案头见蠹鱼,犹胜凡俦侣。这篇文章主要讲述#yyds干货盘点#HCIE-Security Day15:防火墙双机热备实验防火墙透明接入,上下行连接交换机相关的知识,希望能为你提供帮助。
如果防火墙上下行都接入二层交换机,则其上下行接口也都应该配置成二层接口,没有ip地址,所以vgmp组无法通过使用vrrp备份组或者直接检测接口状态,这时vgmp组使用的故障监测方法是?通过vlan监控接口状态?。
具体是将二层接口加入vlan,vgmp组监控vlan,通过控制vlan是否转发流量的方式来保证流量引导到主用设备上。当vgmp组状态为active,组内的vlan转发流量,如果vgmp组状态为standby,组内的vlan被禁用,不能转发流量。
当vgmp组中的接口故障时,vgmp组会通过vlan感知到其中接口状态变化,从而降低自身优先级,组内vlan中所有非故障接口状态都会down,然后up一次,这会导致上下行交换机更新自身mac转发表,将目的mac地址改为新的active的接口的映射,从而将流量引导到新的active上来。
实验:防火墙透明接入,上下行连接交换机需求和拓扑两台FW的业务接口都工作在二层,上下行分别连接交换机。FW的上下行业务接口都加入到VLAN10和VLAN20中。现在希望两台FW以主备备份方式工作。正常情况下,流量通过FW_A转发。当FW_A出现故障时,流量通过FW_B转发,保证业务不中断。
操作步骤1、配置接口ip地址和安全区域
2、划分vlan
//f1/f2
vlan batch 10 20
interface GigabitEthernet1/0/0
portswitch
undo shutdown
port link-type trunk
undo port trunk allow-pass vlan 1
port trunk allow-pass vlan 10 20
interface GigabitEthernet1/0/1
portswitch
undo shutdown
port link-type trunk
undo port trunk allow-pass vlan 1
port trunk allow-pass vlan 10 20
//s1
vlan batch 10 20
interface GigabitEthernet0/0/1
port hybrid untagged vlan 10 20
#
interface GigabitEthernet0/0/2
port link-type trunk
undo port trunk allow-pass vlan 1
port trunk allow-pass vlan 10 20
#
interface GigabitEthernet0/0/3
port link-type trunk
undo port trunk allow-pass vlan 1
port trunk allow-pass vlan 10 20
#
//s2
vlan batch 10 20
interface GigabitEthernet0/0/1
port link-type trunk
undo port trunk allow-pass vlan 1
port trunk allow-pass vlan 10 20
#
interface GigabitEthernet0/0/2
port link-type trunk
undo port trunk allow-pass vlan 1
port trunk allow-pass vlan 10 20
#
interface GigabitEthernet0/0/3
port link-type access
port default vlan 10
3、配置双机热备功能
3.1 配置hrp监控vlan
//f1/f2
hrp track vlan 10
hrp track vlan 20
?
【#yyds干货盘点#HCIE-Security Day15(防火墙双机热备实验防火墙透明接入,上下行连接交换机)】3.2 将f2配置成从设备
//f2
hrp standby-device
?
3.3指定心跳口并启动双机热备
//f1/f2
hrp interface GigabitEthernet1/0/6 remote 10.10.0.1/2
hrp enable
?
验证和分析在f1和f2上检查当前vgmp组的状态
//f1
HRP_M[f1]dis hrp state verbose
Role: active, peer: standby
Running priority: 45000, peer: 45000
Detail information:
GigabitEthernet1/0/0: up
GigabitEthernet1/0/1: up
vlan 10: enabled
vlan 20: enabled
//f2
HRP_S[f2]dis hrp state verbose
Role: standby, peer: active
Running priority: 45000, peer: 45000
Detail information:
GigabitEthernet1/0/0: up
GigabitEthernet1/0/1: up
vlan 10: disabled
vlan 20: disabled
实际测试中,是无法访问的,因为ensp不支持防火墙的透明模式。
推荐阅读
- # yyds干货盘点 # 怎么在第一个PDF文件的中间,插入第二个PDF文件的内容()
- #yyds干货盘点#Android C++系列(访问Assets 文件夹)
- #yyds干货盘点#WordPress搭建个人网站后台问题汇总
- Python使用.kv文件的Kivy中的弹出窗口小部件
- Python打印姓名的首字母和全名
- Python程序检查字符串是否是回文
- Python程序在给定字符串中使用集合来计算元音数
- 使用Python程序爬取网页并获得最常用的单词
- 查找正方形和矩形的周长/周长的程序