配置方法;
- 掌握双机热备与BFD联动的场景配置方法。
(三)实验条件
- 一台CPU支持VT技术,内存4GB以上的计算机;
- 安装eNSP模拟器B510版,导入USG6000V镜像;
- 终端工具:SecuretyCRT,Putty,Psftp,XShell等。
(四)网络拓朴图
打开ENSP软件,按如下拓朴图创建实验环境,设置地址:
- LAN地址:192.168.10.0/24;
- ISP1地址:10.1.1.0/24;
- ISP2地址:10.2.2.0/24;
- HRP地址:10.0.0.0/24
- Internet地址:10.77.77.0/24;
实验拓朴
(五)配置思路
- 配置LAN客户机地址,交换机;
- 配置ISP1,IPS2路由器;
- 配置Internet客户机的地址,交换机;
- 配置防火墙的接口,安全域,安全策略;
- 配置双机热备;
- 配置BFD;
- 配置双机热备与BFD联动。
(六)配置步骤
(1)配置LAN的网络
以下为LAN所在网络的客户机PC1的配置
PC1的网络地址
交换机LSW1的配置
The device is running!
system-view //进入系统配置视图
Enter system view, return user view with Ctrl+Z.
[Huawei]sysname LSW1 //修改交换机名为LSW1
[LSW1]
[LSW1]undo info-center enable //关闭信息提示
Info: Information center is disabled.
[LSW1]interface Vlanif 1 //进入vlan接口配置视图
[LSW1-Vlanif1]ip address 192.168.10.254 24 //配置vlan的IP地址
[LSW1-Vlanif1]quit //退出vlan接口配置,返回系统配置视图
[LSW1]
[LSW1]ospf //进入OSPF配置接口,默认ID号为1
[LSW1-ospf-1]area 0 //创建OSPF区域,并进入OSPF区域视图
[LSW1-ospf-1-area-0.0.0.0]network 192.168.10.0 0.0.0.255 //指定接口所在的网段地址,反掩码
[LSW1-ospf-1-area-0.0.0.0]quit //退出OSPF区域,返回OSPF配置视图
[LSW1-ospf-1]quit //退出OSPF配置视图,返回系统配置视图
[LSW1]quit //退出系统配置视图,返回用户视图
save //保存配置
The current configuration will be written to the device.
Are you sure to continue?[Y/N]y
Info: Please input the file name ( *.cfg, *.zip ) [vrpcfg.zip]:
Now saving the current configuration to the slot 0.
Save the configuration successfully.
(2) 配置Internet网络
以下为Internet网络的客户机PC2的配置
PC2的网络地址
交换机LSW2的配置
The device is running!
sys
system-view //进入系统配置视图
Enter system view, return user view with Ctrl+Z.
[Huawei]undo info-center enable //关闭信息提示
Info: Information center is disabled.
[Huawei]sysname LSW2 //修改交换机名为LSW1
[LSW2]int v 1
[LSW2-Vlanif1]ip addr 10.77.77.254 24 //配置vlan的IP地址
[LSW2-Vlanif1]quit //退出vlan接口配置,返回系统配置视图
[LSW2]ospf 1 //进入OSPF配置接口,默认ID号为1
[LSW2-ospf-1]area 0 //创建OSPF区域,并进入OSPF区域视图
[LSW2-ospf-1-area-0.0.0.0]network 10.77.77.0 0.0.0.255 //指定接口所在的网段地址,反掩码
[LSW2-ospf-1-area-0.0.0.0]quit //退出OSPF区域,返回OSPF配置视图
[LSW2-ospf-1]quit //退出OSPF配置视图,返回系统配置视图
[LSW2]quit //退出系统配置视图,返回用户视图
save //保存配置
The current configuration will be written to the device.
Are you sure to continue?[Y/N]y
Info: Please input the file name ( *.cfg, *.zip ) [vrpcfg.zip]:
Now saving the current configuration to the slot 0.
Save the configuration successfully.
(3) 配置ISP1/ISP2的路由器
路由器AR1的配置
The device is running!
system-view //进入系统配置视图
Enter system view, return user view with Ctrl+Z.
[Huawei]undo info-center enable //关闭信息提示
Info: Information center is disabled.
[Huawei]sysname AR1 //修改路由器名为AR1
[AR1]
[AR1]interface GigabitEthernet 0/0/0 //进入接口配置
[AR1-GigabitEthernet0/0/0]ip address 10.1.1.2 24 //配置接口地址
[AR1-GigabitEthernet0/0/0]quit //退出接口配置视图,返回系统视图
[AR1]
[AR1]interface GigabitEthernet 0/0/1 //进入接口配置
[AR1-GigabitEthernet0/0/1]ip address 10.77.77.3 24 //配置接口地址
[AR1-GigabitEthernet0/0/1]quit //退出接口配置视图,返回系统视图
[AR1]
[AR1]ospf
[AR1]ospf 1 //进入OSPF配置接口,默认ID号为1
[AR1-ospf-1]area 0 //创建OSPF区域,并进入OSPF区域视图
[AR1-ospf-1-area-0.0.0.0]
[AR1-ospf-1-area-0.0.0.0]network 10.1.1.0 0.0.0.255 //指定接口所在的网段地
[AR1-ospf-1-area-0.0.0.0]network 10.77.77.0 0.0.0.255 //指定接口所在的网段地
[AR1-ospf-1-area-0.0.0.0]quit //退出OSPF区域,返回OSPF配置视图
[AR1-ospf-1]quit //退出OSPF配置视图,返回系统配置视图
[AR1]quit
save
The current configuration will be written to the device.
Are you sure to continue? (y/n)[n]:y
It will take several minutes to save configuration file, please wait........
Configuration file had been saved successfully
Note: The configuration file will take effect after being activated
路由器AR2的配置
The device is running!
system-view //进入系统配置视图
Enter system view, return user view with Ctrl+Z.
[Huawei]undo info-center enable //关闭信息提示
Info: Information center is disabled.
[Huawei]sysname AR2 //修改路由器名为AR2
[AR2]interface GigabitEthernet 0/0/0 //进入接口配置
[AR2-GigabitEthernet0/0/0]ip address 10.2.2.2 24 //配置接口地址
[AR2-GigabitEthernet0/0/0]quit //退出接口配置视图,返回系统视图
[AR2]interface GigabitEthernet 0/0/1 //进入接口配置
[AR2-GigabitEthernet0/0/1]ip address 10.77.77.4 24 //配置接口地址
[AR2-GigabitEthernet0/0/1]quit //退出接口配置视图,返回系统视图
[AR2]
[AR2]ospf 1 //进入OSPF配置接口,默认ID号为1
[AR2-ospf-1]area 0 //创建OSPF区域,并进入OSPF区域视图
[AR2-ospf-1-area-0.0.0.0]network 10.2.2.0 0.0.0.255 //指定接口所在的网段地
[AR2-ospf-1-area-0.0.0.0]network 10.77.77.0 0.0.0.255 //指定接口所在的网段地
[AR2-ospf-1-area-0.0.0.0]quit //退出OSPF区域,返回OSPF配置视图
[AR2-ospf-1]quit //退出OSPF配置视图,返回系统配置视图
[AR2]quit
save
The current configuration will be written to the device.
Are you sure to continue? (y/n)[n]:y
It will take several minutes to save configuration file, please wait........
Configuration file had been saved successfully
Note: The configuration file will take effect after being activated
(4) 配置防火墙FW1
分别为防火墙的连接各个网络的接口配置IP地址,网关,允许ping
system-view //进入系统配置视图
Enter system view, return user view with Ctrl+Z.
[USG6000V1]undo info-center enable //关闭信息提示
Info: Information center is disabled.
[USG6000V1]sysname FW1 //修改防火墙的设备名为FW1
[FW1]interface GigabitEthernet 1/0/1 //进入GE1/0/1接口
[FW1-GigabitEthernet1/0/1]ip address 192.168.10.253 24 //配置接口的IP地址
[FW1-GigabitEthernet1/0/1]service-manage ping permit //允许PING
[FW1-GigabitEthernet1/0/1]quit //退出接口配置视图,返回系统视图
[FW1]interface GigabitEthernet 1/0/2 //进入GE1/0/2接口
[FW1-GigabitEthernet1/0/2]ip address 10.1.1.1 24 //配置接口的IP地址
[FW1-GigabitEthernet1/0/2]service-manage ping permit //允许PING
[FW1-GigabitEthernet1/0/2]quit //退出接口配置视图,返回系统视图
[FW1]interface GigabitEthernet 1/0/3 //进入GE1/0/3接口
[FW1-GigabitEthernet1/0/3]ip address 10.0.0.1 24 //配置接口的IP地址
[FW1-GigabitEthernet1/0/3]service-manage ping permit //允许PING
[FW1-GigabitEthernet1/0/3]quit //退出接口配置视图,返回系统视图
[FW1]firewall zone trust //进入安全域trust配置
[FW1-zone-trust]add interface GigabitEthernet 1/0/1 //把GE1/0/1加入安全域
[FW1-zone-trust]quit //退出安全域配置视图,返回系统视图
[FW1]firewall zone untrust //进入安全域untrust配置
[FW1-zone-untrust]add interface GigabitEthernet 1/0/2 //把GE1/0/2加入安全域
[FW1-zone-untrust]quit //退出安全域配置视图,返回系统视图
[FW1]firewall zone dmz //进入安全域dmz配置
[FW1-zone-dmz]add interface GigabitEthernet 1/0/3 //把GE1/0/3加入安全域
[FW1-zone-dmz]quit //退出安全域配置视图,返回系统视图
[FW1]
[FW1]security-policy //进入安全策略配置视图
[FW1-policy-security]rule name lan_isp //创建名lan_isp的规则
[FW1-policy-security-rule-lan_isp]source-zone local trust //设置源安全域
[FW1-policy-security-rule-lan_isp]destination-zone local untrust //设置目的安全域
[FW1-policy-security-rule-lan_isp]action permit //允许匹配规则的流量通过
[FW1-policy-security-rule-lan_isp]quit //退出规则视图,返回安全策略视图
[FW1-policy-security]rule name hrp_check //创建名hrp_check的规则
[FW1-policy-security-rule-hrp_check]source-zone local dmz //设置源安全域
[FW1-policy-security-rule-hrp_check]destination-zone dmz local //设置目的安全域
[FW1-policy-security-rule-hrp_check]action permit //允许匹配规则的流量通过
[FW1-policy-security-rule-hrp_check]quit //退出规则视图,返回安全策略视图
[FW1-policy-security]dis this //查看当前配置结果
#
security-policy
rule name lan_isp
source-zone trust
destination-zone untrust
action permit
rule name hrp_check
source-zone local
source-zone dmz
destination-zone local
destination-zone dmz
action permit
#
return
[FW1-policy-security]quit //退出安全策略配置视图,返回系统视图
[FW1]ospf 1 //进入OSPF配置接口,默认ID号为1
[FW1-ospf-1]area 0 //创建OSPF区域,并进入OSPF区域视图
[FW1-ospf-1-area-0.0.0.0]network 192.168.10.0 0.0.0.255 //指定接口所在的网段地
[FW1-ospf-1-area-0.0.0.0]network 10.1.1.0 0.0.0.255 //指定接口所在的网段地
[FW1-ospf-1-area-0.0.0.0]network 10.0.0.0 0.0.0.255 //指定接口所在的网段地
[FW1-ospf-1-area-0.0.0.0]quit //退出OSPF区域,返回OSPF配置视图
[FW1-ospf-1]quit //退出OSPF配置视图,返回系统配置视图
[FW1]
[FW1]hrp adjust ospf-cost enable //动根据主备状态调整OSPF-COST值功能
[FW1]hrp interface GigabitEthernet 1/0/3 remote 10.0.0.2 //创建备份双机间数据的通道接口
[FW1]hrp mirror session enable //启动会话快速备份功能
[FW1]bfd //启用BFD功能,并进入BFD全局视图
[FW1-bfd]quit //退出BFD配置视图,返回系统配置视图
[FW1]bfd 1 bind peer-ip 10.1.1.2 //创建BFD会话绑定,并生成BFD会话
[FW1-bfd-session-1]
[FW1-bfd-session-1]discriminator local 8001 //配置当前BFD会话的本地标识符
[FW1-bfd-session-1]discriminator remote 8002 //配置当前BFD会话的远端标识符
[FW1-bfd-session-1]commit //提交BFD会话配置
[FW1-bfd-session-1]quit //退出BFD会话配置,返回系统配置视图
[FW1]
[FW1]
(5) 配置防火墙FW2
sys
system-view //进入系统配置视图
Enter system view, return user view with Ctrl+Z.
[USG6000V1]undo info-center enable //关闭信息提示
Info: Information center is disabled.
[USG6000V1]sysname FW2 //修改防火墙的设备名为FW2
[FW2]
[FW2]interface GigabitEthernet 1/0/1 //进入GE1/0/1接口
[FW2-GigabitEthernet1/0/1]ip addr 192.168.10.252 24 //配置接口的IP地址
[FW2-GigabitEthernet1/0/1]service-manage ping permit //允许PING
[FW2-GigabitEthernet1/0/1]quit //退出接口配置视图,返回系统视图
[FW2]interface GigabitEthernet 1/0/2 //进入GE1/0/2接口
[FW2-GigabitEthernet1/0/2]ip address 10.2.2.1 24 //配置接口的IP地址
[FW2-GigabitEthernet1/0/2]service-manage ping permit //允许PING
[FW2-GigabitEthernet1/0/2]quit //退出接口配置视图,返回系统视图
[FW2]interface GigabitEthernet 1/0/3 //进入GE1/0/3接口
[FW2-GigabitEthernet1/0/3]ip address 10.0.0.2 24 //配置接口的IP地址
[FW2-GigabitEthernet1/0/3]service-manage ping permit //允许PING
[FW2-GigabitEthernet1/0/3]quit //退出接口配置视图,返回系统视图
[FW2]
[FW2]
[FW2]firewall zone trust //进入安全域trust配置
[FW2-zone-trust]add interface GigabitEthernet 1/0/1 //把GE1/0/1加入安全域
[FW2-zone-trust]quit //退出安全域配置视图,返回系统视图
[FW2]firewall zone untrust //进入安全域untrust配置
[FW2-zone-untrust]add interface GigabitEthernet 1/0/2 //把GE1/0/2加入安全域
[FW2-zone-untrust]quit //退出安全域配置视图,返回系统视图
[FW2]firewall zone dmz //进入安全域dmz配置
[FW2-zone-dmz]add interface GigabitEthernet 1/0/3 //把GE1/0/3加入安全域
[FW2-zone-dmz]quit //退出安全域配置视图,返回系统视图
[FW2]
[FW2]security-policy //进入安全策略配置视图
[FW2-policy-security]rule name lan_isp //创建名lan_isp的规则
[FW2-policy-security-rule-lan_isp]source-zone local trust //设置源安全域
[FW2-policy-security-rule-lan_isp]destination-zone local untrust //设置目的安全域
[FW2-policy-security-rule-lan_isp]action permit //允许匹配规则的流量通过
[FW2-policy-security-rule-lan_isp]quit
[FW2-policy-security]rule name hrp_check //创建名hrp_check的规则
[FW2-policy-security-rule-hrp_check]source-zone local dmz //设置源安全域
[FW2-policy-security-rule-hrp_check]destination-zone local dmz //设置目的安全域
[FW2-policy-security-rule-hrp_check]action permit //允许匹配规则的流量通过
[FW2-policy-security-rule-hrp_check]quit
[FW2-policy-security]quit
[FW2]
[FW2]ospf 1 //进入OSPF配置接口,默认ID号为1
[FW2-ospf-1]area 0 //创建OSPF区域,并进入OSPF区域视图
[FW2-ospf-1-area-0.0.0.0]network 192.168.10.0 0.0.0.255 //指定接口所在的网段地
[FW2-ospf-1-area-0.0.0.0]network 10.2.2.0 0.0.0.255 //指定接口所在的网段地
[FW2-ospf-1-area-0.0.0.0]network 10.0.0.0 0.0.0.255 //指定接口所在的网段地
[FW2-ospf-1-area-0.0.0.0]quit //退出OSPF区域,返回OSPF配置视图
[FW2-ospf-1]quit //退出OSPF配置视图,返回系统配置视图
[FW2]
[FW2]
[FW2]hrp adjust ospf-cost enable //动根据主备状态调整OSPF-COST值功能
[FW2]hrp interface GigabitEthernet 1/0/3 remote 10.0.0.1 //创建备份双机间数据的通道接口
[FW2]hrp mirror session enable //启动会话快速备份功能
[FW2]
[FW2]bfd //启用BFD功能,并进入BFD全局视图
[FW2-bfd]quit //退出BFD配置视图,返回系统配置视图
[FW2]bfd 1 bind peer-ip 10.1.1.2 //创建BFD会话绑定,并生成BFD会话
[FW2-bfd-session-1]discriminator local 8003 //配置当前BFD会话的本地标识符
[FW2-bfd-session-1]discriminator remote 8004 //配置当前BFD会话的远端标识符
[FW2-bfd-session-1]commit //提交BFD会话配置
[FW2-bfd-session-1]quit //退出BFD会话配置,返回系统配置视图
[FW2]
[FW2]
(6) 配置路由器的BFD
路由器AR1的BFD
sys
system-view
Enter system view, return user view with Ctrl+Z.
[AR1]bfd //启用BFD功能,并进入BFD全局视图
[AR1-bfd]quit //退出BFD配置视图,返回系统配置视图
[AR1]
[AR1]bfd 1 bind peer-ip 10.1.1.1 //创建BFD会话绑定,并生成BFD会话
[AR1-bfd-session-1]discriminator local 8002 //配置当前BFD会话的本地标识符
[AR1-bfd-session-1]discriminator remote 8001 //配置当前BFD会话的远端标识符
[AR1-bfd-session-1]commit //提交BFD会话配置
[AR1-bfd-session-1]quit //退出BFD会话配置,返回系统配置视图
[AR1]
[AR1]
路由器AR2的BFD
sys
system-view
Enter system view, return user view with Ctrl+Z.
[AR2]bfd //启用BFD功能,并进入BFD全局视图
[AR2-bfd]quit //退出BFD配置视图,返回系统配置视图
[AR2]bfd 1 bind peer-ip 10.2.2.1
[AR2-bfd-session-1]discriminator local 8004 //配置当前BFD会话的本地标识符
[AR2-bfd-session-1]discriminator remote 8003 //配置当前BFD会话的远端标识符
[AR2-bfd-session-1]commit //提交BFD会话配置
[AR2-bfd-session-1]quit //退出BFD会话配置,返回系统配置视图
[AR2]
(7) 配置
(8)运行防火墙HRP
防火墙FW1运行,
[FW1]hrp enable
HRP_M[FW1]
防火墙FW2运行,
[FW2]hrp enable
HRP_S[FW2]
(8) 测试
用PING命令测试通讯链路,关闭链路中的设备,观察通讯的可靠性
(七)参考资料
- 华为模拟器eNSP软件,
- 华为模拟器eNSP社区,
- HCNA-Security 华为认证网络安全工程师,
- HCNP-Security 华为认证网络安全资深工程师,
- HUAWEI USG6000V V500R001C10SPC100 典型配置案例,
- HUAWEI USG6000V V500R001C10SPC100 管理员指南,
- HUAWEI USG6000V V500R001C10SPC100 命令参考 ,
- 华为ICT相关的英文简称 。
PS:
文档由炖冬瓜用Markdown语言编写,输出PDF或HTML。
炖冬瓜 一枚混迹挨踢江湖十载有余的吃货,好吃懒做,成功的从丝瓜进阶为冬瓜。