在eNSP模拟器上使用usg6000v实现双机热备(直路部署,上下行连接三层设备的主备备份组网)

最新推荐文章于 2025-05-25 12:36:39 发布
最新推荐文章于 2025-05-25 12:36:39 发布
阅读量713 收藏 2
点赞数
CC 4.0 BY-SA版权
文章标签: 网络 服务器 网络协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010311846/article/details/127295422
本文介绍如何在eNSP模拟器上使用USG6000防火墙设备实现双机热备,包括设备选型、配置思路及具体操作步骤。通过部署OSPF、VRRP等技术确保网络高可用性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

在eNSP模拟器上使用usg6000v实现双机热备(直路部署,上三下三,主备模式)

拓扑图

在这里插入图片描述

设备选型

PC1设备使用PC型终端设备

LSW1设备使用S3700型号交换机设备

R1-R5使用Router型路由器设备

FW1-FW2使用USG6000型号防火墙设备

配置思路

1.完成终端设备的网络参数配置以及网络设备的基本配置(设备重命名+接口IP)

2.完成FW1和FW2设备的初始化配置(重命名+接口IP+区域划分)

3.全网部署OSPF实现三层路由可达

4.在R1设备和R2设备上部署VRRP备份组,承载内网设备网关

5.在FW1和FW2设备开启HRP协议并配置心跳接口,在FW2设备上指定角色为备份设备,并在FW1(主设备)上配置域间安全策略放行业务流

6.为保证VRRP备份组和双机热备组的主备角色同步切换,部署BFD会话,并分别和VRRP备份组以及双机热备组联动(配合对应的域间安全策略放行BFD流量)

操作步骤

1.终端设备(PC1)的网络参数配置以及网络设备(R1-R5)的基本配置(设备重命名+接口IP)

PC1:
在这里插入图片描述
R1:

sysname R1
#
undo info-center enable
#
interface Ethernet0/0/0
 ip address 192.168.10.251 255.255.255.0
#
interface Ethernet0/0/1
 ip address 10.0.1.1 255.255.255.0

R2:

sysname R2
#
undo info-center enable
#
interface Ethernet0/0/0
 ip address 192.168.10.252 255.255.255.0
#
interface GigabitEthernet0/0/0
 ip address 10.0.2.1 255.255.255.0

R3:

sysname R3
#
undo info-center enable
#
interface Ethernet0/0/0
 ip address 10.0.3.1 255.255.255.0
#
interface Ethernet0/0/1
 ip address 10.0.35.3 255.255.255.0

R4:

sysname R4
#
undo info-center enable
#
interface Ethernet0/0/0
 ip address 10.0.4.1 255.255.255.0
#
interface Ethernet0/0/1
 ip address 10.0.45.4 255.255.255.0

R5:

sysname R5
#
undo info-center enable
#
interface Ethernet0/0/0
 ip address 10.0.35.5 255.255.255.0
#
interface Ethernet0/0/1
 ip address 10.0.45.5 255.255.255.0
#
interface LoopBack0
 ip address 5.5.5.5 255.255.255.0

2.FW1和FW2设备的初始化配置(重命名+接口IP+区域划分)

FW1:

sysname FW1
#
undo info-center enable
#
interface GigabitEthernet1/0/0
 ip address 10.0.12.1 255.255.255.0
#
interface GigabitEthernet1/0/1
 ip address 10.0.1.2 255.255.255.0
#
interface GigabitEthernet1/0/2
 ip address 10.0.3.2 255.255.255.0
#
firewall zone trust
 add interface GigabitEthernet1/0/0
 add interface GigabitEthernet1/0/1
#
firewall zone untrust
 set priority 5
 add interface GigabitEthernet1/0/2

FW2:

sysname FW2
#
undo info-center enable
#
interface GigabitEthernet1/0/0
 ip address 10.0.12.2 255.255.255.0
#
interface GigabitEthernet1/0/1
 ip address 10.0.2.2 255.255.255.0
#
interface GigabitEthernet1/0/2
 ip address 10.0.4.2 255.255.255.0
#
firewall zone trust
 add interface GigabitEthernet1/0/0
 add interface GigabitEthernet1/0/1
#
firewall zone untrust
 set priority 5
 add interface GigabitEthernet1/0/2

3.全网部署OSPF实现三层路由可达

R1:

ospf 1 router-id 1.1.1.1
 area 0.0.0.0
  network 192.168.10.0 0.0.0.255
  network 10.0.1.0 0.0.0.255

R2:

ospf 1 router-id 2.2.2.2
 area 0.0.0.0
  network 192.168.10.0 0.0.0.255
  network 10.0.2.0 0.0.0.255

R3:

ospf 1 router-id 3.3.3.3
 area 0.0.0.0
  network 10.0.3.0 0.0.0.255
  network 10.0.35.0 0.0.0.255

R4:

ospf 1 router-id 4.4.4.4
 area 0.0.0.0
  network 10.0.4.0 0.0.0.255
  network 10.0.45.0 0.0.0.255

R5:

ospf 1 router-id 5.5.5.5
 area 0.0.0.0
  network 10.0.35.0 0.0.0.255
  network 10.0.45.0 0.0.0.255
  network 5.5.5.0 0.0.0.255

FW1:

ospf 1 router-id 11.11.11.11
 area 0.0.0.0
  network 10.0.1.0 0.0.0.255
  network 10.0.3.0 0.0.0.255

FW2:

ospf 1 router-id 22.22.22.22
 area 0.0.0.0
  network 10.0.2.0 0.0.0.255
  network 10.0.4.0 0.0.0.255

4.在R1设备和R2设备上部署VRRP备份组,承载内网设备网关

R1:

interface Ethernet0/0/0
 vrrp vrid 1 virtual-ip 192.168.10.254                    //创建VRRP备份组并设置虚拟IP地址
 vrrp vrid 1 priority 120                                 //修改本地VRRP优先级使其成为主设备
 vrrp vrid 1 preempt-mode timer delay 10                  //设置抢占时延

R2:

interface Ethernet0/0/0
 vrrp vrid 1 virtual-ip 192.168.10.254

5.在FW1和FW2设备开启HRP协议并配置心跳接口,在FW2设备上指定角色为备份设备

FW1:

hrp enable                                               //使能HRP协议
 hrp interface GigabitEthernet1/0/0 remote 10.0.12.2     //设置心跳接口
 hrp track interface GigabitEthernet1/0/1                //HRP追踪三层业务接口
 hrp track interface GigabitEthernet1/0/2

FW2:

hrp enable
 hrp standby-device                                        //设定当前设备为备份设备
 hrp interface GigabitEthernet1/0/0 remote 10.0.12.1
 hrp track interface GigabitEthernet1/0/1
 hrp track interface GigabitEthernet1/0/2

6.在FW1(主设备)上配置域间安全策略放行业务流

FW1:

security-policy                                          //安全策略会自动同步到备份设备                                              
 rule name t2u
  source-zone trust
  destination-zone untrust
  source-address 192.168.10.0 mask 255.255.255.0
  destination-address 5.5.5.5 mask 255.255.255.255
  action permit

7.部署BFD会话(R1和R5之间,FW1和R5之间),并分别和VRRP备份组以及双机热备组联动,并在FW1设备(主设备)上配置域间安全策略放行R1和R5之间的BFD会话流量

R1:

bfd                                                      //开启BFD会话功能
#
bfd 1 bind peer-ip 10.0.35.5 source-ip 10.0.1.1          //创建R1和R5之间的BFD会话
 discriminator local 10                                  //设置BFD会话本地标识符
 discriminator remote 5                                  //设置BFD会话远端标识符
 commit                                                  //提交BFD会话
 #
interface Ethernet0/0/0
 vrrp vrid 1 track bfd-session 10 reduced 30             //VRRP联动BFD会话

R5:

bfd
#
bfd 1 bind peer-ip 10.0.1.1 source-ip 10.0.35.5          //回指R1的BFD会话
 discriminator local 5
 discriminator remote 10
 commit
bfd 2 bind peer-ip 10.0.3.2 source-ip 10.0.35.5          //回指FW1的BFD会话
 discriminator local 50
 discriminator remote 11
 commit

FW1:

security-policy
 rule name bfd                                            //配置安全策略放行BFD会话流量
  source-zone trust
  source-zone untrust
  destination-zone trust
  destination-zone untrust
  source-address 10.0.1.1 mask 255.255.255.255
  source-address 10.0.35.5 mask 255.255.255.255
  destination-address 10.0.1.1 mask 255.255.255.255
  destination-address 10.0.35.5 mask 255.255.255.255
  action permit
#
bfd
#
bfd 2 bind peer-ip 10.0.35.5 source-ip 10.0.3.2          //FW1指向R5的BFD会话
 discriminator local 11
 discriminator remote 50
 commit
#
 hrp track bfd-session 11                                //HRP联动BFD会话

结果验证

无故障情况下的内网用户访问外网的连通性和流量路径:
在这里插入图片描述
故障模拟(切断主链路),查看业务连续性以及流量路径是否切换(正切)
R5:

interface Ethernet0/0/0 
 shutdown                                                //关闭主链路上物理接口模拟故障发生

R1上BFD的会话状态以及VRRP备份组角色切换:
在这里插入图片描述
FW1上的BFD会话状态以及HRP角色切换:
在这里插入图片描述
内网用户访问外网的连通性和流量路径:
在这里插入图片描述
故障恢复(恢复主链路),查看业务连续性以及流量路径是否切换(回切)
R5:

interface Ethernet0/0/0 
 undo shutdown                                                //恢复接口状态

R1上BFD的会话状态以及VRRP备份组角色切换:
在这里插入图片描述
FW1上的BFD会话状态以及HRP角色切换:
在这里插入图片描述
内网用户访问外网的连通性和流量路径:
在这里插入图片描述

candlezang
关注
华为防火墙USG6000v双机热备部署上下行部署三层业务的负载分担组网
Fanyunin的博客
05-21 1949
华为防火墙USG6000v双机热备部署上下行部署三层业务的负载分担组网
防火墙小试——部分(书接上回)流量控制
aimnr的博客
07-16 441
对现有网络进行改造升级,将当个防火墙组网改成双机热备组网形式,做负载分担模式,游客区和DMZ区走FW3,生产区和办公区的流量走FW1 办公区上网用户限制流量不超过100M,其中销售部人员在其基础上限制流量不超过60M,且销售部一共10人,每人限制流量不超过6M 销售部保证email应用在办公时间至少可以使用10M的带宽,每个人至少1M 移动链路采用的是100M的带宽,要求游客区用户仅能占用50M,并且基于在线地址进行动态均分
eNSP模拟器使用usg6000v实现双机热备直路部署上下行连接二层设备主备备份组网
u010311846的博客
10-13 821
3.根据拓扑规划分别创建连接内网用户、外网用户以及公司服务器的VRRP备份组(使用VGMP)1.完成各终端设备网络参数配置以及FW的初始化配置(密码修改,接口IP)2.根据终端设备类型,将端口规划到合适的安全区域中。4.FW1-2设备上开启HRP并配置心跳接口。FW1-FW2使用USG6000型号防火墙。内网用户和外网用户均使用PC型终端设备。内网用户可以访问外网用户,反之不能访问。公司服务器采用Server型终端设备。内网用户和外网用户均可访问公司服务器。LSW1-3采用S3700型交换机。
华为ensp防火墙作业-防火墙双击热备切换过程练习-Dai做
最新发布
白话聊网络的博客
05-25 358
10.将FW1的G1/0/0接口shutdown,观察防火墙主备切换情况(display vrrp brief),业务中断情况(长PING);4.防火墙关键配置:HRP协议配置、在G1/0/0、G1/0/3接口配置VGMP(VRRP)协议、心跳接口。13.在核心交换机和扩展交换机上查看MAC地址表,关注虚拟MAC对应的交换机接口;分别配置出口路由器、接入交换机、核心交换机(VLAN、IP地址、缺省路由);在主备两台FW上查看VRRP状态,在主备两台FW上查看会话表;二、实验器材(设备、元器件、软件)
华为USG6000V防火墙双机热备实验
Arrebolcwn的博客
04-09 2688
到这里呢,我们双机热备实验就基本结束了,接下来来看一下两台防火墙配置之后的所有命令。首先,我们先配置好所有设备的地址,再划分好两台USG6000V防火墙的。HRP协议---用来同步主备防火墙之间的会话和策略。接下来,我们分别在两台防火墙上分别配置。之后,我们就提出了一个新的概念,叫做。信任域、不信任域以及DMZ区域。这个协议配置在两台防火墙的。
eNSP模拟器使用usg6000v实现双机热备(旁路部署上下行连接三层设备主备备份组网
接华为网络、网安方向小组作业,期末作业,课程设计、毕设等,有意可私信留言。
06-22 3117
eNSP模拟器使用usg6000v实现双机热备(旁路部署,上三下三,主备模式)拓扑图设备选型实验要求操作步骤结果验证 拓扑图 设备选型 PC1设备为PC型终端设备 LSW1设备为S3700型交换机 LSW2-3为S5700型交换机 AR1-5为AR2220型路由器 FW1-2为USG6000防火墙 实验要求 1.完成所有设备的初始化配置(命名,接口IP,FW设备的安全区域划分) 2.在AR1-2设备部署VRRP备份组,用于内网设备的网关 3.底层部署OSPF,Trust区域(内网区域)为OSPF1
HUAWEI-Ensp模拟器 双机热备传统方式.docx
11-12
### HUAWEI-Ensp模拟器 双机热备传统方式 #### 双机热备份简介 **定义**:双机热备份(Hot-Standby Backup)是一种高可用性的解决方案,通过设置主用(Master)设备和备用(Backup)设备来确保系统的连续性和稳定...
ensp 双机热备 配置_【解忧番外篇】基于eNSP USG6000v的双机热备实验
weixin_39946239的博客
12-19 1009
前言本实验使用华为模拟器eNSPUSG6000v完成实验。实验拓扑配置过程一、导入设备包由于USG6000v模拟器需要导入设备包才能使用,所以需要在华为企业专网下载USG6000v的设备包才能使用,根据自己eNSP的版本下载对应版本的设备包,推荐使用eNSP500或eNSP510。比如我的eNSP版本是510,那么需要进入该链接:eNSP各版本下载链接 进行设备包的下载。下载设备包需要一个华为账...
华为eNSP模拟器防火墙插件USG6000V
09-20
华为eNSP模拟器防火墙插件USG6000V
ensp模拟器镜像,网工必备,USG6000V镜像,支持ensp v1.3
01-11
ensp模拟器,网工必备,USG6000V镜像,支持ensp v1.3
eNSP 导入USG6000V设备包,更新USG6000V设备
07-16
ensp导入USG6000V设备包,更新USG6000V设备包!! eNSP版本 1.3.00 亲测可行! 解压后,eNSP导入即可
ENSP配置防火墙和路由器双机热备
10-22
涉及的技术NAT、VRRP、OSPF、HA、VGMP,里面含命令和讲解,在我的博客上面有写Cisco的配置欢迎大家一起交流学习
华为enspUSG6000V防火墙双机热备VRRP+HRP原理及配置
博客之路,前途漫漫
05-06 7144
华为防火墙双机热备是一种高可用性解决方案,可以将两台防火墙设备组成一个双机热备组,实现主备切换。当主用防火墙出现故障时,备用防火墙可以自动切换为新的主用防火墙,确保网络流量不中断。
防火墙可靠性之---双机热备技术(上下行接口连接三层设备
zljszn的博客
10-26 3125
hrp interface GigabitEthernet1/0/2 remote 192.168.1.20 //指定心跳接口以及对端接口地址。7. 抓包查看,当主链路或者是主设备没有发生故障的时候全部流量走的都是主链路,当主链路或者是主故障发生故障的时候数据走的就是备用链路了。hrp track interface GigabitEthernet1/0/0 //监听接口。hrp track interface GigabitEthernet1/0/1 //监听接口。
双机热备配置
baidu_41701694的博客
06-29 2444
双机热备防火墙<USG 6000> 思路: 1-每设备先处理IP地址 2-配置双机热备 3-设置ospf协议使机器相同 注意:防火墙开启需要时间,本人在配双机热备十多次,命令都是正确的,但是使用命令查看时总是不成功,等待5-10分钟同步后才正常使用。 设置路由1的IP地址: 设置路由2的地址: 这里提示一个常用命令:undo information enable (undo info en) R3路由地址设置: 【注意:在这里我想到如果外网的网段是划分的vlan,则需要设置虚拟路由】
华为配置篇)防火墙USG6000实现服务器的负载均衡
qq_45024159的博客
11-01 4283
小智公司内建设了一个网站,由于网站的访问量很大,为了实现访问的可靠性,在内部部署了三台同等性能的服务器做负载均衡,内网及外网所有用户均可通过企业申请的公网地址访问。允许Internet用户访问内网的Web服务器,策略的目的地址为虚拟服务器的IP地址。防火墙:192.168.88.1/30。防火墙:202.163.32.2/29。网关:172.168.254.254。网关:192.168.10.254。网关:192.168.30.254。网关:192.168.20254。内网核心交换机与防火墙对接。
使用eNSP配置防火墙USG6000v双机热备(VGMP+HRP+OSPF+NAT)
有谁需要地图吗?
02-28 9520
前言 本实验使用华为模拟器eNSPUSG6000v完成实验。USG6000v是虚拟防火墙。 实验拓扑 配置过程 一、导入设备包 由于USG6000v模拟器需要导入设备包才能使用,所以需要在华为企业专网下载USG6000v的设备包才能使用,根据自己eNSP的版本下载对应版本的设备包,推荐使用eNSP500或eNSP510。比如我的eNSP版本是510,那么需要进入该链接:eNSP各版本下载链接进行设备包的下载。 下载设备包需要一个华为账户...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值