#yyds干货盘点#HCIE-Security Day15:防火墙双机热备实验防火墙透明接入,上下行连接交换机

Posted 小梁L同学

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了#yyds干货盘点#HCIE-Security Day15:防火墙双机热备实验防火墙透明接入,上下行连接交换机相关的知识,希望对你有一定的参考价值。


 #yyds干货盘点#HCIE-Security#yyds干货盘点#HCIE-Security#yyds干货盘点#HCIE-Security#yyds干货盘点#HCIE-Security

#yyds干货盘点#HCIE-Security#yyds干货盘点#HCIE-Security

如果防火墙上下行都接入二层交换机,则其上下行接口也都应该配置成二层接口,没有ip地址,所以vgmp组无法通过使用vrrp备份组或者直接检测接口状态,这时vgmp组使用的故障监测方法是​通过vlan监控接口状态​。

具体是将二层接口加入vlan,vgmp组监控vlan,通过控制vlan是否转发流量的方式来保证流量引导到主用设备上。当vgmp组状态为active,组内的vlan转发流量,如果vgmp组状态为standby,组内的vlan被禁用,不能转发流量。

当vgmp组中的接口故障时,vgmp组会通过vlan感知到其中接口状态变化,从而降低自身优先级,组内vlan中所有非故障接口状态都会down,然后up一次,这会导致上下行交换机更新自身mac转发表,将目的mac地址改为新的active的接口的映射,从而将流量引导到新的active上来。

实验:防火墙透明接入,上下行连接交换机

需求和拓扑

两台FW的业务接口都工作在二层,上下行分别连接交换机。FW的上下行业务接口都加入到VLAN10和VLAN20中。现在希望两台FW以主备备份方式工作。正常情况下,流量通过FW_A转发。当FW_A出现故障时,流量通过FW_B转发,保证业务不中断。

#yyds干货盘点#HCIE-Security#yyds干货盘点#HCIE-Security

操作步骤

1、配置接口ip地址和安全区域

2、划分vlan


//f1/f2
vlan batch 10 20
interface GigabitEthernet1/0/0
 portswitch
 undo shutdown
 port link-type trunk
 undo port trunk allow-pass vlan 1
 port trunk allow-pass vlan 10 20
interface GigabitEthernet1/0/1
 portswitch
 undo shutdown
 port link-type trunk
 undo port trunk allow-pass vlan 1
 port trunk allow-pass vlan 10 20
//s1
vlan batch 10 20
interface GigabitEthernet0/0/1
 port hybrid untagged vlan 10 20
#
interface GigabitEthernet0/0/2
 port link-type trunk
 undo port trunk allow-pass vlan 1
 port trunk allow-pass vlan 10 20
#
interface GigabitEthernet0/0/3
 port link-type trunk
 undo port trunk allow-pass vlan 1
 port trunk allow-pass vlan 10 20
#
//s2
vlan batch 10 20
interface GigabitEthernet0/0/1
 port link-type trunk
 undo port trunk allow-pass vlan 1
 port trunk allow-pass vlan 10 20
#
interface GigabitEthernet0/0/2
 port link-type trunk
 undo port trunk allow-pass vlan 1
 port trunk allow-pass vlan 10 20
#
interface GigabitEthernet0/0/3
 port link-type access
 port default vlan 10

#yyds干货盘点#HCIE-Security

3、配置双机热备功能

3.1 配置hrp监控vlan


//f1/f2
hrp track vlan 10
hrp track vlan 20

#yyds干货盘点#HCIE-Security

3.2 将f2配置成从设备


//f2
hrp standby-device

#yyds干货盘点#HCIE-Security

3.3指定心跳口并启动双机热备


//f1/f2
hrp interface GigabitEthernet1/0/6 remote 10.10.0.1/2
hrp enable

#yyds干货盘点#HCIE-Security

验证和分析

在f1和f2上检查当前vgmp组的状态


//f1
HRP_M[f1]dis hrp state verbose 
 Role: active, peer: standby
 Running priority: 45000, peer: 45000
 Detail information:
                       GigabitEthernet1/0/0: up
                       GigabitEthernet1/0/1: up
                                    vlan 10: enabled
                                    vlan 20: enabled
//f2
HRP_S[f2]dis hrp state verbose 
 Role: standby, peer: active
 Running priority: 45000, peer: 45000
 Detail information:
                       GigabitEthernet1/0/0: up
                       GigabitEthernet1/0/1: up
                                    vlan 10: disabled
                                    vlan 20: disabled

#yyds干货盘点#HCIE-Security

实际测试中,是无法访问的,因为ensp不支持防火墙的透明模式。


以上是关于#yyds干货盘点#HCIE-Security Day15:防火墙双机热备实验防火墙透明接入,上下行连接交换机的主要内容,如果未能解决你的问题,请参考以下文章

#yyds干货盘点# HCIE-Security Day6:5个实验搞定源NAT

#yyds干货盘点# HCIE-Security Day11:初步学习防火墙双机热备和VGMP概念

#yyds干货盘点#HCIE-Security Day15:防火墙双机热备实验防火墙透明接入,上下行连接交换机

#yyds干货盘点#HCIE-Security Day14:防火墙双机热备实验防火墙直路部署,上下行连接路由器

#yyds干货盘点#HCIE-Security Day17:防火墙双机热备实验:防火墙旁挂交换机,交换机静态路由引流

#yyds干货盘点#Zabbi学习