網絡實驗-防火墻雙機熱備份

實驗目的

了解防火墻雙機熱備份配置,提供部署防火墻可靠性。

網絡拓撲

左側為trust域,右側為untrust域。防火墻之間配置雙機熱備份。
雙機熱備份

配置內容

master

  • VRRP

由于防火墻是基于會話表匹配回程流量,流量去向和回程必須通過同一個防火墻。因此防火墻的入和出端口都要配置VRRP組

在VRRP的配置中隱含了VGMP即VRRP組的組的概念,用于保證配置在同一防火墻上的VRRP接口狀態相同。

#
interface GigabitEthernet0/0/0ip address 192.168.55.100 255.255.255.0# 虛擬IPvrrp vrid 1 virtual-ip 192.168.55.254 master# 與虛擬IP對應的虛擬MAC,基于固定前綴和vrid生成vrrp virtual-mac enable
#
interface GigabitEthernet0/0/1ip address 10.20.30.40 255.255.255.0vrrp vrid 2 virtual-ip 10.20.30.254 mastervrrp virtual-mac enable#
interface GigabitEthernet0/0/2ip address 192.168.56.2 255.255.255.0

配置效果如下:

HRP_M<F1>display vrrp
13:21:33  2025/05/11GigabitEthernet0/0/1 | Virtual Router 2VRRP Group : Master state : Master Virtual IP : 10.20.30.254Virtual MAC : 0000-5e00-0102Primary IP : 10.20.30.40PriorityRun : 120PriorityConfig : 100MasterPriority : 120Preempt : YES   Delay Time : 0Advertisement Timer : 1Auth Type : NONECheck TTL : YESGigabitEthernet0/0/0 | Virtual Router 1VRRP Group : Master state : Master Virtual IP : 192.168.55.254Virtual MAC : 0000-5e00-0101Primary IP : 192.168.55.100PriorityRun : 120PriorityConfig : 100MasterPriority : 120Preempt : YES   Delay Time : 0Advertisement Timer : 1Auth Type : NONECheck TTL : YES
  • 域間策略
#
firewall zone trustadd interface GigabitEthernet0/0/0
#
firewall zone untrustadd interface GigabitEthernet0/0/1
#
firewall zone dmzadd interface GigabitEthernet0/0/2
#
policy interzone trust untrust outboundpolicy 10action permitpolicy source 192.168.55.0 0.0.0.255
  • hrp備份

通過使能hrp, master防火墻同步會話表等配置到backup防火墻。當master防火墻路徑出問題,切換原backup為master后,流量就可以正常通過。

#hrp enablehrp interface GigabitEthernet0/0/2

hrp配置成功后可看到提示符切換為master-HRP_M<F1>或slave-HRP_S<F2>

slave

  • vrrp配置
#
interface GigabitEthernet0/0/0alias GE0/MGMTip address 192.168.55.200 255.255.255.0vrrp vrid 1 virtual-ip 192.168.55.254 slavevrrp virtual-mac enable
#
interface GigabitEthernet0/0/1ip address 10.20.30.50 255.255.255.0vrrp vrid 2 virtual-ip 10.20.30.254 slavevrrp virtual-mac enable
#
interface GigabitEthernet0/0/2ip address 192.168.56.200 255.255.255.0
  • 域間策略

通過hrp自動同步

  • hrp
#hrp enablehrp interface GigabitEthernet0/0/2

可靠性測試

trust域PC ping untrust域PC成功。抓包發現backup防火墻trust域和untrust域接口沒有icmp流量與預期一致。

shutdown接口
shutdown左側交換機接口后,PC1仍可以ping通PC2。

防火墻的行為:

HRP_M<F1>
2025-05-11 13:26:33 F1 %%01IFNET/4/LINK_STATE(l): Line protocol on interface Gig
abitEthernet0/0/1 has turned into DOWN state.
2025-05-11 13:26:33 F1 %%01VRRP/4/STATEWARNING(l): Interface: GigabitEthernet0/0
/1, Virtual Router 2 : MASTER changed to INITIALIZE!
2025-05-11 13:26:33 F1 %%01VGMP/4/STATE(l): Virtual Router Management Group MAST
ER :  MASTER --> MASTER_TO_SLAVE2025-05-11 13:26:33 F1 %%01VGMP/4/STATE(l): Virtual Router Management Group MAST
ER :  MASTER_TO_SLAVE --> SLAVE2025-05-11 13:26:33 F1 %%01VRRP/4/STATEWARNING(l): Interface: GigabitEthernet0/0
/0, Virtual Router 1 : MASTER changed to BACKUP!
HRP_S<F1>

對應的F2變為master。

看state變為master, VRRP組名為Slave

HRP_M<F2>display vrrp 
13:30:46  2025/05/11GigabitEthernet0/0/1 | Virtual Router 2VRRP Group : Slave state : Master Virtual IP : 10.20.30.254Virtual MAC : 0000-5e00-0102Primary IP : 10.20.30.50PriorityRun : 120PriorityConfig : 100MasterPriority : 120Preempt : YES   Delay Time : 0Advertisement Timer : 1Auth Type : NONECheck TTL : YESGigabitEthernet0/0/0 | Virtual Router 1VRRP Group : Slave state : Master Virtual IP : 192.168.55.254Virtual MAC : 0000-5e00-0101Primary IP : 192.168.55.200PriorityRun : 120PriorityConfig : 100MasterPriority : 120Preempt : YES   Delay Time : 0Advertisement Timer : 1Auth Type : NONECheck TTL : YES

由于默認激活了搶占模式,且延時時間為0。恢復接口狀態為up后,原master防火墻可以切換狀態為master。

HRP_S<F1>
2025-05-11 13:34:37 F1 %%01VGMP/4/STATE(l): Virtual Router Management Group MAST
ER :  SLAVE --> SLAVE_TO_MASTER
2025-05-11 13:34:37 F1 %%01VGMP/4/STATE(l): Virtual Router Management Group MAST
ER :  SLAVE_TO_MASTER --> MASTER
2025-05-11 13:34:37 F1 %%01VRRP/4/STATEWARNING(l): Interface: GigabitEthernet0/0
/1, Virtual Router 2 : BACKUP changed to MASTER!
2025-05-11 13:34:37 F1 %%01VRRP/4/STATEWARNING(l): Interface: GigabitEthernet0/0
/0, Virtual Router 1 : BACKUP changed to MASTER!
HRP_M<F1>

本文來自互聯網用戶投稿,該文觀點僅代表作者本人,不代表本站立場。本站僅提供信息存儲空間服務,不擁有所有權,不承擔相關法律責任。
如若轉載,請注明出處:http://www.pswp.cn/pingmian/80931.shtml
繁體地址,請注明出處:http://hk.pswp.cn/pingmian/80931.shtml
英文地址,請注明出處:http://en.pswp.cn/pingmian/80931.shtml

如若內容造成侵權/違法違規/事實不符,請聯系多彩編程網進行投訴反饋email:809451989@qq.com,一經查實,立即刪除!

相關文章

【2025最新】VSCode Cline插件配置教程:免費使用Claude 3.7提升編程效率

【2025最新】VSCode Cline插件配置教程:免費使用Claude 3.7提升編程效率

 ?2025年最新VSCode Cline插件安裝配置教程&#xff0c;詳解多種免費使用Claude 3.7的方法&#xff0c;集成DeepSeek-R1與5大實用功能&#xff0c;專業編程效率提升指南。 Cline是VSCode中功能最強大的AI編程助手插件之一&#xff0c;它能與Claude、OpenAI等多種大模型無縫集…
閱讀更多...
考研英一真題學習筆記 2018年

考研英一真題學習筆記 2018年

2018 年全國碩士研究生招生考試 英語 &#xff08;科目代碼&#xff1a;201&#xff09; Section Ⅰ Use of English Directions: Read the following text. Choose the best word(s) for each numbered blank and mark A, B, C or D on the ANSWER SHEET. (10 points) Trust i…
閱讀更多...
華碩服務器-品類介紹

華碩服務器-品類介紹

目錄 一、核心產品線解析 1. 機架式服務器 2. 塔式服務器 3. 高密度計算服務器 二、關鍵技術與模組配置 1. 主板與管理模塊 2. 電源與散熱 3. 存儲與網絡 三、應用場景與行業解決方案 1. 人工智能與高性能計算 2. 云計算與虛擬化 3. 邊緣計算與工業物聯網 一、核心…
閱讀更多...
硅基計劃2.0 學習總結 貳

硅基計劃2.0 學習總結 貳

一、程序邏輯控制&#xff08;順序、選擇&循環&#xff09; 順序結構就不多介紹了&#xff0c;就是各個語句按照先后順序進行執行 &#xff08;1&#xff09;選擇結構 三大選擇類型&#xff1a;if、if-else、if-else if-else以及懸浮else的問題 基本已經在之前在C語言文章…
閱讀更多...
RabbitMQ最新入門教程

RabbitMQ最新入門教程

文章目錄 RabbitMQ最新入門教程1.什么是消息隊列2.為什么使用消息隊列3.消息隊列協議4.安裝Erlang5.安裝RabbitMQ6.RabbitMQ核心模塊7.RabbitMQ六大模式7.1 簡單模式7.2 工作模式7.3 發布訂閱模式7.4 路由模式7.5 主題模式7.6 RPC模式 8.RabbitMQ四種交換機8.1 直連交換機8.2 主…
閱讀更多...
工具學習_VirusTotal使用

工具學習_VirusTotal使用

VirusTotal Intelligence 允許用戶在其龐大的數據集中進行搜索&#xff0c;以查找符合特定條件的文件&#xff0c;例如哈希值、殺毒引擎檢測結果、元數據信息、提交時的文件名、文件結構特征、文件大小等。可以說&#xff0c;它幾乎是惡意軟件領域的“谷歌搜索引擎”。 網頁使…
閱讀更多...
計算機系統----軟考中級軟件設計師(自用學習筆記)

計算機系統----軟考中級軟件設計師(自用學習筆記)

目錄 1、計算機的基本硬件系統 2、CPU的功能 3、運算器的組成 4、控制器 5、計算機的基本單位 6、進制轉換問題 7、原碼、反碼、補碼、移碼 8、浮點數 9、尋址方式 10、奇偶校驗碼 11、海明碼 12、循環冗余校驗碼 13、RISC和CISC 14、指令的處理方式 15、存儲器…
閱讀更多...
揚州卓韻酒店用品:優質洗浴用品,提升酒店滿意度與品牌形象

揚州卓韻酒店用品:優質洗浴用品,提升酒店滿意度與品牌形象

在酒店提供的服務里&#xff0c;沐浴用品占據了非常重要的地位&#xff0c;其質量與種類直接關系到客人洗澡時的感受。好的沐浴用品能讓客人洗澡時感到舒心和快樂&#xff0c;反之&#xff0c;質量不好的用品可能會影響客人整個住宿期間的愉悅心情。挑選恰當的洗浴用品不僅能夠…
閱讀更多...
學習筆記:黑馬程序員JavaWeb開發教程(2025.4.5)

學習筆記:黑馬程序員JavaWeb開發教程(2025.4.5)

12.4 登錄認證-登錄校驗-會話跟蹤方案一 設置cookie&#xff0c;服務器給瀏覽器響應數據&#xff0c;通過control方法形參當中獲取response&#xff0c;調用response當中的addCookie方法實現 獲取cookie&#xff0c;調用getCookie方法 用戶可以通過瀏覽器設置禁用cookie 跨域…
閱讀更多...
進程替換講解

進程替換講解

1. 基本概念 1.1 進程替換 vs. 進程創建 進程創建&#xff1a;使用fork()或clone()等系統調用創建一個新的子進程&#xff0c;子進程是父進程的副本&#xff0c;擁有相同的代碼和數據。進程替換&#xff1a;使用exec系列函數在當前進程中加載并執行一個新的程序&#xff0c;替…
閱讀更多...
【微服務】SpringBoot + Docker 實現微服務容器多節點負載均衡詳解

【微服務】SpringBoot + Docker 實現微服務容器多節點負載均衡詳解

目錄 一、前言 二、前置準備 2.1 基本環境 2.2 準備一個springboot工程 2.2.1 準備幾個測試接口 2.3 準備Dockerfile文件 2.4 打包上傳到服務器 三、制作微服務鏡像與運行服務鏡像 3.1 拷貝Dockerfile文件到服務器 3.2 制作服務鏡像 3.3 啟動鏡像服務 3.4 訪問一下服…
閱讀更多...
1.2.2.1.4 數據安全發展技術發展歷程:高級公鑰加密方案——同態加密

1.2.2.1.4 數據安全發展技術發展歷程:高級公鑰加密方案——同態加密

引言 在密碼學領域&#xff0c;有一種技術被圖靈獎得主、著名密碼學家Oded Goldreich譽為"密碼學圣杯"&#xff0c;那就是全同態加密&#xff08;Fully Homomorphic Encryption&#xff09;。今天我們就來聊聊這個神秘而強大的加密方案是如何從1978年的概念提出&…
閱讀更多...
vllm量化03—INT4 W4A16

vllm量化03—INT4 W4A16

本系列基于Qwen2.5-7B&#xff0c;學習如何使用vllm量化&#xff0c;并使用benchmark_serving.py、lm_eval 測試模型性能和評估模型準確度。 測試環境為&#xff1a; OS: centos 7 GPU: nvidia l40 driver: 550.54.15 CUDA: 12.3本文是該系列第3篇——INT4 W4A16 一、量化 f…
閱讀更多...
第二十五天打卡

第二十五天打卡

常見報錯類型 try-except-else-finally 語句 首先執行try語句&#xff0c;若正確直接執行else語句 若try語句發生錯誤&#xff0c;則判斷錯誤類型&#xff0c;執行錯誤類型對應的except語句&#xff0c;不執行else語句 finally語句無條件執行&#xff0c;多用于資源保存&…
閱讀更多...
城市掃街人文街頭紀實膠片電影感Lr調色預設,DNG/手機適配濾鏡!

城市掃街人文街頭紀實膠片電影感Lr調色預設,DNG/手機適配濾鏡!

調色詳情 城市掃街人文街頭紀實膠片電影感 Lr 調色是通過 Lightroom&#xff08;Lr&#xff09;軟件&#xff0c;對城市街頭抓拍的人文紀實照片進行后期調色處理。旨在賦予照片如同膠片拍攝的質感以及電影般濃厚的敘事氛圍&#xff0c;不放過每一個日常又珍貴的瞬間&#xff0c…
閱讀更多...
【hadoop】Kafka 安裝部署

【hadoop】Kafka 安裝部署

一、Kafka安裝與配置 步驟&#xff1a; 1、使用XFTP將Kafka安裝包kafka_2.12-2.8.1.tgz發送到master機器的主目錄。 2、解壓安裝包&#xff1a; tar -zxvf ~/kafka_2.12-2.8.1.tgz 3、修改文件夾的名字&#xff0c;將其改為kafka&#xff0c;或者創建軟連接也可&#xff1…
閱讀更多...
UDP 多點通信

UDP 多點通信

一、setsockopt/getsockopt 函數詳解 1. 函數原型 c #include <sys/socket.h> int setsockopt(int sockfd, int level, int optname, const void *optval, socklen_t optlen); int getsockopt(int sockfd, int level, int optname, void *optval, socklen_t *optlen);…
閱讀更多...
說一說Node.js高性能開發中的I/O操作

說一說Node.js高性能開發中的I/O操作

眾所周知&#xff0c;在軟件開發的領域中&#xff0c;輸入輸出&#xff08;I/O&#xff09;操作是程序與外部世界交互的重要環節&#xff0c;比如從文件讀取數據、向網絡發送請求等。這段時間&#xff0c;也指導項目中一些項目的開發工作&#xff0c;發現在Node.js運用中&#…
閱讀更多...
Charles抓包并破解ProtoBuf請求

Charles抓包并破解ProtoBuf請求

安裝Charles并抓包 如果是外網的需要root安裝一系列證書等&#xff0c;詳細見參考文章&#xff1a; 在雷電模擬器安卓7.0上使用Charles抓包詳細教程 遇到如下問題&#xff1a; 1.粘貼到目錄/system/etc/security/cacerts內&#xff0c;粘貼不了。需要打開這個 2.模擬器wifi打…
閱讀更多...
Odoo 18 安全組與訪問權限管理指南

Odoo 18 安全組與訪問權限管理指南

Odoo 18 安全組與訪問權限管理指南 一、準備工作&#xff1a;在自定義模塊中創建安全配置文件 創建 security 文件夾 在自定義模塊內創建名為 security 的文件夾&#xff0c;用于存放安全組和訪問權限的定義文件。 二、定義模型訪問權限&#xff1a;ir.model.access.csv 文…
閱讀更多...
最新文章

Copyright @ 2022~2023