网络实验-防火墙双机热备份

实验目的

了解防火墙双机热备份配置,提供部署防火墙可靠性。

网络拓扑

左侧为trust域,右侧为untrust域。防火墙之间配置双机热备份。
双机热备份

配置内容

master

  • VRRP

由于防火墙是基于会话表匹配回程流量,流量去向和回程必须通过同一个防火墙。因此防火墙的入和出端口都要配置VRRP组

在VRRP的配置中隐含了VGMP即VRRP组的组的概念,用于保证配置在同一防火墙上的VRRP接口状态相同。

#
interface GigabitEthernet0/0/0ip address 192.168.55.100 255.255.255.0# 虚拟IPvrrp vrid 1 virtual-ip 192.168.55.254 master# 与虚拟IP对应的虚拟MAC,基于固定前缀和vrid生成vrrp virtual-mac enable
#
interface GigabitEthernet0/0/1ip address 10.20.30.40 255.255.255.0vrrp vrid 2 virtual-ip 10.20.30.254 mastervrrp virtual-mac enable#
interface GigabitEthernet0/0/2ip address 192.168.56.2 255.255.255.0

配置效果如下:

HRP_M<F1>display vrrp
13:21:33  2025/05/11GigabitEthernet0/0/1 | Virtual Router 2VRRP Group : Master state : Master Virtual IP : 10.20.30.254Virtual MAC : 0000-5e00-0102Primary IP : 10.20.30.40PriorityRun : 120PriorityConfig : 100MasterPriority : 120Preempt : YES   Delay Time : 0Advertisement Timer : 1Auth Type : NONECheck TTL : YESGigabitEthernet0/0/0 | Virtual Router 1VRRP Group : Master state : Master Virtual IP : 192.168.55.254Virtual MAC : 0000-5e00-0101Primary IP : 192.168.55.100PriorityRun : 120PriorityConfig : 100MasterPriority : 120Preempt : YES   Delay Time : 0Advertisement Timer : 1Auth Type : NONECheck TTL : YES
  • 域间策略
#
firewall zone trustadd interface GigabitEthernet0/0/0
#
firewall zone untrustadd interface GigabitEthernet0/0/1
#
firewall zone dmzadd interface GigabitEthernet0/0/2
#
policy interzone trust untrust outboundpolicy 10action permitpolicy source 192.168.55.0 0.0.0.255
  • hrp备份

通过使能hrp, master防火墙同步会话表等配置到backup防火墙。当master防火墙路径出问题,切换原backup为master后,流量就可以正常通过。

#hrp enablehrp interface GigabitEthernet0/0/2

hrp配置成功后可看到提示符切换为master-HRP_M<F1>或slave-HRP_S<F2>

slave

  • vrrp配置
#
interface GigabitEthernet0/0/0alias GE0/MGMTip address 192.168.55.200 255.255.255.0vrrp vrid 1 virtual-ip 192.168.55.254 slavevrrp virtual-mac enable
#
interface GigabitEthernet0/0/1ip address 10.20.30.50 255.255.255.0vrrp vrid 2 virtual-ip 10.20.30.254 slavevrrp virtual-mac enable
#
interface GigabitEthernet0/0/2ip address 192.168.56.200 255.255.255.0
  • 域间策略

通过hrp自动同步

  • hrp
#hrp enablehrp interface GigabitEthernet0/0/2

可靠性测试

trust域PC ping untrust域PC成功。抓包发现backup防火墙trust域和untrust域接口没有icmp流量与预期一致。

shutdown接口
shutdown左侧交换机接口后,PC1仍可以ping通PC2。

防火墙的行为:

HRP_M<F1>
2025-05-11 13:26:33 F1 %%01IFNET/4/LINK_STATE(l): Line protocol on interface Gig
abitEthernet0/0/1 has turned into DOWN state.
2025-05-11 13:26:33 F1 %%01VRRP/4/STATEWARNING(l): Interface: GigabitEthernet0/0
/1, Virtual Router 2 : MASTER changed to INITIALIZE!
2025-05-11 13:26:33 F1 %%01VGMP/4/STATE(l): Virtual Router Management Group MAST
ER :  MASTER --> MASTER_TO_SLAVE2025-05-11 13:26:33 F1 %%01VGMP/4/STATE(l): Virtual Router Management Group MAST
ER :  MASTER_TO_SLAVE --> SLAVE2025-05-11 13:26:33 F1 %%01VRRP/4/STATEWARNING(l): Interface: GigabitEthernet0/0
/0, Virtual Router 1 : MASTER changed to BACKUP!
HRP_S<F1>

对应的F2变为master。

看state变为master, VRRP组名为Slave

HRP_M<F2>display vrrp 
13:30:46  2025/05/11GigabitEthernet0/0/1 | Virtual Router 2VRRP Group : Slave state : Master Virtual IP : 10.20.30.254Virtual MAC : 0000-5e00-0102Primary IP : 10.20.30.50PriorityRun : 120PriorityConfig : 100MasterPriority : 120Preempt : YES   Delay Time : 0Advertisement Timer : 1Auth Type : NONECheck TTL : YESGigabitEthernet0/0/0 | Virtual Router 1VRRP Group : Slave state : Master Virtual IP : 192.168.55.254Virtual MAC : 0000-5e00-0101Primary IP : 192.168.55.200PriorityRun : 120PriorityConfig : 100MasterPriority : 120Preempt : YES   Delay Time : 0Advertisement Timer : 1Auth Type : NONECheck TTL : YES

由于默认激活了抢占模式,且延时时间为0。恢复接口状态为up后,原master防火墙可以切换状态为master。

HRP_S<F1>
2025-05-11 13:34:37 F1 %%01VGMP/4/STATE(l): Virtual Router Management Group MAST
ER :  SLAVE --> SLAVE_TO_MASTER
2025-05-11 13:34:37 F1 %%01VGMP/4/STATE(l): Virtual Router Management Group MAST
ER :  SLAVE_TO_MASTER --> MASTER
2025-05-11 13:34:37 F1 %%01VRRP/4/STATEWARNING(l): Interface: GigabitEthernet0/0
/1, Virtual Router 2 : BACKUP changed to MASTER!
2025-05-11 13:34:37 F1 %%01VRRP/4/STATEWARNING(l): Interface: GigabitEthernet0/0
/0, Virtual Router 1 : BACKUP changed to MASTER!
HRP_M<F1>

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/pingmian/80931.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

【2025最新】VSCode Cline插件配置教程:免费使用Claude 3.7提升编程效率

【2025最新】VSCode Cline插件配置教程:免费使用Claude 3.7提升编程效率

 2025年最新VSCode Cline插件安装配置教程&#xff0c;详解多种免费使用Claude 3.7的方法&#xff0c;集成DeepSeek-R1与5大实用功能&#xff0c;专业编程效率提升指南。 Cline是VSCode中功能最强大的AI编程助手插件之一&#xff0c;它能与Claude、OpenAI等多种大模型无缝集…
阅读更多...
考研英一真题学习笔记 2018年

考研英一真题学习笔记 2018年

2018 年全国硕士研究生招生考试 英语 &#xff08;科目代码&#xff1a;201&#xff09; Section Ⅰ Use of English Directions: Read the following text. Choose the best word(s) for each numbered blank and mark A, B, C or D on the ANSWER SHEET. (10 points) Trust i…
阅读更多...
华硕服务器-品类介绍

华硕服务器-品类介绍

目录 一、核心产品线解析 1. 机架式服务器 2. 塔式服务器 3. 高密度计算服务器 二、关键技术与模组配置 1. 主板与管理模块 2. 电源与散热 3. 存储与网络 三、应用场景与行业解决方案 1. 人工智能与高性能计算 2. 云计算与虚拟化 3. 边缘计算与工业物联网 一、核心…
阅读更多...
硅基计划2.0 学习总结 贰

硅基计划2.0 学习总结 贰

一、程序逻辑控制&#xff08;顺序、选择&循环&#xff09; 顺序结构就不多介绍了&#xff0c;就是各个语句按照先后顺序进行执行 &#xff08;1&#xff09;选择结构 三大选择类型&#xff1a;if、if-else、if-else if-else以及悬浮else的问题 基本已经在之前在C语言文章…
阅读更多...
RabbitMQ最新入门教程

RabbitMQ最新入门教程

文章目录 RabbitMQ最新入门教程1.什么是消息队列2.为什么使用消息队列3.消息队列协议4.安装Erlang5.安装RabbitMQ6.RabbitMQ核心模块7.RabbitMQ六大模式7.1 简单模式7.2 工作模式7.3 发布订阅模式7.4 路由模式7.5 主题模式7.6 RPC模式 8.RabbitMQ四种交换机8.1 直连交换机8.2 主…
阅读更多...
工具学习_VirusTotal使用

工具学习_VirusTotal使用

VirusTotal Intelligence 允许用户在其庞大的数据集中进行搜索&#xff0c;以查找符合特定条件的文件&#xff0c;例如哈希值、杀毒引擎检测结果、元数据信息、提交时的文件名、文件结构特征、文件大小等。可以说&#xff0c;它几乎是恶意软件领域的“谷歌搜索引擎”。 网页使…
阅读更多...
计算机系统----软考中级软件设计师(自用学习笔记)

计算机系统----软考中级软件设计师(自用学习笔记)

目录 1、计算机的基本硬件系统 2、CPU的功能 3、运算器的组成 4、控制器 5、计算机的基本单位 6、进制转换问题 7、原码、反码、补码、移码 8、浮点数 9、寻址方式 10、奇偶校验码 11、海明码 12、循环冗余校验码 13、RISC和CISC 14、指令的处理方式 15、存储器…
阅读更多...
扬州卓韵酒店用品:优质洗浴用品,提升酒店满意度与品牌形象

扬州卓韵酒店用品:优质洗浴用品,提升酒店满意度与品牌形象

在酒店提供的服务里&#xff0c;沐浴用品占据了非常重要的地位&#xff0c;其质量与种类直接关系到客人洗澡时的感受。好的沐浴用品能让客人洗澡时感到舒心和快乐&#xff0c;反之&#xff0c;质量不好的用品可能会影响客人整个住宿期间的愉悦心情。挑选恰当的洗浴用品不仅能够…
阅读更多...
学习笔记:黑马程序员JavaWeb开发教程(2025.4.5)

学习笔记:黑马程序员JavaWeb开发教程(2025.4.5)

12.4 登录认证-登录校验-会话跟踪方案一 设置cookie&#xff0c;服务器给浏览器响应数据&#xff0c;通过control方法形参当中获取response&#xff0c;调用response当中的addCookie方法实现 获取cookie&#xff0c;调用getCookie方法 用户可以通过浏览器设置禁用cookie 跨域…
阅读更多...
进程替换讲解

进程替换讲解

1. 基本概念 1.1 进程替换 vs. 进程创建 进程创建&#xff1a;使用fork()或clone()等系统调用创建一个新的子进程&#xff0c;子进程是父进程的副本&#xff0c;拥有相同的代码和数据。进程替换&#xff1a;使用exec系列函数在当前进程中加载并执行一个新的程序&#xff0c;替…
阅读更多...
【微服务】SpringBoot + Docker 实现微服务容器多节点负载均衡详解

【微服务】SpringBoot + Docker 实现微服务容器多节点负载均衡详解

目录 一、前言 二、前置准备 2.1 基本环境 2.2 准备一个springboot工程 2.2.1 准备几个测试接口 2.3 准备Dockerfile文件 2.4 打包上传到服务器 三、制作微服务镜像与运行服务镜像 3.1 拷贝Dockerfile文件到服务器 3.2 制作服务镜像 3.3 启动镜像服务 3.4 访问一下服…
阅读更多...
1.2.2.1.4 数据安全发展技术发展历程:高级公钥加密方案——同态加密

1.2.2.1.4 数据安全发展技术发展历程:高级公钥加密方案——同态加密

引言 在密码学领域&#xff0c;有一种技术被图灵奖得主、著名密码学家Oded Goldreich誉为"密码学圣杯"&#xff0c;那就是全同态加密&#xff08;Fully Homomorphic Encryption&#xff09;。今天我们就来聊聊这个神秘而强大的加密方案是如何从1978年的概念提出&…
阅读更多...
vllm量化03—INT4 W4A16

vllm量化03—INT4 W4A16

本系列基于Qwen2.5-7B&#xff0c;学习如何使用vllm量化&#xff0c;并使用benchmark_serving.py、lm_eval 测试模型性能和评估模型准确度。 测试环境为&#xff1a; OS: centos 7 GPU: nvidia l40 driver: 550.54.15 CUDA: 12.3本文是该系列第3篇——INT4 W4A16 一、量化 f…
阅读更多...
第二十五天打卡

第二十五天打卡

常见报错类型 try-except-else-finally 语句 首先执行try语句&#xff0c;若正确直接执行else语句 若try语句发生错误&#xff0c;则判断错误类型&#xff0c;执行错误类型对应的except语句&#xff0c;不执行else语句 finally语句无条件执行&#xff0c;多用于资源保存&…
阅读更多...
城市扫街人文街头纪实胶片电影感Lr调色预设,DNG/手机适配滤镜!

城市扫街人文街头纪实胶片电影感Lr调色预设,DNG/手机适配滤镜!

调色详情 城市扫街人文街头纪实胶片电影感 Lr 调色是通过 Lightroom&#xff08;Lr&#xff09;软件&#xff0c;对城市街头抓拍的人文纪实照片进行后期调色处理。旨在赋予照片如同胶片拍摄的质感以及电影般浓厚的叙事氛围&#xff0c;不放过每一个日常又珍贵的瞬间&#xff0c…
阅读更多...
【hadoop】Kafka 安装部署

【hadoop】Kafka 安装部署

一、Kafka安装与配置 步骤&#xff1a; 1、使用XFTP将Kafka安装包kafka_2.12-2.8.1.tgz发送到master机器的主目录。 2、解压安装包&#xff1a; tar -zxvf ~/kafka_2.12-2.8.1.tgz 3、修改文件夹的名字&#xff0c;将其改为kafka&#xff0c;或者创建软连接也可&#xff1…
阅读更多...
UDP 多点通信

UDP 多点通信

一、setsockopt/getsockopt 函数详解 1. 函数原型 c #include <sys/socket.h> int setsockopt(int sockfd, int level, int optname, const void *optval, socklen_t optlen); int getsockopt(int sockfd, int level, int optname, void *optval, socklen_t *optlen);…
阅读更多...
说一说Node.js高性能开发中的I/O操作

说一说Node.js高性能开发中的I/O操作

众所周知&#xff0c;在软件开发的领域中&#xff0c;输入输出&#xff08;I/O&#xff09;操作是程序与外部世界交互的重要环节&#xff0c;比如从文件读取数据、向网络发送请求等。这段时间&#xff0c;也指导项目中一些项目的开发工作&#xff0c;发现在Node.js运用中&#…
阅读更多...
Charles抓包并破解ProtoBuf请求

Charles抓包并破解ProtoBuf请求

安装Charles并抓包 如果是外网的需要root安装一系列证书等&#xff0c;详细见参考文章&#xff1a; 在雷电模拟器安卓7.0上使用Charles抓包详细教程 遇到如下问题&#xff1a; 1.粘贴到目录/system/etc/security/cacerts内&#xff0c;粘贴不了。需要打开这个 2.模拟器wifi打…
阅读更多...
Odoo 18 安全组与访问权限管理指南

Odoo 18 安全组与访问权限管理指南

Odoo 18 安全组与访问权限管理指南 一、准备工作&#xff1a;在自定义模块中创建安全配置文件 创建 security 文件夹 在自定义模块内创建名为 security 的文件夹&#xff0c;用于存放安全组和访问权限的定义文件。 二、定义模型访问权限&#xff1a;ir.model.access.csv 文…
阅读更多...
最新文章

Copyright @ 2022~2023