防火墙双机热备带宽管理综合实验

最新推荐文章于 2025-05-26 16:58:14 发布
原创 最新推荐文章于 2025-05-26 16:58:14 发布 · 842 阅读 · 12 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络 #服务器 #运维

目录

基本配置

防火墙的配置

对于云的配置 

LSW5的配置

配置防火墙ip 

创建安全区域

安全策略

配置让生产区到DMZ的策略

SC concem

策略

结果

配置办公区到dmz的策略

BG TO DMZ 1

策略

结果

BG TO DMZ 2

策略

结果

BG TO DMZ 3

策略

结果

BG TO ISP

策略

结果

配置游客区的策略

YK1 TO 10.0.3.10

策略

结果

YK2 TO SC

策略

结果

YK3 TO ISP

策略

结果

配置用户

创建认证域

创建用户

办公区

研发部

市场部

生产区

生产1

生产2

生产3

认证策略

配置路由器

配置路由器的ip

配置NAT策略

YK and BG to ISP

策略

结果

设置管理员

办公区设备可以通过电信链路和移动链路上网

在FW1上配置对应的NAT策略

电信

移动

配置安全策略

测试结果

分公司访问总公司Dmz区的http服务器

在FW1上配置对应的服务器映射

配置总公司的安全策略

在FW2上配置对于的NAT策略

配置子公司的安全策略

测试结果

配置智能选路

在FW1上配置多出口环境基于带宽比例进行选路

全局选路策略

修改过载保护阈值

策略路由

测试结果

分公司的客户端通过域名访问到内部的服务器,公网设备也可以通过域名访问到分公司内部服务器

首先配置公网server5和子公司server4

用这个client3去测试

设计子公司去公网NAT

设计子公司去公网安全策略

从公网到子公司的NAT

从公网到子公司的安全策略

在FW2上做双向NAT

双向NAT的公网

测试结果

以下是我把题目理解错了的做法(把题目拆开看了)

在FW2上做双向NAT,分使公司内部的客户端可以通过域名访问到内部的服务器

让子公司的Server4开启DNS服务

在FW2上做双向NAT

安全策略

测试结果

公网设备也可以通过域名访问到分公司内部服务器

配置公网pc6

在FW2上做安全策略

安全策略

测试结果

游客区仅能通过移动链路访问互联网

配置策略路由

安全策略

测试结果

做好配置准备工作

将FW1和FW3之间的两条线做链路聚合

FW1

FW3 

 LSW5的0/0/4口改为Trunk模式

FW3的安全区域 

将FW3的接口ip配置好

防火墙组网改成双机热备

FW1的配置

FW3的配置

注意:等到双机热备启动好等一分钟,记住同步配置

注意:可能策略路由可能不会同步,需要手动配置

注意:路由策略不能用出接口,都用地址池配置

最终结果

FW1

FW3

注意:如果防火墙双机热备不一致,或者ping不通对应路由防火墙双机热备不一致

ping不通对应路由

办公区的带宽管理要求

分析

带宽通道

BG区上网总流量

BG区销售部

BG区销售部对email类应用

带宽策略

BG区上网总流量

BG区销售部

BG区销售部对email类应用

注意

移动区的带宽管理

要求

分析

移动采用100M的带宽

带宽通道

游客区用户上网的带宽通道

带宽策略

游客区在公网上网的带宽策略

最终效果

外网访问内网服务器的带宽管理

要求

分析

带宽通道

外网访问内网服务器

带宽策略

外网访问内网服务器

注意

最终效果

实验拓扑:

实验要求:

1,DMZ区内的服务器,办公区仅能在办公时间内(9:00 - 18:00)可以访问,生产区的设备全天可以访问.
2,生产区不允许访问互联网,办公区和游客区允许访问互联网
3,办公区设备10.0.2.10不允许访问DMZ区的FTP服务器和HTTP服务器,仅能ping通10.0.3.10
4,办公区分为市场部和研发部,市场部IP地址固定,访问DMZ区使用匿名认证,研发部需要用户绑定IP地址,访问DMZ区使用免认证;
游客区人员不固定,不允许访问DMZ区和生产区,统一使用Guest用户登录,密码Admin@123
5,生产区访问DMZ区时,需要进行protal认证,设立生产区用户组织架构,至少包含三个部门,每个部门三个用户,用户统一密码openlab123,首次
登录需要修改密码,用户过期时间设定为10天,用户不允许多人使用
6,创建一个自定义管理员,要求不能拥有系统管理的功能

7,办公区设备可以通过电信链路和移动链路上网(多对多的NAT,并且需要保留一个公网IP不能用来转换)
8,分公司设备可以通过总公司的移动链路和电信链路访问到Dmz区的http服务器
9,多出口环境基于带宽比例进行选路,但是,办公区中10.0.2.10该设备只能通过电信的链路访问互联网。链路开启过载保护,保护阈值80%;
10,分公司内部的客户端可以通过域名访问到内部的服务器,公网设备也可以通过域名访问到分公司内部服务器;
11,游客区仅能通过移动链路访问互联网

12,对现有网络进行改造升级,将当个防火墙组网改成双机热备的组网形式,做负载分担模式,游客区和DMZ区走FW3,生产区和办公区的流量走FW1
13,办公区上网用户限制流量不超过100M,其中销售部人员在其基础上限制流量不超过60M,且销售部一共10人,每人限制流量不超过6M
14,销售部保证email应用在办公时间至少可以使用10M的带宽,每个人至少1M
15,移动链路采用的是100M的带宽,要求游客区用户仅能占用50M,并且基于在线地址进行动态均分
16,外网访问内网服务器,下行流量不超过40M,DMZ中的每台服务器限制对外提供的最大下行带宽不超过20M。

17,假设内网用户需要通过外网的web服务器和pop3邮件服务器下载文件和邮件,内网的FTP服务器也需要接受外网用户上传的文件。针对该场景进行防病毒的防护。
18,我们需要针对办公区用户进行上网行为管理,要求进行URL过滤,要求在上班时间仅能访问教育/科研类,搜索/门户类网站,以及一个www.example.com/working相关URL都可以访问。其余都不允许访问。
19,通过DNS过滤,实现办公区仅能使用一个域名访问公网发HTTP服务器,另一个不行

基本配置

防火墙的配置

防火墙初始密码是:

Username:admin
Password:Admin@123

进去就需要修改密码,修改完毕后

进去g0/0/0端口配置ip:

[USG6000V1-GigabitEthernet0/0/0]ip address 192.168.100.1 255.255.255.0
[USG6000V1-GigabitEthernet0/0/0]service-manage all permit

对于云的配置 

 

以上防火墙和云配置完毕就可以通过web进入可视化界面

LSW5的配置

[Huawei]vlan batch 2 to 3
[Huawei]int g0/0/2
[Huawei-GigabitEthernet0/0/2] port link-type access
[Huawei-GigabitEthernet0/0/2] port default vlan 2
[Huawei]int g0/0/3
[Huawei-GigabitEthernet0/0/3] port link-type access
[Huawei-GigabitEthernet0/0/3] port default vlan 3
[Huawei]int g0/0/1
[Huawei-GigabitEthernet0/0/1] port link-type trunk
[Huawei-GigabitEthernet0/0/1] port trunk allow-pass vlan 2 to 3

配置防火墙ip 

创建安全区域

安全策略

配置让生产区到DMZ的策略

SC concem
策略

结果

配置办公区到dmz的策略

BG TO DMZ 1
策略

结果

BG TO DMZ 2
策略

结果

BG TO DMZ 3
策略

结果

BG TO ISP
策略

结果

不能ping通

因为并未对路由器设置nat这里并不能ping通。

配置游客区的策略

YK1 TO 10.0.3.10
策略

结果

YK2 TO SC
策略

结果

YK3 TO ISP
策略

结果

不能ping通

因为并未对路由器设置nat这里并不能ping通。

配置用户

创建认证域

创建用户

办公区
研发部

市场部

生产区
生产1

生产2

生产3

认证策略

配置路由器

配置路由器的ip

[ISP]int g0/0/0
[ISP-GigabitEthernet0/0/0]ip address 12.0.0.2 255.255.255.0
[ISP]int g0/0/1
[ISP-GigabitEthernet0/0/1]ip address 21.0.0.2 255.255.255.0
[ISP]int lo0
[ISP-LoopBack0]ip add 1.1.1.1 24

配置NAT策略

YK and BG to ISP
策略

结果

设置管理员

办公区设备可以通过电信链路和移动链路上网

在FW1上配置对应的NAT策略
电信

移动

 

配置安全策略

点击图片上的蓝字

测试结果

分公司访问总公司Dmz区的http服务器

在FW1上配置对应的服务器映射

配置总公司的安全策略

也就是点击上面的篮字

最低0.47元/天 解锁文章

200万优质内容无限畅学
防火墙双击热备和带宽管理实验
Thewei666的博客
07-15 504
1,DMZ区内的服务器,办公区仅能在办公时间内(9:00 - 18:00)可以访问,生产区的设备全天可以访问.2,生产区不允许访问互联网,办公区和游客区允许访问互联网3,办公区设备10.0.2.10不允许访问DMZ区的FTP服务器和HTTP服务器,仅能ping通10.0.3.104,办公区分为市场部和研发部,市场部IP地址固定,访问DMZ区使用匿名认证,研发部需要用户绑定IP地址,访问DMZ区使用免认证;
IPSec VPN配置实验
m0_66993332的博客
03-07 4975
IPSecVPN建立的前提:要想在两个站点之间安全的传输IP数据流,它们之间必须要先进行协商,协商它们之间所采用的加密算法,封装技术以及密钥。需要注意的是,尽管IPSec VPN提供了高度的安全性,但它也可能成为黑客攻击的目标。因此,部署IPSec VPN时,还需要考虑到设备的安全管理和持续的监控,以防止潜在的安全威胁。当对等体之间有了安全的管理连接之后,它们就可以接着协商用于构建安全数据连接的安全参数,这个协商过程是安全的,加密的。3.传输过程中数据的加密方式(des、3des、aes)
ENSP之综合实验
热门推荐
Shass的博客
09-21 3万+
最终TOPO 本文章不叙述详细的配置过程,只做需求配置演示 1、IP地址规划 FW1 AR 1 AR 2 AR 3 LSW1 LSW2 LSW3 LSW4 LSW5 LSW6 DHCP_Server FTP DNS www.test.com Clinet 2、所有主机通过DHCP获取地址(包括DNS地址)。 DHCP配置信息 DHCP中继配置 需要在LSW1、2上的vlanif10 20 30 40 100 101 102上配置中继服务。 3、STP配置 LSW1 LS
防火墙技术综合实验
weixin_34168880的博客
05-15 512
扩展ACL 一,实验拓扑 二,实验步骤: (1)测试网络连通性,PC1 ping 服务器。 (2)配置路由器R0 R0(config)#access-list 110 remark this is an example for extended acl//添加备注,增加可读性 R0(config)#access-list 110 deny tcp ...
ensp综合实验
m0_50751035的博客
11-04 5065
5、所有路由器路由表应尽量控制减少,预防出现环路,所有选路均为最佳路径;R4与R5之间正常使用1000M链路,1000M链路故障时自动切换到100m链路,整个网络仅使用静态路由协议;4、PC1/3为划分到VLAN2,PC2/4/HTTP 服务器划分到VLAN3;1、AR6理解为ISP设备,所连接的两个网段为公网;借三位,成为了8个网段27,给骨干使用,再借三位30,将一个网段再次划分为8个网段。2、AR6上只能进行ip地址配置,之后不得对该路由器进行其他任何配置。骨干链路需要6个网段,DHCP需要两个。
华为ensp实现防火墙双机热备-防火墙双机热备带宽管理综合
m0_63884865的博客
08-07 1457
在FW1上之前我们设置的是公网地址。一组是12.0.0.1,一组是21.0.0.1放在FW1身上;建立安全区域HRP,将汇聚接口放入HRP,FW1地址11.0.0.1;加入FW3防火墙,启动管理,想做负载启用vrrp,要改变下面设备网关地址,引起网络波动。同样其他区域的nat策略也是一样需要改(生产区不可以访问互联网,所以生产区没有策略)建立相应安全区域(最好顺序一样,但是在这里我建立的顺序不一样了,看看是否会报错)配置同步成功,FW3上具有FW1一样的路由策略。所用的接口是同一个,但是虚拟网关是不同的。
ensp综合实验
weixin_51668595的博客
10-20 5031
STP优先级、边缘端口、ETH_trunk、vlan、nat、acl、DHCP。
实验一:IPsec VPN实验测试(isakmp模式)
最新发布
zxf13407497896的博客
05-26 387
ensp软件测试ipsec vpn测试
IPsec VPN 实验
m0_63645854的博客
04-10 1678
IPsec VPN实验
HCIA综合实验
weixin_65313476的博客
11-04 2238
HCIA综合实验
ENSP综合实验
qq_57775566的博客
06-11 6948
实验拓扑图如下: 一、首先配置IP R7只配置了IP地址,PC1手动配置静态即可 [R7]interface g0/0/0 [R7-GigabitEthernet0/0/0]ip address 11.1.1.124 [R7-GigabitEthernet0/0/0]qu [R7]interface g0/0/1 [R7-GigabitEthernet0/0/1]ip address 10.1.1.224 [R7-GigabitEthernet0/0/1]qu [R6]interf..
eNSP综合实验
daydreamer36的博客
01-24 2650
要求 配置IP地址 pc1可以访问client,client拒绝pc2的访问 client可以访问server的telnet服务 server需配置telnet,用户名和密码均为admin 合理配置路由 私网上不允许有公网路由,公网上不允许有私网路由 AR3和AR4之间配置MP-group,并且配置chap认证 思路 做基础配置 做chap验证,做mp-group 做telnet,napt地址转换 做acl 这里需要注意,做要求2的时候,由于AR2和AR3之间地址已经发生转换,并且是做的NAPT,所
静态路由综合实验
cjh12340的博客
01-04 1116
要求: 1.R6为isp,接口IP地址为公有地址,该设备只能配置IP地址,之后不能再对其进行其他任何配置; 2.R1-R5为局域网,私有IP地址192.168.1.0/24,请合理分配; 3.R1,R2,R4,各有两个环回地址;R5,R6各有一个环回地址;所有路由器上环回均代表连接用户的接口; 4.R3下的两台PC通过DHCP自动获取IP地址; 5.选路最佳,路由表尽量小,避免环路; 6.R1-R5均可以访问R6的环回; 7.R6 telnet R5 的公有IP地址时,实际登录到R1上...
eNSP【综合实验
m0_49351110的博客
06-04 1383
PC1、PC2和Server1的网关部署在SW1,PC3、PC4、PC5的网关设置在SW2。要求:如图所示网段,外网PC利用DHCP动态主机分配协议,获取相应ip地址,保证为每台主机分配的IP地址均可正常使用。②在内外网边界路由器AR1上部署NAPT技术,设置地址池为10.1.1.3-10.1.1.20,使得内网PC能够访问外网。要求:配置vlan基础部分,设置端口类型以及所允许通过的vlan,利用vlan的三层交换使得PC与网关互通。要求:利用动态路由协议OSPF,区域为0,使得内网全网互通。
防火墙之IPSec VPN实验
晚风挽着浮云的博客
06-03 3481
指采用IPSec协议来实现远程接入的一种VPN技术,IPSec全称为Internet Protocol Security,是由Internet Engineering Task Force (IETF) 定义的安全标准框架,在公网上为两个私有网络提供安全通信通道,通过加密通道保证连接的安全——在两个公共网关间提供私密数据封包服务IPSEC是一套比较完整成体系的VPN技术,它规定了一系列的协议标准。
计算机网络-IPSec VPN基础实验一(主模式)
Linux基础知识、计算机网络基础学习分享。
12-09 1735
确保出口IP能够正常通信,需要注意的是这里只考虑到VPN流量,实际情况下可能是有internet上网流量和VPN互访流量,需要在ACL中进行区分,也就是在NAT时候调用ACL,先拒绝掉VPN流量然后允许上网流量。在华为以及华三设备中通过配置安全体验来定义一些如加密算法、认证算法、传输模式等内容,在IKE中又分为IKE 安全提议(ike proposal)以及IPSec 安全提议(ipsec proposal)。先根据我实际工作中应用到的技术与理论进行一个结合吧,如果有不同的欢迎交流。
防火墙双机热备实验
03-08
<think>嗯,用户想了解防火墙双机热备实验配置和工作原理。首先,我需要回忆一下双机热备的基本概念。根据引用[1],传统单防火墙存在单点故障风险,双机热备通过部署两台设备提高可靠性。那它的核心原理应该包括冗余和故障切换。 接下来,用户可能想知道具体的工作原理。我记得VRRP协议是关键,如引用[2]提到的,VRRP提供虚拟路由器功能,主备设备通过优先级选举。主设备故障时,备设备接管。另外,双机热备可能有主备和负载分担两种模式,引用[3]提到负载分担模式,不同流量走不同防火墙。需要区分这两种模式的区别和配置方法。 然后是实验配置步骤。用户可能需要具体的操作指南。根据引用中的信息,配置步骤可能包括网络拓扑搭建、接口配置、VRRP设置、心跳线连接、状态检测和策略同步。要详细说明每一步的作用,比如心跳线用于状态检测,确保主备通信。 另外,用户可能关心协议架构,如VGMP和HRP,如引用[2]中的华为方案。VGMP统一管理VRRP组,HRP负责会话同步。这部分需要解释清楚各个协议的作用和相互关系。 还要注意配置中的关键点,比如心跳线参数、VRRP优先级、抢占模式等。可能用户在实际操作中会遇到问题,比如主备切换不成功,需要检查这些参数是否正确。 最后,生成相关问题时要覆盖原理、配置步骤、协议和优化等方面,帮助用户深入理解。比如询问主备切换条件或配置心跳线的注意事项,这些都是实验中常见的问题。</think>### 防火墙双机热备工作原理及实验配置 #### 一、双机热备技术原理 1. **核心目标** 通过部署两台防火墙形成冗余架构,避免单点故障导致网络中断。主备设备通过心跳线(Heartbeat)实时同步状态,当主设备故障时,备设备立即接管业务[^1][^2]。 2. **关键协议与机制** - **VRRP(虚拟路由冗余协议)** 提供虚拟路由器功能,主备设备通过优先级选举(如优先级100为主设备,90为备设备),对外呈现统一的虚拟IP地址。 - **VGMP(华为专有协议)** 统一管理VRRP组状态,确保防火墙接口、路由等整体切换[^2]。 - **HRP(华为冗余协议)** 负责会话表、策略等配置的实时同步,保障切换时业务连续性。 3. **工作模式** - **主备模式** 主设备处理流量,备设备仅同步状态;主故障时备接管。 - **负载分担模式** 两台设备同时处理不同业务流量(如游客区走FW3,办公区走FW1)[^3]。 #### 二、实验配置步骤(以华为防火墙为例) ```python # 示例拓扑:FW1(主)与FW3(备)部署在出口,心跳线连接 # 配置主设备FW1 sys hrp enable hrp interface GigabitEthernet1/0/1 # 指定心跳接口 hrp priority 120 # 设置优先级(默认100) hrp standby-device # 标识备设备 firewall zone trust add interface GigabitEthernet1/0/2 # 内网接口 firewall zone untrust add interface GigabitEthernet1/0/3 # 外网接口 ``` ```python # 配置虚拟IP及VRRP组 interface Vlanif10 ip address 192.168.1.1 255.255.255.0 vrrp vrid 1 virtual-ip 192.168.1.254 # 虚拟网关 vrrp vrid 1 priority 120 vrrp vrid 1 preempt-mode timer delay 20 # 抢占延迟 ``` #### 三、关键配置要点 1. **心跳线要求** 直连物理链路带宽≥100M,延迟≤10ms。 2. **状态检测机制** 需同时配置链路层检测(如接口UP/DOWN)与应用层检测(如ICMP探针)。 3. **会话同步** 通过HRP协议同步NAT表、安全策略状态等,确保切换时现有连接不中断。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值