资源描述
修订记录
课程编码
适用产品
产品版本
课程版本ISSUE
DS002104
Eudemon
ALL
1.00
开发/优化者
时间
审核人
开发类型(新开发/优化)
卢希
2009-5-15
凃昭
新开发
Eudemon防火墙双机热备业务
上机指导书
目 录
实验说明 1
实验说明 1
版本介绍 1
实验目的 1
实验任务 1
相关资料 1
第1章 路由模式+主备组网方式的双机热备技术在Eudemon防火墙上的部署 2
1.1 组网及业务描述 2
1.2 命令行列表 3
1.3 配置流程图 4
1.4 配置步骤 4
1.5 具体配置及实验结果验证 4
第2章 路由模式+负载分担方式的双机热备技术在Eudemon防火墙上的部署 12
2.1 组网及业务描述 12
2.2 命令行列表 13
2.3 配置流程图 14
2.4 配置步骤 14
2.5 具体配置及实验结果验证 14
第3章 混合模式+主备组网方式的双机热备份技术在Eudemon防火墙上的部署 23
3.1 组网及业务描述 23
3.2 命令行列表 24
3.3 配置流程图 24
3.4 配置步骤 24
3.5 具体配置及实验结果验证 25
实验说明
实验说明
本实验指导书本主要介绍了Eudemon防火墙双机热备技术的常见组网方式及配置流程,涵盖了VRRP、VGMP和HRP等防火墙双机热备的主要技术。希望您能通过本指导书了解并掌握Eudemon防火墙双机热备技术的部署。
版本介绍
本指导书适用于VRP版本3.30
实验目的
l 掌握Eudemon防火墙双机热备的基本原理
l 熟悉路由模式+主备组网方式的防火墙双机热备技术
l 熟悉路由模式+负载分担组网方式的防火墙双机热备技术
l 熟悉混合模式+主备组网方式的防火墙双机热备技术
实验任务
l 完成Eudemon防火墙的基本配置
l 配置VRRP备份组
l 配置HRP
相关资料
l Eudemon防火墙产品手册 配置指南
l Eudemon防火墙产品手册 命令参考
第1章 路由模式+主备组网方式的双机热备技术在Eudemon防火墙上的部署
1.1 组网及业务描述
路由模式+主备组网方式
Eudemon作为安全设备被部署在业务节点上。其中上下行设备均是交换机,Eudemon A、Eudemon B分别充当主用设备和备用设备,且均工作在路由模式下。
网络规划如下:
需要保护的网段地址为10.100.10.0/24,与防火墙的GigabitEthernet 0/0/0接口相连,部署在Trust区域。
外部网络与防火墙的GigabitEthernet 0/0/2接口相连,部署在Untrust区域。
两台防火墙的HRP备份通道接口GigabitEthernet 0/0/1部署在DMZ区域。
两台防火墙分别通过交换机连接各个安全区域。
其中,各安全区域对应的备份组虚拟IP地址如下:
Trust区域对应的备份组虚拟IP地址为10.100.10.1。
Untrust区域对应的备份组虚拟IP地址为202.38.10.1。
DMZ区域对应的备份组虚拟IP地址为10.100.20.1。
防火墙和PC地址规划如下:
Eudemon A:
GE0/0/0:10.100.10.2/24;GE0/0/1:10.100.20.2/24;GE0/0/2:202.38.10.2/24
Eudemon B:
GE0/0/0:10.100.10.3/24;GE0/0/1:10.100.20.3/24;GE0/0/2:202.38.10.3/24
PC1:10.100.10.4~10.100.10.254/24
PC2:202.38.10.4~202.38.10.254/24
实验要求:
1、完成防火墙双机热备配置,使PC1可以ping通PC2,PC2无法ping通PC1。
2、宕掉主用防火墙的一个HRP备份通道接口,主用防火墙管理组优先级发生变化,导致主备倒换。查看主备防火墙倒换对于从PC1发往PC2的数据包的影响。
1.2 命令行列表
操作
版本
命令
配置VRRP备份组的虚拟IP地址并指定备份组所属的管理组。
VRP 3.30
vrrp vrid virtual-router-ID virtual-ip virtual-address [ ip-mask | ip-mask-length ] { slave | master }
使能HRP功能。
VRP 3.30
hrp enable
创建备份会话表的通道接口。
VRP 3.30
hrp interface interface-type interface-number transfer-only
使能配置命令和连接状态的自动备份。
VRP 3.30
hrp auto-sync [ config [ batch-backup ] | connection-status ]
编写提示:通过表格的形式列举实验中要使用到的主要的,典型的命令行列。可以参考命令行手册。主要数通采用。
印刷时上段话删除。
1.3 配置流程图
防火墙基本配置
配置VRRP备份组
配置HRP
1.4 配置步骤
(1) 基本配置:配置接口的IP地址;将接口分别添加到对应的区域;配置区域间包过滤规则。
(2) 配置VRRP备份组并制定备份组所属的管理组。
(3) 创建备份会话表的通道接口并使能HRP功能。
(4) 使能配置命令和连接状态的自动备份功能。
1.5 具体配置及实验结果验证
1.5.1 Eudemon A的基本配置:
#配置主机名
<Eudemon>system-view
[Eudemon]sysname Eudemon A
#配置接口IP地址
[Eudemon A]interface GigabitEthernet 0/0/0
[Eudemon A- GigabitEthernet0/0/0]ip address 10.100.10.2 24
[Eudemon A- GigabitEthernet0/0/0]quit
[Eudemon A]interface GigabitEthernet 0/0/1
[Eudemon A- GigabitEthernet0/0/1]ip address 10.100.20.2 24
[Eudemon A- GigabitEthernet0/0/1]quit
[Eudemon A]interface GigabitEthernet 0/0/2
[Eudemon A-Ethernet0/0/2]ip address 202.38.10.2 24
[Eudemon A-Ethernet0/0/2]quit
#添加接口至对应区域
[Eudemon A]firewall zone trust
[Eudemon A-zone-trust]add interface GigabitEthernet 0/0/0
[Eudemon A-zone-trust]quit
[Eudemon A]firewall zone dmz
[Eudemon A-zone-dmz]add interface GigabitEthernet 0/0/1
[Eudemon A-zone-dmz]quit
[Eudemon A]firewall zone untrust
[Eudemon A-zone-untrust]add interface GigabitEthernet 0/0/2
[Eudemon A-zone-untrust]quit
#配置VRRP备份组,并指定备份组所属的管理组。
[Eudemon A]interface GigabitEthernet 0/0/0
[Eudemon A-GigabitEthernet0/0/0]vrrp vrid 1 virtual-ip 10.100.10.1 master
[Eudemon A]quit
[Eudemon A]interface GigabitEthernet 0/0/1
[Eudemon A-GigabitEthernet0/0/1]vrrp vrid 2 virtual-ip 10.100.20.1 master
[Eudemon A]quit
[Eudemon A]interface GigabitEthernet 0/0/2
[Eudemon A-GigabitEthernet0/0/2]vrrp vrid 3 virtual-ip 202.38.10.1 master
#配置local区域和dmz区域的域间包过滤规则,以便VRRP报文、VGMP报文和HRP报文能够通过心跳接口正常交互。
[Eudemon A]acl 2000
[Eudemon A-acl-basic-2000]rule permit source 10.100.20.0 0.0.0.255
[Eudemon A-acl-basic-2000]quit
[Eudemon A]firewall interzone local dmz
[Eudemon A-interzone-local-dmz]packet-filter 2000 inbound
[Eudemon A-interzone-local-dmz]packet-filter 2000 outbound
#配置HRP备份通道。
[Eudemon A]hrp interface GigabitEthernet 0/0/1 transfer-only
[Eudemon A]hrp interface GigabitEthernet 0/0/0
[Eudemon A]hrp interface GigabitEthernet 0/0/2
#使能HRP功能
[Eudemon A]hrp enable
1.5.2 Eudemon B的基本配置:
#配置主机名
<Eudemon>system-view
[Eudemon]sysname Eudemon B
#配置接口IP地址
[Eudemon B]interface GigabitEthernet 0/0/0
[Eudemon B- GigabitEthernet0/0/0]ip address 10.100.10.3 24
[Eudemon B- GigabitEthernet0/0/0]quit
[Eudemon B]interface GigabitEthernet 0/0/1
[Eudemon B- GigabitEthernet0/0/1]ip address 10.100.20.3 24
[Eudemon B- GigabitEthernet0/0/1]quit
[Eudemon B]interface GigabitEthernet 0/0/2
[Eudemon B- GigabitEthernet0/0/2]ip address 202.38.10.3 24
[Eudemon B- GigabitEthernet0/0/2]quit
#添加接口至对应区域
[Eudemon B]firewall zone trust
[Eudemon B-zone-trust]add interface GigabitEthernet 0/0/0
[Eudemon B-zone-trust]quit
[Eudemon B]firewall zone dmz
[Eudemon B-zone-dmz]add interface GigabitEthernet 0/0/1
[Eudemon B-zone-dmz]quit
[Eudemon B]firewall zone untrust
[Eudemon B-zone-untrust]add interface GigabitEthernet 0/0/2
[Eudemon B-zone-untrust]quit
#配置VRRP备份组,并指定备份组所属的管理组。
[Eudemon B]interface GigabitEthernet 0/0/0
[Eudemon B-GigabitEthernet0/0/0]vrrp vrid 1 virtual-ip 10.100.10.1 slave
[Eudemon B]quit
[Eudemon B]interface GigabitEthernet 0/0/1
[Eudemon B-GigabitEthernet0/0/1]vrrp vrid 2 virtual-ip 10.100.20.1 slave
[Eudemon B]quit
[Eudemon B]interface GigabitEthernet 0/0/2
[Eudemon B-GigabitEthernet0/0/2]vrrp vrid 3 virtual-ip 202.38.10.1 slave
#配置local区域和dmz区域的域间包过滤规则,以便VRRP报文、VGMP报文和HRP报文能够通过心跳接口正常交互。
[Eudemon B]acl 2000
[Eudemon B-acl-basic-2000]rule permit source 10.100.10.0 0.0.0.255
[Eudemon B-acl-basic-2000]quit
[Eudemon B]firewall interzone local dmz
[Eudemon B-interzone-local-dmz]packet-filter 2000 inbound
[Eudemon B-interzone-local-dmz]packet-filter 2000 outbound
#配置HRP备份通道。
[Eudemon B]hrp interface GigabitEthernet 0/0/1 transfer-only
[Eudemon B]hrp interface GigabitEthernet 0/0/0
[Eudemon B]hrp interface GigabitEthernet 0/0/2
#使能HRP功能
[Eudemon B]hrp enable
1.5.3 Switch和PC的基本配置:
本实验中使用的Switch都是二层交换机,不需要任何配置;给PC1和PC2配上IP地址和默认网关,PC1和PC2的网关分别对应VRRP管理组1和VRRP管理组2的虚拟IP地址。
1.5.4 实验结果验证
实验结果验证一:通过命令display vrrp查看VRRP备份组的状态。
HRP_M[Eudemon A]display vrrp
GigabitEthernet0/0/2 | Virtual Router 3
state : Master
Virtual IP : 202.38.10.1
PriorityRun : 100
PriorityConfig : 100
MasterPriority : 100
Preempt : YES Delay Time : 0
Timer : 1
Auth Type : NONE
Check TTL : YES
GigabitEthernet0/0/1 | Virtual Router 2
state : Master
Virtual IP : 10.100.20.1
PriorityRun : 100
PriorityConfig : 100
MasterPriority : 100
Preempt : YES Delay Time : 0
Timer : 1
Auth Type : NONE
Check TTL : YES
GigabitEthernet0/0/0 | Virtual Router 1
state : Master
Virtual IP : 10.100.10.1
PriorityRun : 100
PriorityConfig : 100
MasterPriority : 100
Preempt : YES Delay Time : 0
Timer : 1
Auth Type : NONE
Check TTL : YES
HRP_S[Eudemon B]display vrrp
GigabitEthernet0/0/2 | Virtual Router 3
state : Backup
Virtual IP : 202.38.10.1
PriorityRun : 100
PriorityConfig : 100
MasterPriority : 100
Preempt : YES Delay Time : 0
Timer : 1
Auth Type : NONE
Check TTL : YES
GigabitEthernet0/0/1 | Virtual Router 2
state : Backup
Virtual IP : 10.100.20.1
PriorityRun : 100
PriorityConfig : 100
MasterPriority : 100
Preempt : YES Delay Time : 0
Timer : 1
Auth Type : NONE
Check TTL : YES
GigabitEthernet0/0/0 | Virtual Router 1
state : Backup
Virtual IP : 10.100.10.1
PriorityRun : 100
PriorityConfig : 100
MasterPriority : 100
Preempt : YES Delay Time : 0
Timer : 1
Auth Type : NONE
Check TTL : YES
通过以上结果可知, Eudemon A在三个备份组中都处于Master状态;Eudemon B在三个备份组中都处于Backup状态。
实验结果验证二:通过命令display hrp state查看HRP管理组的状态。
HRP_M[Eudemon A]display hrp state
The firewall's config state is: MASTER
Current state of virtual routers configured as master:
GigabitEthernet0/0/2 vrid 3 : master
GigabitEthernet0/0/1 vrid 2 : master
GigabitEthernet0/0/0 vrid 1 : master
HRP_S[Eudemon B]display hrp state
The firewall's config state is: SLAVE
Current state of virtual routers configured as slave:
GigabitEthernet0/0/2 vrid 3 : slave
GigabitEthernet0/0/1 vrid 2 : slave
GigabitEthernet0/0/0 vrid 1 : slave
通过以上结果可知,Eudemon A的三个接口属于Master管理组,状态为MASTER;Eudemon B的三个接口属于Slave管理组,状态为SLAVE。只有当Master管理组的优先级发生变化,低于Slave管理组的优先级时,Eudemon B才开始负责所有域间数据转发。
实验结果验证三:使用命令display hrp group查看VGMP管理组的 信息,包括Master管理组的信息和运行状态、Slave管理组的信息和运行状态以及管理组的优先级等。
HRP_M[Eudemon A]display hrp group
Master group status:
Group enabled: yes
State: master
Priority running: 65001
Total VRRP members: 3
Hello interval(ms): 1000
Preempt delay(s): 30
Peer group available: 1
Peer's member same: yes
Slave group status:
Group enabled: no
State: initialize
Priority running: 65000
Total VRRP members: 0
Hello interval(ms): 1000
Preempt delay(s): 30
Peer group available: 1
Peer's member same: no
HRP_S[Eudemon B]display hrp group
Master group status:
Group enabled: no
State: initialize
Priority running: 65001
Total VRRP members: 0
Hello interval(ms): 1000
Preempt delay(s): 30
Peer group available: 0
Peer's member same: yes
Slave group status:
Group enabled: yes
State: slave
Priority running: 65000
Total VRRP members: 3
Hello interval(ms): 1000
Preempt delay(s): 30
Peer group available: 1
Peer's member same: yes
在Eudemon A上,我们只配置了Master管理组,在Eudemon B上我们只配置了Slave管理组。所以由以上实验结果可以看出,Eudemon A上的Slave管理组和Eudemon B上的Master管理组的状态均为“initialize”。
注:在主备组网方式中,任何一台防火墙上都只存在一个管理组。只有负载分担组网方式中,两台防火墙上才会同时使能Master管理组和Slave管理组。
实验结果验证四:在PC1上使用ping命令,是否能ping通PC2呢?如果不能,为什么?
在Eudemon A上配置以下命令:
[Eudemon A]acl 2001
[Eudemon A-acl-basic-2001]rule permit source 10.100.10.0 0.0.0.255
[Eudemon A-acl-basic-2001]quit
[Eudemon A]firewall interzone trust untrust
[Eudemon A-interzone-trust-untrust]packet-filter 2001 outbound
再次使用ping命令,PC1是否能ping通PC2呢?
以上命令用户配置trust区域和untrust区域的域间包过滤规则,如果宕掉Eudemon A的接口GE0/0/2,PC1是否还能ping通PC2呢?
检查的配置发现,在Eudemon B上并没有配置trust区域和untrust区域的域间包过滤规则,所以PC1无法ping通PC2。
可以通过在Eudemon B上配置trust区域和untrust区域的域间包过滤规则解决上述问题。除了这种方法,有没有其他方法可以解决上述问题呢?
HRP用户在主备设备间备份会话表信息及关键配置信息,为什么域间包过滤规则没有备份到Eudemon B上呢?
在Eudemon A和Eudemon B上配置以下命令,使用display current-configuration查看Eudemon B的配置信息。
HRP_M[Eudemon A] hrp auto-sync
HRP_S[Eudemon B] hrp auto-sync
通过配置以上命令,可以发现Eudemon B上多了以下配置命令:
firewall interzone trust untrust
packet-filter 2000 outbound
也就是说,域间包过滤规则已经备份到Eudemon B。
此时,再次验证PC1是否可以ping通PC2:
C:\Documents and Settings\Administrator>ping 202.38.10.5
Pinging 202.38.10.5 with 32 bytes of data:
Reply from 202.38.10.5: bytes=32 time=3ms TTL=254
Reply from 202.38.10.5: bytes=32 time=2ms TTL=254
Reply from 202.38.10.5: bytes=32 time=2ms TTL=254
Reply from 202.38.10.5: bytes=32 time=2ms TTL=254
实验结果验证五:在Eudemon A和Eudemon B上使用display firewall session table verbose查看会话:
HRP_M[Eudemon A]display firewall session table verbose
Current Total Sessions : 1
icmp (vpn: public -> public)
zone: trust -> untrust tag: 0x3588 State: 0x0
ttl: 00:00:20 left: 00:00:19 Id: 1c979878 SlvId: 2cc412d0
Interface: G0/0/2 Nexthop: 202.38.10.5 Mac: 00-e0-fc-35-ff-f4
<-- packets:0 bytes:0 --> packets:0 bytes:0
10.100.10.5:512-->202.38.10.5:512
HRP_S[Eudemon B]display firewall session table verbose
Current Total Sessions : 1
icmp (vpn: public -> public) Remote
zone: trust -> untrust tag: 0x35b8 State: 0x0
ttl: 00:00:20 left: 00:00:14 Id: 1c979878 SlvId: 2cc412d0
Interface: G0/0/0 Nexthop: 0.0.0.0 Mac: 00-00-00-00-00-00
<-- packets:0 bytes:0 --> packets:0 bytes:0
10.100.10.5:512-->202.38.10.5:512
可以看到Eudemon B上存在带有Remote标记的会话,表示配置双机热备份功能后,会话备份成功。
实验结果验证六:在PC1上执行“ping –t 202.38.10.5”,宕掉Eudemon A的接口GE0/0/2,观察防火墙的主备倒换以及对数据包转发的影响。
第2章 路由模式+负载分担方式的双机热备技术在Eudemon防火墙上的部署
2.1 组网及业务描述
路由模式+负载分担组网方式
Eudemon作为安全设备被部署在业务节点上。其中上下行设备均是交换机,Eudemon A、Eudemon B采用负载分担方式组网,且均工作在路由模式下。
网络规划如下:
需要保护的网段地址为10.100.10.0/24,与防火墙的GigabitEthernet 0/0/0接口相连,部署在Trust区域。
外部网络与防火墙的GigabitEthernet 0/0/2接口相连,部署在Untrust区域。
两台防火墙的HRP备份通道接口GigabitEthernet 0/0/1部署在DMZ区域。
两台防火墙分别通过交换机连接各个安全区域。
其中,各安全区域对应的备份组虚拟IP地址如下:
Trust区域对应的备份组1的虚拟IP地址为10.100.10.1;备份组4的虚拟IP地址为10.100.10.2。
Untrust区域对应的备份组2的虚拟IP地址为202.38.10.1;备份组5的虚拟IP地址为202.38.10.2。
DMZ区域对应的备份组3虚拟IP地址为10.100.20.1;备份组6的虚拟IP地址为10.100.20.1。
防火墙和PC地址规划如下:
Eudemon A:
GE0/0/0:10.100.10.3/24;GE0/0/1:10.100.20.3/24;GE0/0/2:202.38.10.3/24
Eudemon B:
GE0/0/0:10.100.10.4/24;GE0/0/1:10.100.20.4/24;GE0/0/2:202.38.10.4/24
PC1:10.100.10.5~10.100.10.254/24
PC2:202.38.10.5~202.38.10.254/24
实验要求:
1、完成防火墙双机热备配置,使PC1可以ping通PC2,PC2无法ping通PC1。
2、宕掉主用防火墙的一个HRP备份通道接口,主用防火墙管理组优先级发生变化,导致主备倒换。查看主备防火墙倒换对于从PC1发往PC2的数据包的影响。
2.2 命令行列表
操作
版本
命令
配置VRRP备份组的虚拟IP地址并指定备份组所属的管理组。
VRP 3.30
vrrp vrid virtual-router-ID virtual-ip virtual-address [ ip-mask | ip-mask-length ] { slave | master }
使能HRP功能。
VRP 3.30
hrp enable
创建备份会话表的通道接口。
VRP 3.30
hrp interface interface-type interface-number transfer-only
使能配置命令和连接状态的自动备份。
VRP 3.30
hrp auto-sync [ config [ batch-backup ] | connection-status ]
编写提示:通过表格的形式列举实验中要使用到的主要的,典型的命令行列。可以参考命令行手册。主要数通采用。
印刷时上段话删除。
2.3 配置流程图
防火墙基本配置
配置VRRP备份组
配置HRP
2.4 配置步骤
(1) 基本配置:配置接口的IP地址;将接口分别添加到对应的区域;配置区域间包过滤规则。
(2) 配置VRRP备份组并制定备份组所属的管理组。
(3) 创建备份会话表的通道接口并使能HRP功能。
(4) 使能配置命令和连接状态的自动备份功能。
2.5 具体配置及实验结果验证
2.5.1 Eudemon A的基本配置:
#配置主机名
<Eudemon>system-view
[Eudemon]sysname Eudemon A
#配置接口IP地址
[Eudemon A]interface GigabitEthernet 0/0/0
[Eudemon A- GigabitEthernet0/0/0]ip address 10.100.10.2 24
[Eudemon A- GigabitEthernet0/0/0]quit
[Eudemon A]interface GigabitEthernet 0/0/1
[Eudemon A- GigabitEthernet0/0/1]ip address 10.100.20.2 24
[Eudemon A- GigabitEthernet0/0/1]quit
[Eudemon A]interface GigabitEthernet 0/0/2
[Eudemon A-Ethernet0/0/2]ip address 202.38.10.2 24
[Eudemon A-Ethernet0/0/2]quit
#添加接口至对应区域
[Eudemon A]firewall zone trust
[Eudemon A-zone-trust]add interface GigabitEthernet 0/0/0
[Eudemon A-zone-trust]quit
[Eudemon A]firewall zone dmz
[Eudemon A-zone-dmz]add interface GigabitEthernet 0/0/1
[Eudemon A-zone-dmz]quit
[Eudemon A]firewall zone untrust
[Eudemon A-zone-untrust]add interface GigabitEthernet
展开阅读全文
浙ICP备2021020529号-1 | 浙B2-20240490 
