防火墙双机热备命令行配置方案-电子发烧友网

来源：公众号【网络技术干货圈】

作者：圈圈

ID：wljsghq

实验要求

部署防火墙双机热备，避免防火墙出现单点故障而导致的网络瘫痪

进行故障模拟，在双机热备的部署完成之后，关闭主设备，查看业务连通性是否收到影响

连通性要求：

内网用户可以访问外网、服务器

外网用户可以访问服务器

在这里插入图片描述

实验内容

步骤一

搭建拓扑，规划网段。配置终端和防火墙各个接口IP地址。

FW1：

[USG6000V1]int g1/0/0
[USG6000V1-GigabitEthernet1/0/0]ip ad 192.168.1.253 24
[USG6000V1]int g1/0/1
[USG6000V1-GigabitEthernet1/0/1]ip ad 202.196.1.253 24
[USG6000V1-GigabitEthernet1/0/1]int g1/0/2
[USG6000V1-GigabitEthernet1/0/2]ip ad 10.0.0.253 24
[USG6000V1-GigabitEthernet1/0/2]int g1/0/3
[USG6000V1-GigabitEthernet1/0/3]ip ad 10.0.12.1 24

FW2：

[USG6000V1]int g1/0/1
[USG6000V1-GigabitEthernet1/0/1]ip ad 192.168.1.252 24
[USG6000V1-GigabitEthernet1/0/1]int g1/0/0
[USG6000V1-GigabitEthernet1/0/0]ip ad 10.0.0.252 24
[USG6000V1-GigabitEthernet1/0/0]int g1/0/3
[USG6000V1-GigabitEthernet1/0/3]ip ad 10.0.12.2 24
[USG6000V1-GigabitEthernet1/0/3]int g1/0/2
[USG6000V1-GigabitEthernet1/0/2]ip ad 202.196.1.252 2

步骤二

根据拓扑，将接口划入对应的安全区域。
注意：两个防火墙之间的心跳接口要必须放进信任区域

FW1：

[USG6000V1]firewall zone trust 
[USG6000V1-zone-trust]add interface g1/0/0
[USG6000V1-zone-trust]ad interface g1/0/3
[USG6000V1-zone-trust]q
[USG6000V1]firewall zone untrust 
[USG6000V1-zone-untrust]ad in g1/0/1
[USG6000V1-zone-untrust]q
USG6000V1]firewall zone dmz 
[USG6000V1-zone-dmz]ad in g1/0/2

FW2：

[USG6000V1]firewall zone trust 
[USG6000V1-zone-trust]ad in g1/0/3 
[USG6000V1-zone-trust]ad in g1/0/1
[USG6000V1-zone-trust]q
[USG6000V1]firewall zone untrust 
[USG6000V1-zone-untrust]ad in g1/0/2
[USG6000V1]firewall zone dmz 
[USG6000V1-zone-dmz]ad in g1/0/0

步骤三

配置VRRP备份组

主设备：FW1

[USG6000V1]int g1/0/0
[USG6000V1-GigabitEthernet1/0/0]vrrp vrid 1 virtual-ip 192.168.1.254 active 
[USG6000V1-GigabitEthernet1/0/0]int g1/0/2
[USG6000V1-GigabitEthernet1/0/2]vrrp vrid 2 virtual-ip 10.0.0.254 active 
[USG6000V1-GigabitEthernet1/0/2]int g1/0/1
[USG6000V1-GigabitEthernet1/0/1]vrrp vrid 3 virtual-ip 202.196.1.254 active

备份设备：FW2

[USG6000V1]int g1/0/0
[USG6000V1-GigabitEthernet1/0/0]vrrp vrid 2 virtual-ip 10.0.0.254 standby 
[USG6000V1-GigabitEthernet1/0/0]int g1/0/1
[USG6000V1-GigabitEthernet1/0/1]vrrp vrid 1 virtual-ip 192.168.1.254 standby 
[USG6000V1-GigabitEthernet1/0/1]int g1/0/2
[USG6000V1-GigabitEthernet1/0/2]vrrp vrid 3 virtual-ip 202.196.1.254 standby

我们可以通过display vrrp interface G1/0/3来查看VRRP备份组中的接口状态信息

步骤四

开启HRP协议并配置心跳接口和会话备份功能

FW1：

[USG6000V1]hrp enable          //开启HRP功能，开启后提示符出现HRP_M（Master）
HRP_M[USG6000V1]hrp interface g1/0/3 remote 10.0.12.2    //指定心跳口: hrp interface [心跳口] remote [邻居心跳口IP地址]
HRP_M[USG6000V1]hrp mirror session enable     //启动会话快速备份

FW2：

[USG6000V1]hrp enable     ////开启HRP功能，开启后提示符出现HRP_S（standby）
HRP_S[USG6000V1]hrp interface g1/0/3 remote 10.0.12.1
HRP_S[USG6000V1]hrp mirror session enable

我们可以通过dis hrp state查看HRP状态

步骤五

配置安全策列，是内网用户可以访问服务器和外网用户；外网用户只能访问服务器
注意：只需要配置Master即可，Backup设备不用配置，配置命令会自动从主设备备份到备份设备。

FW1：

HRP_M[USG6000V1]security-policy  (+B)    //（+B）的意思为配置同时备份到备份设备。

HRP_M[USG6000V1-policy-security]rule name t2ud (+B)
HRP_M[USG6000V1-policy-security-rule-t2ud]source-zone trust  (+B)
HRP_M[USG6000V1-policy-security-rule-t2ud]destination-zone untrust dmz  (+B)
HRP_M[USG6000V1-policy-security-rule-t2ud]action permit  (+B)
HRP_M[USG6000V1-policy-security-rule-t2ud]q

HRP_M[USG6000V1-policy-security]rule name u2d (+B)
HRP_M[USG6000V1-policy-security-rule-u2d]source-zone untrust  (+B)
HRP_M[USG6000V1-policy-security-rule-u2d]destination-zone dmz  (+B)
HRP_M[USG6000V1-policy-security-rule-u2d]action permit  (+B)

验证

内网PC能够ping通服务器与外网PC

外网PC能ping通服务器，但是不能ping通内网PC

内网PC 外网PC

步骤六

将Master设备（FW1）关闭，模拟Master设备宕机，验证在Master设备宕机之后，网络的连通性。

验证

验证发现，所有前期会有一定的丢包，但是网络连通性正常，依然能够正常通信。

审核编辑：汤梓红

声明：本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人，不代表电子发烧友网立场。文章及其配图仅供工程师学习之用，如有内容侵权或者其他违规问题，请联系本站处理。举报投诉

接口

接口

+关注

关注
33

文章
7640

浏览量
148509
服务器

服务器

+关注

关注
12

文章
8120

浏览量
82522
防火墙

防火墙

+关注

关注
0

文章
406

浏览量
35419
ip地址

ip地址

+关注

关注
0

文章
240

浏览量
16742
命令行

命令行

+关注

关注
0

文章
75

浏览量
10344

原文标题：防火墙双机热备命令行配置

文章出处：【微信号：网络技术干货圈，微信公众号：网络技术干货圈】欢迎添加关注！文章转载请注明出处。

[推荐]安易ezsafe防火墙之五大优点

的导出和修改。此外，系统还具有完善的ACL功能，支持强大的规则定义，可以对网络协议中的各个数据域进行限定。优点三：简易的部署和智能化的配置安易ES系列抗DdoS防火墙设备支持在VLAN环境下透明接入

发表于 06-17 14:55

发现 STM32 防火墙的安全配置

里提供了几个不同的防火墙配置。那么问题来了，什么是STM32防火墙的应该使用的安全配置呢？本文以STM32参考手册为基础，以最大化安全为目标，来探索发现STM32

发表于 07-27 11:04

Linux下关闭防火墙的关闭及开放端口

：service iptables stop3.查看防火墙状态serviceiptablesstatus重启服务service iptables restart实现配置文件及时生效source文件路径

发表于 07-09 06:23

防火墙技术

防火墙技术.ppt 防火墙及相关概念包过滤型防火墙代理服务型防火墙 防火墙的配置分布

发表于 06-16 23:41 •0次下载

防火墙的配置

实验十三、防火墙的配置一. 实验原理1.1 防火墙原理网络的主要功能是向其他通信实体提供信息传输服务。网络安全技术的主

发表于 09-24 13:55 •2014次阅读

<b class='flag-5'>防火墙</b>的<b class='flag-5'>配置</b>

谈防火墙及防火墙的渗透技术

谈防火墙及防火墙的渗透技术传统的防火墙工作原理及优缺点： 1．(传统的)包过滤防火墙的工作原理　　包过滤是在IP层实现的，因

发表于 08-01 10:26 •972次阅读

如何配置Cisco PIX防火墙

如何配置Cisco PIX防火墙在配置PIX防火墙之前，先来介绍一下防火墙的物理特性。防火墙

发表于 01-13 13:26 •529次阅读

究竟什么是防火墙？

究竟什么是防火墙？　　Q：防火墙初级入门：究竟什么是防火墙？　　A：防火墙定义

发表于 02-24 11:51 •737次阅读

防火墙,防火墙的作用有哪些?

防火墙,防火墙的作用有哪些? 防火墙技术简介 ——Internet的发展给政府结构、企事业单位带来了革命性的改

发表于 04-03 16:17 •8274次阅读

博达环网配置命令行

博达工业交换要环网配置命令行

发表于 12-27 16:24 •0次下载

ubuntu查看防火墙状态

　LInux原始的防火墙工具iptables由于过于繁琐，所以ubuntu系统默认提供了一个基于iptable之上的防火墙工具ufw。而UFW支持图形界面操作，只需在命令行运行ufw命令

发表于 11-22 17:13 •1.3w次阅读

什么是防火墙？防火墙如何工作？

防火墙是网络与万维网之间的关守，它位于网络的入口和出口。它评估网络流量，仅允许某些流量进出。防火墙分析网络数据包头，其中包含有关要进入或退出网络的流量的信息。然后，基于防火墙上配置的

发表于 09-30 14:35 •4965次阅读

防火墙在云计算安全方案中的应用方案

　　防火墙旁挂在云计算网络的核心交换机上，通过虚拟系统隔离网络中的虚拟机业务。同时，防火墙形成双机热备状态，提高业务的可靠性。

发表于 11-02 16:33 •1036次阅读

华为USG防火墙配置命令详解

其实防火墙配置，只需要配置到能使用web方式管理，剩下的都在网页上配置即可，有人喜欢用命令配置，

发表于 07-21 11:10 •5871次阅读

在命令行下配置防火墙的基础上网步骤

部分用户需要在命令行界面下进行防火墙基础上网配置，本文展示如何在命令行下配置防火墙的基础上网步骤

发表于 09-24 11:37 •522次阅读

搜索历史

防火墙双机热备命令行配置方案

评论

[推荐]安易ezsafe防火墙之五大优点

发现 STM32 防火墙的安全配置

Linux下关闭防火墙的关闭及开放端口

防火墙技术

防火墙的配置

谈防火墙及防火墙的渗透技术

如何配置Cisco PIX防火墙

究竟什么是防火墙？

防火墙,防火墙的作用有哪些?

博达环网配置命令行

ubuntu查看防火墙状态

什么是防火墙？防火墙如何工作？

防火墙在云计算安全方案中的应用方案

华为USG防火墙配置命令详解

在命令行下配置防火墙的基础上网步骤