華爲模擬器eNSP防火牆雙機熱備實驗

原創

2020-06-19 02:39

命令行配置

簡要步驟如下：

配置所有接口IP

在防火牆上規劃接口區域，所有接口允許被ping

防火牆配置安全策略，local到any

配置虛擬地址並分配VRRP組以及備用設備組（這一步配置完之後，在R1和R2測試ping網關）

主備防火牆配置HRP，以同步防火牆的策略和會話

R1、R2配置缺省路由，主防火牆放行Trust到Untrust的策略

首先需要開啓防火牆，但是這裏需要改一下備用防火牆FW2的防火牆服務端口GE 0/0/0的IP地址，不然會和主防火牆FW1的GEn0/0/0端口IP產生衝突

FW1:
sys
un in en
sysname FW1
dis ip int brief

FW2:
sys
un in en
sysname FW2
dis ip int brief
int g0/0/0 
ip address 192.168.0.2 24
dis this 
quit

防火牆接口配置IP地址並劃分相應區域

FW1：
sys
int g1/0/0
ip add 192.168.1.254 24
dis this
int g1/0/6
ip add 172.16.1.254 24
dis this
int g1/0/1
ip add 202.1.1.254 24
dis this
quit
firewall zone trust
add int g1/0/0
dis this
firewall zone dmz
add int g1/0/6
dis this
firewall zone untrust
add int g1/0/1
dis this
quit

FW2：
sys
int g1/0/0
ip add 192.168.1.253 24
dis this
int g1/0/6
ip add 172.16.1.253 24
dis this
int g1/0/1
ip add 202.1.1.253 24
dis this
quit
firewall zone trust
add int g1/0/0
dis this
firewall zone dmz
add int g1/0/6
dis this
firewall zone untrust
add int g1/0/1
dis this
quit

防火牆所有接口開啓ping服務，配置local到any的安全策略

FW1:
sys
int g1/0/0
service-manage ping permit
dis this
int g1/0/6
service-manage ping permit
dis this
int g1/0/1
service-manage ping permit
dis this
quit
security-policy
rule name local_to_any
source-zone local
destination-zone any
action permit
dis this
quit

FW2:
sys
int g1/0/0
service-manage ping permit
dis this
int g1/0/6
service-manage ping permit
dis this
int g1/0/1
service-manage ping permit
dis this
quit
security-policy
rule name local_to_any
source-zone local
destination-zone any
action permit
dis this
quit

防火牆配置虛擬地址和VRRP組以及備用設備組

FW1:
int g1/0/0
vrrp vrid 1 virtual-ip 192.168.1.1 active
dis this
int g1/0/1
vrrp vrid 2 virtual-ip 202.1.1.1 active
dis this
dis vrrp bri
quit

FW2:
int g1/0/0
vrrp vrid 1 virtual-ip 192.168.1.1 standby
dis this
int g1/0/1
vrrp vrid 2 virtual-ip 202.1.1.1 standby
dis this
dis vrrp bri 
quit

R1、R2配置接口地址，並測試ping網關(即防火牆vrrp虛擬地址)

R1:
sys
un in en
sysname R1
int e0/0/0
ip add 192.168.1.2 24
dis this
quit

R2:
sys
un in en
sysname R2
int e0/0/0
ip add 202.1.1.1 24
dis this
quit

驗證結果：

主備防火牆配置相應的HRP協議，以同步主備防火牆之間的策略和會話

FW1:
sys
hrp enable
hrp int g1/0/6 remote 172.16.1.253

FW2:
sys
hrp enable
hrp standby-device
hrp int g1/0/6 remote 172.16.1.254

注意 : 處於standby狀態的設備不允許配置安全策略（可以其他的），只允許在主設備配置安全策略，且安全策略會自動同步到備用設備上面。主設備配置安全策略，且安全策略會自動同步到備用設備上面，主設備配置由trust_to_untrust放行策略，備用設備會自動同步策略

在R1和R2上配置缺省路由並在主防火牆上配置trust_to_untrust的策略

R1:
sys
ip route-static 0.0.0.0 0 192.168.1.1
dis this
quit
dis ip routing-table

R2: 
sys
ip route-static 0.0.0.0 0 202.1.1.2
dis this 
quit
dis ip routing-table

FW1:
sys
security-policy
rule name trust_to_untrust
source-zone trust
destination-zone untrust
action permit
dis this
quit
quit
dis security-policy all

到這裏配置過程就結束了，接下來進行測試，關閉主防火牆的接口，模擬主防火牆出現故障，看看能夠還能ping通202.1.1.2

FW1:
sys
int g1/0/0
shutdown
dis this

shutdown掉了主防火牆的GE 1/0/0口，還是能夠訪問202.1.1.2，試驗成功，其他的就懶的測試了

防火牆Web端配置

發表評論

所有評論

還沒有人評論，想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.

華爲模擬器eNSP防火牆雙機熱備實驗

痞子衡嵌入式：恩智浦i.MX RT1xxx系列MCU啓動那些事（12.A）- uSDHC eMMC啓動時間(RT1170)

linux安裝cuda和cudnn

Mellanox網卡開啓SR-IOV

模擬手機設備：使用 Playwright 實現移動端自動化測試

全面系統的AI學習路徑，幫助普通人也能玩轉AI

HTML 00 Tutorial

從零開始：使用 Playwright 腳本錄製實現自動化測試

uni-app實現上拉加載

vue3編譯優化之“靜態提升”

又是一個月-20240513

使用Windows自帶命令校驗文件哈希值

[GKCTF2020]cve版簽到

Python學習筆記：系列數據類型

華爲模擬器eNSP防火牆配置vlan實驗

華爲模擬器eNSP將防火牆配置成三層核心交換機

https://yachay.unat.edu.pe/blog/index.php?comment_area=format_blog&comment_component=blog&comment_co

linux以太網驅動總結