华为防火墙配置7[配置双机热备与BFD联动]

(一)实验简介

如图所示,某公司出口连接两个路由器,以双链路接入Internet,为了保证在链路故障时可以动态调整,FW和两台路由器之间配置双机热备绑定BFD,将FW1为主设备,在出现故障时FW2切换为主设备,从而不影响内网用户正常访问 Internet

网络拓朴结构

(二)实验目的

  1. 掌握配置双机热备的方法;
  2. 掌握BFD的配置方法;
  3. 掌握双机热备与BFD联动的场景配置方法。

(三)实验条件

  1. 一台CPU支持VT技术,内存4GB以上的计算机;
  2. 安装eNSP模拟器B510版,导入USG6000V镜像;
  3. 终端工具:SecuretyCRT,Putty,Psftp,XShell等。

(四)网络拓朴图

打开ENSP软件,按如下拓朴图创建实验环境,设置地址:

  1. LAN地址:192.168.10.0/24;
  2. ISP1地址:10.1.1.0/24;
  3. ISP2地址:10.2.2.0/24;
  4. HRP地址:10.0.0.0/24
  5. Internet地址:10.77.77.0/24;
实验拓朴

(五)配置思路

  1. 配置LAN客户机地址,交换机;
  2. 配置ISP1,IPS2路由器;
  3. 配置Internet客户机的地址,交换机;
  4. 配置防火墙的接口,安全域,安全策略;
  5. 配置双机热备;
  6. 配置BFD;
  7. 配置双机热备与BFD联动。

(六)配置步骤

(1)配置LAN的网络

以下为LAN所在网络的客户机PC1的配置

PC1的网络地址

交换机LSW1的配置

The device is running!

system-view     //进入系统配置视图
Enter system view, return user view with Ctrl+Z.
[Huawei]sysname LSW1    //修改交换机名为LSW1
[LSW1]
[LSW1]undo info-center enable   //关闭信息提示
Info: Information center is disabled.
[LSW1]interface Vlanif 1    //进入vlan接口配置视图
[LSW1-Vlanif1]ip address 192.168.10.254 24      //配置vlan的IP地址
[LSW1-Vlanif1]quit      //退出vlan接口配置,返回系统配置视图
[LSW1]
[LSW1]ospf      //进入OSPF配置接口,默认ID号为1
[LSW1-ospf-1]area 0     //创建OSPF区域,并进入OSPF区域视图
[LSW1-ospf-1-area-0.0.0.0]network 192.168.10.0 0.0.0.255        //指定接口所在的网段地址,反掩码
[LSW1-ospf-1-area-0.0.0.0]quit  //退出OSPF区域,返回OSPF配置视图
[LSW1-ospf-1]quit   //退出OSPF配置视图,返回系统配置视图
[LSW1]quit      //退出系统配置视图,返回用户视图
save      //保存配置
The current configuration will be written to the device.
Are you sure to continue?[Y/N]y
Info: Please input the file name ( *.cfg, *.zip ) [vrpcfg.zip]:
Now saving the current configuration to the slot 0.
Save the configuration successfully.


(2) 配置Internet网络

以下为Internet网络的客户机PC2的配置

PC2的网络地址

交换机LSW2的配置

The device is running!

sys 
system-view //进入系统配置视图
Enter system view, return user view with Ctrl+Z.
[Huawei]undo info-center enable     //关闭信息提示
Info: Information center is disabled.
[Huawei]sysname LSW2    //修改交换机名为LSW1
[LSW2]int v 1
[LSW2-Vlanif1]ip addr 10.77.77.254 24   //配置vlan的IP地址
[LSW2-Vlanif1]quit  //退出vlan接口配置,返回系统配置视图
[LSW2]ospf 1        //进入OSPF配置接口,默认ID号为1
[LSW2-ospf-1]area 0 //创建OSPF区域,并进入OSPF区域视图
[LSW2-ospf-1-area-0.0.0.0]network 10.77.77.0 0.0.0.255  //指定接口所在的网段地址,反掩码
[LSW2-ospf-1-area-0.0.0.0]quit  //退出OSPF区域,返回OSPF配置视图
[LSW2-ospf-1]quit       //退出OSPF配置视图,返回系统配置视图
[LSW2]quit  //退出系统配置视图,返回用户视图
save  //保存配置
The current configuration will be written to the device.
Are you sure to continue?[Y/N]y
Info: Please input the file name ( *.cfg, *.zip ) [vrpcfg.zip]:
Now saving the current configuration to the slot 0.
Save the configuration successfully.

(3) 配置ISP1/ISP2的路由器

路由器AR1的配置

The device is running!


system-view //进入系统配置视图
Enter system view, return user view with Ctrl+Z.
[Huawei]undo info-center enable         //关闭信息提示
Info: Information center is disabled.
[Huawei]sysname AR1 //修改路由器名为AR1
[AR1]
[AR1]interface GigabitEthernet 0/0/0    //进入接口配置
[AR1-GigabitEthernet0/0/0]ip address 10.1.1.2 24        //配置接口地址
[AR1-GigabitEthernet0/0/0]quit  //退出接口配置视图,返回系统视图
[AR1]
[AR1]interface GigabitEthernet 0/0/1    //进入接口配置
[AR1-GigabitEthernet0/0/1]ip address 10.77.77.3 24  //配置接口地址
[AR1-GigabitEthernet0/0/1]quit      //退出接口配置视图,返回系统视图
[AR1]
[AR1]ospf   
[AR1]ospf 1 //进入OSPF配置接口,默认ID号为1
[AR1-ospf-1]area 0  //创建OSPF区域,并进入OSPF区域视图
[AR1-ospf-1-area-0.0.0.0]       
[AR1-ospf-1-area-0.0.0.0]network 10.1.1.0 0.0.0.255     //指定接口所在的网段地
[AR1-ospf-1-area-0.0.0.0]network 10.77.77.0 0.0.0.255   //指定接口所在的网段地
[AR1-ospf-1-area-0.0.0.0]quit   //退出OSPF区域,返回OSPF配置视图
[AR1-ospf-1]quit        //退出OSPF配置视图,返回系统配置视图
[AR1]quit
save
  The current configuration will be written to the device. 
  Are you sure to continue? (y/n)[n]:y
  It will take several minutes to save configuration file, please wait........
  Configuration file had been saved successfully
  Note: The configuration file will take effect after being activated

路由器AR2的配置

The device is running!

system-view     //进入系统配置视图
Enter system view, return user view with Ctrl+Z.
[Huawei]undo info-center enable     //关闭信息提示
Info: Information center is disabled.
[Huawei]sysname AR2     //修改路由器名为AR2
[AR2]interface GigabitEthernet 0/0/0        //进入接口配置
[AR2-GigabitEthernet0/0/0]ip address 10.2.2.2 24        //配置接口地址
[AR2-GigabitEthernet0/0/0]quit      //退出接口配置视图,返回系统视图
[AR2]interface GigabitEthernet 0/0/1        //进入接口配置
[AR2-GigabitEthernet0/0/1]ip address 10.77.77.4 24      //配置接口地址
[AR2-GigabitEthernet0/0/1]quit      //退出接口配置视图,返回系统视图
[AR2]
[AR2]ospf 1     //进入OSPF配置接口,默认ID号为1
[AR2-ospf-1]area 0      //创建OSPF区域,并进入OSPF区域视图
[AR2-ospf-1-area-0.0.0.0]network 10.2.2.0 0.0.0.255     //指定接口所在的网段地
[AR2-ospf-1-area-0.0.0.0]network 10.77.77.0 0.0.0.255   //指定接口所在的网段地
[AR2-ospf-1-area-0.0.0.0]quit   //退出OSPF区域,返回OSPF配置视图
[AR2-ospf-1]quit        //退出OSPF配置视图,返回系统配置视图
[AR2]quit
save
  The current configuration will be written to the device. 
  Are you sure to continue? (y/n)[n]:y
  It will take several minutes to save configuration file, please wait........
  Configuration file had been saved successfully
  Note: The configuration file will take effect after being activated

(4) 配置防火墙FW1

分别为防火墙的连接各个网络的接口配置IP地址,网关,允许ping

system-view  //进入系统配置视图
Enter system view, return user view with Ctrl+Z.
[USG6000V1]undo info-center enable  //关闭信息提示
Info: Information center is disabled.
[USG6000V1]sysname FW1  //修改防火墙的设备名为FW1
[FW1]interface GigabitEthernet 1/0/1    //进入GE1/0/1接口
[FW1-GigabitEthernet1/0/1]ip address 192.168.10.253 24  //配置接口的IP地址
[FW1-GigabitEthernet1/0/1]service-manage ping permit    //允许PING
[FW1-GigabitEthernet1/0/1]quit  //退出接口配置视图,返回系统视图
[FW1]interface GigabitEthernet 1/0/2    //进入GE1/0/2接口
[FW1-GigabitEthernet1/0/2]ip address 10.1.1.1 24        //配置接口的IP地址
[FW1-GigabitEthernet1/0/2]service-manage ping permit    //允许PING
[FW1-GigabitEthernet1/0/2]quit  //退出接口配置视图,返回系统视图
[FW1]interface GigabitEthernet 1/0/3    //进入GE1/0/3接口
[FW1-GigabitEthernet1/0/3]ip address 10.0.0.1 24        //配置接口的IP地址
[FW1-GigabitEthernet1/0/3]service-manage ping permit    //允许PING
[FW1-GigabitEthernet1/0/3]quit  //退出接口配置视图,返回系统视图
[FW1]firewall zone trust    //进入安全域trust配置
[FW1-zone-trust]add interface GigabitEthernet 1/0/1 //把GE1/0/1加入安全域
[FW1-zone-trust]quit            //退出安全域配置视图,返回系统视图
[FW1]firewall zone untrust  //进入安全域untrust配置
[FW1-zone-untrust]add interface GigabitEthernet 1/0/2   //把GE1/0/2加入安全域
[FW1-zone-untrust]quit      //退出安全域配置视图,返回系统视图
[FW1]firewall zone dmz      //进入安全域dmz配置
[FW1-zone-dmz]add interface GigabitEthernet 1/0/3   //把GE1/0/3加入安全域
[FW1-zone-dmz]quit          //退出安全域配置视图,返回系统视图
[FW1]
[FW1]security-policy    //进入安全策略配置视图
[FW1-policy-security]rule name lan_isp  //创建名lan_isp的规则
[FW1-policy-security-rule-lan_isp]source-zone local trust   //设置源安全域
[FW1-policy-security-rule-lan_isp]destination-zone local untrust //设置目的安全域
[FW1-policy-security-rule-lan_isp]action permit     //允许匹配规则的流量通过
[FW1-policy-security-rule-lan_isp]quit      //退出规则视图,返回安全策略视图
[FW1-policy-security]rule name hrp_check        //创建名hrp_check的规则
[FW1-policy-security-rule-hrp_check]source-zone local dmz   //设置源安全域
[FW1-policy-security-rule-hrp_check]destination-zone dmz local //设置目的安全域
[FW1-policy-security-rule-hrp_check]action permit    //允许匹配规则的流量通过
[FW1-policy-security-rule-hrp_check]quit            //退出规则视图,返回安全策略视图
[FW1-policy-security]dis this   //查看当前配置结果
#
security-policy
 rule name lan_isp
  source-zone trust
  destination-zone untrust
  action permit
 rule name hrp_check
  source-zone local
  source-zone dmz
  destination-zone local
  destination-zone dmz
  action permit
#
return
[FW1-policy-security]quit   //退出安全策略配置视图,返回系统视图
[FW1]ospf 1     //进入OSPF配置接口,默认ID号为1
[FW1-ospf-1]area 0      //创建OSPF区域,并进入OSPF区域视图
[FW1-ospf-1-area-0.0.0.0]network 192.168.10.0 0.0.0.255     //指定接口所在的网段地
[FW1-ospf-1-area-0.0.0.0]network 10.1.1.0 0.0.0.255     //指定接口所在的网段地
[FW1-ospf-1-area-0.0.0.0]network 10.0.0.0 0.0.0.255     //指定接口所在的网段地
[FW1-ospf-1-area-0.0.0.0]quit       //退出OSPF区域,返回OSPF配置视图
[FW1-ospf-1]quit            //退出OSPF配置视图,返回系统配置视图
[FW1]
[FW1]hrp adjust ospf-cost enable    //动根据主备状态调整OSPF-COST值功能
[FW1]hrp interface GigabitEthernet 1/0/3 remote 10.0.0.2    //创建备份双机间数据的通道接口
[FW1]hrp mirror session enable  //启动会话快速备份功能
[FW1]bfd    //启用BFD功能,并进入BFD全局视图
[FW1-bfd]quit   //退出BFD配置视图,返回系统配置视图
[FW1]bfd 1 bind peer-ip  10.1.1.2   //创建BFD会话绑定,并生成BFD会话
[FW1-bfd-session-1]
[FW1-bfd-session-1]discriminator local 8001 //配置当前BFD会话的本地标识符
[FW1-bfd-session-1]discriminator remote 8002        //配置当前BFD会话的远端标识符
[FW1-bfd-session-1]commit   //提交BFD会话配置
[FW1-bfd-session-1]quit     //退出BFD会话配置,返回系统配置视图
[FW1]
[FW1]

(5) 配置防火墙FW2

sys  
system-view  //进入系统配置视图
Enter system view, return user view with Ctrl+Z.
[USG6000V1]undo info-center enable //关闭信息提示
Info: Information center is disabled.
[USG6000V1]sysname FW2  //修改防火墙的设备名为FW2
[FW2]
[FW2]interface GigabitEthernet 1/0/1        //进入GE1/0/1接口
[FW2-GigabitEthernet1/0/1]ip addr 192.168.10.252 24 //配置接口的IP地址
[FW2-GigabitEthernet1/0/1]service-manage ping permit    //允许PING
[FW2-GigabitEthernet1/0/1]quit  //退出接口配置视图,返回系统视图
[FW2]interface GigabitEthernet 1/0/2        //进入GE1/0/2接口
[FW2-GigabitEthernet1/0/2]ip address  10.2.2.1 24   //配置接口的IP地址
[FW2-GigabitEthernet1/0/2]service-manage ping permit    //允许PING
[FW2-GigabitEthernet1/0/2]quit  //退出接口配置视图,返回系统视图
[FW2]interface GigabitEthernet 1/0/3        //进入GE1/0/3接口
[FW2-GigabitEthernet1/0/3]ip address 10.0.0.2 24        //配置接口的IP地址
[FW2-GigabitEthernet1/0/3]service-manage ping permit    //允许PING
[FW2-GigabitEthernet1/0/3]quit  //退出接口配置视图,返回系统视图
[FW2]
[FW2]
[FW2]firewall zone trust    //进入安全域trust配置
[FW2-zone-trust]add interface GigabitEthernet 1/0/1     //把GE1/0/1加入安全域
[FW2-zone-trust]quit            //退出安全域配置视图,返回系统视图
[FW2]firewall zone untrust  //进入安全域untrust配置
[FW2-zone-untrust]add interface GigabitEthernet 1/0/2       //把GE1/0/2加入安全域
[FW2-zone-untrust]quit  //退出安全域配置视图,返回系统视图
[FW2]firewall zone dmz  //进入安全域dmz配置
[FW2-zone-dmz]add interface GigabitEthernet 1/0/3       //把GE1/0/3加入安全域
[FW2-zone-dmz]quit      //退出安全域配置视图,返回系统视图
[FW2]   
[FW2]security-policy        //进入安全策略配置视图
[FW2-policy-security]rule name lan_isp  //创建名lan_isp的规则
[FW2-policy-security-rule-lan_isp]source-zone local trust   //设置源安全域
[FW2-policy-security-rule-lan_isp]destination-zone local untrust //设置目的安全域
[FW2-policy-security-rule-lan_isp]action permit  //允许匹配规则的流量通过
[FW2-policy-security-rule-lan_isp]quit
[FW2-policy-security]rule name hrp_check        //创建名hrp_check的规则
[FW2-policy-security-rule-hrp_check]source-zone local dmz   //设置源安全域
[FW2-policy-security-rule-hrp_check]destination-zone local dmz //设置目的安全域
[FW2-policy-security-rule-hrp_check]action permit  //允许匹配规则的流量通过
[FW2-policy-security-rule-hrp_check]quit
[FW2-policy-security]quit
[FW2]
[FW2]ospf 1     //进入OSPF配置接口,默认ID号为1
[FW2-ospf-1]area 0  //创建OSPF区域,并进入OSPF区域视图
[FW2-ospf-1-area-0.0.0.0]network 192.168.10.0 0.0.0.255     //指定接口所在的网段地
[FW2-ospf-1-area-0.0.0.0]network 10.2.2.0 0.0.0.255     //指定接口所在的网段地
[FW2-ospf-1-area-0.0.0.0]network 10.0.0.0 0.0.0.255     //指定接口所在的网段地
[FW2-ospf-1-area-0.0.0.0]quit       //退出OSPF区域,返回OSPF配置视图
[FW2-ospf-1]quit        //退出OSPF配置视图,返回系统配置视图
[FW2]
[FW2]       
[FW2]hrp adjust ospf-cost enable    //动根据主备状态调整OSPF-COST值功能
[FW2]hrp interface GigabitEthernet 1/0/3 remote 10.0.0.1    //创建备份双机间数据的通道接口
[FW2]hrp mirror session enable  //启动会话快速备份功能
[FW2]
[FW2]bfd    //启用BFD功能,并进入BFD全局视图
[FW2-bfd]quit   //退出BFD配置视图,返回系统配置视图
[FW2]bfd 1 bind peer-ip  10.1.1.2   //创建BFD会话绑定,并生成BFD会话
[FW2-bfd-session-1]discriminator local 8003     //配置当前BFD会话的本地标识符
[FW2-bfd-session-1]discriminator remote 8004        //配置当前BFD会话的远端标识符
[FW2-bfd-session-1]commit   //提交BFD会话配置
[FW2-bfd-session-1]quit     //退出BFD会话配置,返回系统配置视图
[FW2]
[FW2]

(6) 配置路由器的BFD

路由器AR1的BFD


sys    
system-view 
Enter system view, return user view with Ctrl+Z.
[AR1]bfd        //启用BFD功能,并进入BFD全局视图
[AR1-bfd]quit       //退出BFD配置视图,返回系统配置视图
[AR1]
[AR1]bfd 1 bind peer-ip 10.1.1.1        //创建BFD会话绑定,并生成BFD会话
[AR1-bfd-session-1]discriminator local 8002 //配置当前BFD会话的本地标识符
[AR1-bfd-session-1]discriminator remote 8001        //配置当前BFD会话的远端标识符
[AR1-bfd-session-1]commit   //提交BFD会话配置
[AR1-bfd-session-1]quit     //退出BFD会话配置,返回系统配置视图
[AR1]
[AR1]

路由器AR2的BFD


sys    
system-view 
Enter system view, return user view with Ctrl+Z.
[AR2]bfd    //启用BFD功能,并进入BFD全局视图
[AR2-bfd]quit   //退出BFD配置视图,返回系统配置视图
[AR2]bfd 1 bind peer-ip 10.2.2.1
[AR2-bfd-session-1]discriminator local 8004     //配置当前BFD会话的本地标识符
[AR2-bfd-session-1]discriminator remote 8003        //配置当前BFD会话的远端标识符
[AR2-bfd-session-1]commit   //提交BFD会话配置
[AR2-bfd-session-1]quit     //退出BFD会话配置,返回系统配置视图
[AR2]

(7) 配置

(8)运行防火墙HRP

防火墙FW1运行,

[FW1]hrp enable
HRP_M[FW1]

防火墙FW2运行,

[FW2]hrp enable
HRP_S[FW2]

(8) 测试

用PING命令测试通讯链路,关闭链路中的设备,观察通讯的可靠性

(七)参考资料

  • 华为模拟器eNSP软件,
  • 华为模拟器eNSP社区,
  • HCNA-Security 华为认证网络安全工程师,
  • HCNP-Security 华为认证网络安全资深工程师,
  • HUAWEI USG6000V V500R001C10SPC100 典型配置案例,
  • HUAWEI USG6000V V500R001C10SPC100 管理员指南,
  • HUAWEI USG6000V V500R001C10SPC100 命令参考 ,
  • 华为ICT相关的英文简称 。

PS:
文档由炖冬瓜用Markdown语言编写,输出PDF或HTML。
炖冬瓜 一枚混迹挨踢江湖十载有余的吃货,好吃懒做,成功的从丝瓜进阶为冬瓜。

你可能感兴趣的:(华为防火墙配置7[配置双机热备与BFD联动])