收藏
下载资源

{业务管理}防火墙双机热备业务上机指导书

上传人:管****问 文档编号:138478506 上传时间:2020-07-15 格式:DOCX 页数:35 大小:7.03MB
返回 下载 相关 举报
{业务管理}防火墙双机热备业务上机指导书_第1页
第1页 / 共35页
{业务管理}防火墙双机热备业务上机指导书_第2页
第2页 / 共35页
{业务管理}防火墙双机热备业务上机指导书_第3页
第3页 / 共35页
{业务管理}防火墙双机热备业务上机指导书_第4页
第4页 / 共35页
{业务管理}防火墙双机热备业务上机指导书_第5页
第5页 / 共35页
点击查看更多>>
资源描述

《{业务管理}防火墙双机热备业务上机指导书》由会员分享,可在线阅读,更多相关《{业务管理}防火墙双机热备业务上机指导书(35页珍藏版)》请在金锄头文库上搜索。

1、修订记录课程编码适用产品产品版本课程版本ISSUEDS002104EudemonALL1.00开发/优化者时间审核人开发类型(新开发/优化)卢希2009-5-15凃昭新开发Eudemon防火墙双机热备业务上机指导书Eudemon防火墙双机热备业务上机指导书上机指导书(页眉)目 录目 录实验说明1实验说明1版本介绍1实验目的1实验任务1相关资料1第1章 路由模式+主备组网方式的双机热备技术在Eudemon防火墙上的部署21.1 组网及业务描述21.2 命令行列表31.3 配置流程图41.4 配置步骤41.5 具体配置及实验结果验证4第2章 路由模式+负载分担方式的双机热备技术在Eudemon防火

2、墙上的部署122.1 组网及业务描述122.2 命令行列表132.3 配置流程图142.4 配置步骤142.5 具体配置及实验结果验证14第3章 混合模式+主备组网方式的双机热备份技术在Eudemon防火墙上的部署233.1 组网及业务描述233.2 命令行列表243.3 配置流程图243.4 配置步骤243.5 具体配置及实验结果验证25i华为技术有限公司 版权所有, 未经许可不得扩散Eudemon防火墙双机热备业务上机指导书Error! No text of specified style in document.实验说明实验说明本实验指导书本主要介绍了Eudemon防火墙双机热备技术的常

3、见组网方式及配置流程,涵盖了VRRP、VGMP和HRP等防火墙双机热备的主要技术。希望您能通过本指导书了解并掌握Eudemon防火墙双机热备技术的部署。版本介绍本指导书适用于VRP版本3.30实验目的l 掌握Eudemon防火墙双机热备的基本原理l 熟悉路由模式+主备组网方式的防火墙双机热备技术l 熟悉路由模式+负载分担组网方式的防火墙双机热备技术l 熟悉混合模式+主备组网方式的防火墙双机热备技术实验任务l 完成Eudemon防火墙的基本配置l 配置VRRP备份组l 配置HRP相关资料l Eudemon防火墙产品手册 配置指南l Eudemon防火墙产品手册 命令参考1华为技术有限公司 版权所

4、有, 未经许可不得扩散Eudemon防火墙双机热备业务上机指导书Error! No text of specified style in document.Error! No text of specified style in document.第1章 路由模式+主备组网方式的双机热备技术在Eudemon防火墙上的部署1.1 组网及业务描述路由模式+主备组网方式Eudemon作为安全设备被部署在业务节点上。其中上下行设备均是交换机,Eudemon A、Eudemon B分别充当主用设备和备用设备,且均工作在路由模式下。网络规划如下:需要保护的网段地址为10.100.10.0/24,与防火墙的

5、GigabitEthernet 0/0/0接口相连,部署在Trust区域。 外部网络与防火墙的GigabitEthernet 0/0/2接口相连,部署在Untrust区域。 两台防火墙的HRP备份通道接口GigabitEthernet 0/0/1部署在DMZ区域。 两台防火墙分别通过交换机连接各个安全区域。其中,各安全区域对应的备份组虚拟IP地址如下:Trust区域对应的备份组虚拟IP地址为10.100.10.1。 Untrust区域对应的备份组虚拟IP地址为202.38.10.1。 DMZ区域对应的备份组虚拟IP地址为10.100.20.1。防火墙和PC地址规划如下:Eudemon A:GE

6、0/0/0:10.100.10.2/24;GE0/0/1:10.100.20.2/24;GE0/0/2:202.38.10.2/24Eudemon B:GE0/0/0:10.100.10.3/24;GE0/0/1:10.100.20.3/24;GE0/0/2:202.38.10.3/24PC1:10.100.10.410.100.10.254/24PC2:202.38.10.4202.38.10.254/24实验要求:1、完成防火墙双机热备配置,使PC1可以ping通PC2,PC2无法ping通PC1。2、宕掉主用防火墙的一个HRP备份通道接口,主用防火墙管理组优先级发生变化,导致主备倒换。查

7、看主备防火墙倒换对于从PC1发往PC2的数据包的影响。1.2 命令行列表操作版本命令配置VRRP备份组的虚拟IP地址并指定备份组所属的管理组。VRP 3.30vrrp vrid virtual-router-ID virtual-ip virtual-address ip-mask | ip-mask-length slave | master 使能HRP功能。VRP 3.30hrp enable创建备份会话表的通道接口。VRP 3.30hrp interface interface-type interface-number transfer-only使能配置命令和连接状态的自动备份。VRP

8、 3.30hrp auto-sync config batch-backup | connection-status 编写提示:通过表格的形式列举实验中要使用到的主要的,典型的命令行列。可以参考命令行手册。主要数通采用。印刷时上段话删除。1.3 配置流程图防火墙基本配置配置VRRP备份组配置HRP1.4 配置步骤(1) 基本配置:配置接口的IP地址;将接口分别添加到对应的区域;配置区域间包过滤规则。(2) 配置VRRP备份组并制定备份组所属的管理组。(3) 创建备份会话表的通道接口并使能HRP功能。(4) 使能配置命令和连接状态的自动备份功能。1.5 具体配置及实验结果验证1.5.1 Eude

9、mon A的基本配置:#配置主机名system-viewEudemonsysname Eudemon A#配置接口IP地址Eudemon Ainterface GigabitEthernet 0/0/0Eudemon A- GigabitEthernet0/0/0ip address 10.100.10.2 24Eudemon A- GigabitEthernet0/0/0quitEudemon Ainterface GigabitEthernet 0/0/1Eudemon A- GigabitEthernet0/0/1ip address 10.100.20.2 24Eudemon A- G

10、igabitEthernet0/0/1quitEudemon Ainterface GigabitEthernet 0/0/2Eudemon A-Ethernet0/0/2ip address 202.38.10.2 24Eudemon A-Ethernet0/0/2quit#添加接口至对应区域Eudemon Afirewall zone trustEudemon A-zone-trustadd interface GigabitEthernet 0/0/0Eudemon A-zone-trustquitEudemon Afirewall zone dmzEudemon A-zone-dmza

11、dd interface GigabitEthernet 0/0/1Eudemon A-zone-dmzquitEudemon Afirewall zone untrustEudemon A-zone-untrustadd interface GigabitEthernet 0/0/2Eudemon A-zone-untrustquit#配置VRRP备份组,并指定备份组所属的管理组。Eudemon Ainterface GigabitEthernet 0/0/0Eudemon A-GigabitEthernet0/0/0vrrp vrid 1 virtual-ip 10.100.10.1 ma

12、sterEudemon AquitEudemon Ainterface GigabitEthernet 0/0/1Eudemon A-GigabitEthernet0/0/1vrrp vrid 2 virtual-ip 10.100.20.1 masterEudemon AquitEudemon Ainterface GigabitEthernet 0/0/2Eudemon A-GigabitEthernet0/0/2vrrp vrid 3 virtual-ip 202.38.10.1 master#配置local区域和dmz区域的域间包过滤规则,以便VRRP报文、VGMP报文和HRP报文能够

13、通过心跳接口正常交互。Eudemon Aacl 2000Eudemon A-acl-basic-2000rule permit source 10.100.20.0 0.0.0.255Eudemon A-acl-basic-2000quitEudemon Afirewall interzone local dmzEudemon A-interzone-local-dmzpacket-filter 2000 inboundEudemon A-interzone-local-dmzpacket-filter 2000 outbound#配置HRP备份通道。Eudemon Ahrp interfac

14、e GigabitEthernet 0/0/1 transfer-onlyEudemon Ahrp interface GigabitEthernet 0/0/0Eudemon Ahrp interface GigabitEthernet 0/0/2#使能HRP功能Eudemon Ahrp enable1.5.2 Eudemon B的基本配置:#配置主机名system-viewEudemonsysname Eudemon B#配置接口IP地址Eudemon Binterface GigabitEthernet 0/0/0Eudemon B- GigabitEthernet0/0/0ip address 10.100.10.3 24Eudemon B- GigabitEthernet0/0/0quitEudemon Binterface GigabitEthernet 0/0/1Eudemon B- GigabitEthernet0/0/1ip address 10.100.20.3 24Eudemon B- Gigabi

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 商业/管理/HR > 企业文档

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号