【解忧番外篇】基于eNSP USG6000v的双机热备实验

digest [复制链接]
发表于 : 2018-4-23 18:10:22 最新回复:2018-12-09 13:14:36
6091 4
nice_vay
nice_vay  导师

    前言
        本实验使用华为模拟器eNSP中USG6000v完成实验。
【解忧番外篇】基于eNSP USG6000v的双机热备实验-2654731-1
实验拓扑
【解忧番外篇】基于eNSP USG6000v的双机热备实验-2654731-2
配置过程
一、导入设备包
       由于USG6000v模拟器需要导入设备包才能使用,所以需要在华为企业专网下载USG6000v的设备包才能使用,根据自己eNSP的版本下载对应版本的设备包,推荐使用eNSP500或eNSP510。比如我的eNSP版本是510,那么需要进入该链接:eNSP各版本下载链接 进行设备包的下载。
【解忧番外篇】基于eNSP USG6000v的双机热备实验-2654731-3

【解忧番外篇】基于eNSP USG6000v的双机热备实验-2654731-4
       下载设备包需要一个华为账户,注册一个华为账户即可完成下载。
       下载完成后是以压缩包的形式存在,需要解压缩,解压缩之后的vfw_usg.vdi文件如下图所示。
【解忧番外篇】基于eNSP USG6000v的双机热备实验-2654731-5
       进入eNSP,将USG6000v拖出来右键启动,会提示导入设备包,点击浏览选择刚才下好的vfw_usg.vdi文件即可成功导入,导入之后再次右键启动设备。
【解忧番外篇】基于eNSP USG6000v的双机热备实验-2654731-6
       如果无法正常启动可以查看eNSP中帮助文档中FAQ部分进行错误排查。
【解忧番外篇】基于eNSP USG6000v的双机热备实验-2654731-7

【解忧番外篇】基于eNSP USG6000v的双机热备实验-2654731-8

说明:如何查看eNSP版本。进入eNSP菜单-->帮助-->关于eNSP,如图所示即可查看到eNSP的版本信息,我使用的就是510。
【解忧番外篇】基于eNSP USG6000v的双机热备实验-2654731-9

【解忧番外篇】基于eNSP USG6000v的双机热备实验-2654731-10

二、登陆USG6000v
       当防火墙可以正常开启后需要输入登陆密码并确认密码,该密码用于你以后登陆该设备的登陆密码。
【解忧番外篇】基于eNSP USG6000v的双机热备实验-2654731-11
<USG6000V1>system-view    //进入系统视图
Enter system view, return user view with Ctrl+Z.
[USG6000V1]sysname FW2    //将设备名修改为FW2
[FW2]
三、配置接口IP地址
       根据IP地址规划表配置路由器,防火墙以及PC等的IP地址和网关。配置过程略。

  设备
 IP地址 网关地址
 FW1-G1/0/0 10.1.13.3/24 -
 FW1-G1/0/1 10.1.1.253/24 -
 FW1-G1/0/6 10.1.34.3/34 -
 FW2-G1/0/0 10.1.14.4/24 -
 FW2-G1/0/1 10.1.1.252/24 -
 FW2-G1/0/6 10.1.34.4/24 -
 AR1-G0/0/0 100.1.12.1/24 -
 AR1-G0/0/1 10.1.13.1/24 -
 AR1-G0/0/2 10.1.14.1/24 -
 AR2-G0/0/0 100.1.12.2/24 -
 AR2-G0/0/1 100.1.1.254/24 -
 PC1 10.1.1.1/24 10.1.1.254
 HTTP-Server 100.1.1.1/24 100.1.1.254
       给出FW1的G1/0/1端口的IP地址配置,其他端口配置类似,配置如下:
[FW1]interface GigabitEthernet 1/0/1    //进入G1/0/1端口
[FW1-GigabitEthernet1/0/1]ip address 10.1.1.253 24   //配置IP地址
四、配置防火墙安全区域
       根据规划表划分防火墙安全区域。
 防火墙端口 安全区域
 FW1-G1/0/0 Untrust
 FW1-G1/0/1 Trust
 FW1-G1/0/6 DMZ
 FW2-G1/0/0 Untrust
 FW2-G1/0/1 Trust
 FW3-G1/0/6 DMZ
       配置过程以FW1为例,FW2类似配置,配置如下:
[FW1]firewall zone trust   //进入trust区域
[FW1-zone-trust]add interface GigabitEthernet 1/0/1   //将G1/0/1加入trust区域
[FW1-zone-trust]quit
[FW1]firewall zone trust  
[FW1-zone-trust]add interface GigabitEthernet 1/0/1
[FW1-zone-trust]quit
[FW1]firewall zone dmz
[FW1-zone-dmz]add interface GigabitEthernet 1/0/6
[FW1-zone-dmz]quit
五、配置内网路由器协议OSPF
       在FW1、FW2和AR1上开启OSPFv2进程1。
[FW1]ospf 1 router-id 10.1.3.3
[FW1-ospf-1]area 0
[FW1-ospf-1-area-0.0.0.0]network 10.1.13.3 0.0.0.0
[FW1-ospf-1-area-0.0.0.0]network 10.1.1.253 0.0.0.0
[FW1-ospf-1-area-0.0.0.0]quit
[FW1-ospf-1]quit
#
[FW2]ospf 1 router-id 10.1.4.4
[FW2-ospf-1-area-0.0.0.0]network 10.1.14.4 0.0.0.0
[FW2-ospf-1-area-0.0.0.0]network 10.1.1.252 0.0.0.0
[FW2-ospf-1-area-0.0.0.0]quit
[FW2-ospf-1]quit
#
[AR1]ospf 1 router-id 10.1.1.1
[AR1-ospf-1]area 0
[AR1-ospf-1-area-0.0.0.0]network 10.1.13.1 0.0.0.0
[AR1-ospf-1-area-0.0.0.0]network 10.1.14.1 0.0.0.0
[AR1-ospf-1-area-0.0.0.0]quit
[AR1-ospf-1]quit
五、配置VRRP
       在FW1和FW2链接PC的网段部署主备模式VRRP,实现网关冗余备份,其中FW1为主设备。
[FW1]interface GigabitEthernet 1/0/1    //进入FW1链接PC网段的端口
[FW1-GigabitEthernet1/0/1]vrrp vrid 1 virtual-ip 10.1.1.254 active   //将FW1配置为VRRP主设备
[FW1-GigabitEthernet1/0/1]quit
#
[FW2]interface GigabitEthernet 1/0/1   //进入FW2链接PC网段的端口
[FW2-GigabitEthernet1/0/1]vrrp vrid 1 virtual-ip 10.1.1.254 standby   //将FW1配置为VRRP备设备
[FW2-GigabitEthernet1/0/1]quit
       分别在FW1和FW2上使用display vrrp brief查看VRRP状态,FW1为Master,FW2为Backup。
【解忧番外篇】基于eNSP USG6000v的双机热备实验-2654731-12

【解忧番外篇】基于eNSP USG6000v的双机热备实验-2654731-13
       在FW1和FW2上配置根据VGMP状态调整OSPF Cost值功能。
[FW1]hrp adjust ospf-cost enable
#
[FW2]hrp adjust ospf-cost enable
六、配置IP-Link联动双机热备
       在FW1和FW2上配置GigabitEthernet 1/0/0和GigabitEthernet 1/0/1加入同一Link-group管理组。
[FW1]interface GigabitEthernet 1/0/0
[FW1-GigabitEthernet1/0/0]link-group 1
[FW1-GigabitEthernet1/0/0]quit
[FW1]interface GigabitEthernet 1/0/1
[FW1-GigabitEthernet1/0/1]link-group 1
[FW1-GigabitEthernet1/0/1]quit
#
[FW2]interface GigabitEthernet 1/0/0
[FW2-GigabitEthernet1/0/0]link-group 1
[FW2-GigabitEthernet1/0/0]quit
[FW2]interface GigabitEthernet 1/0/1
[FW2-GigabitEthernet1/0/1]link-group 1
[FW2-GigabitEthernet1/0/1]quit
       在FW1和FW2上配置VGMP组监控业务接口G1/0/0和G1/0/1。
[FW1]hrp track interface GigabitEthernet 1/0/0
[FW1]hrp track interface GigabitEthernet 1/0/1
#
[FW2]hrp track interface GigabitEthernet 1/0/0
[FW2]hrp track interface GigabitEthernet 1/0/1
       在FW1和FW2上配置IP-Link,监控网络出接口。
[FW1]ip-link check enable   //开启IP-Link检测功能
[FW1]ip-link name link1
[FW1-iplink-link1]destination 100.1.1.254 interface GigabitEthernet 1/0/0
[FW1-iplink-link1]quit
#
[FW2]ip-link check enable
[FW2]ip-link name link1
[FW2-iplink-link1]destination 100.1.1.254 interface GigabitEthernet 1/0/0
[FW2-iplink-link1]quit
       在FW1和FW2上配置双机热备与IP-Link联动,由VGMP管理组监控IP-Link。
[FW1]hrp track ip-link link1   //HRP联动IP-Link
#
[FW2]hrp track ip-link link1
         在FW1和FW2上配置HRP备份通道。
[FW1]hrp interface GigabitEthernet 1/0/6 remote 10.1.34.4
#
[FW2]hrp interface GigabitEthernet 1/0/6 remote 10.1.34.3
       将FW2上配置为HRP备设备。
[FW2]hrp standby-device
         在FW1和FW2上启动HRP。
[FW1]hrp enable
#
[FW2]hrp enable
【解忧番外篇】基于eNSP USG6000v的双机热备实验-2654731-14

说明:可能存在FW1和FW2开启HRP后,FW2为主设备Master,FW1为备设备Stanby,需要后续配置放行IP-Link流量的策略就可以恢复正常,以下的配置均在Master设备完成,可能是HRP_M[FW1]或
HRP_M[FW2]。其中名字中M代表设备为Master,S代表设备为Stanby。本例中FW2在配置放行IP-Link流量之前被选举为了Master,所以配置均在FW2上完成。

【解忧番外篇】基于eNSP USG6000v的双机热备实验-2654731-15

       在Master上启动配置命令的自动备份
HRP_M[FW2]hrp auto-sync config
八、配置安全策略
       在Master(本例中为FW2)上配置安全策略,使得内网主机可以访问外网服务器的HTTP服务。策略会自动同步到备份设备所以无需再备份设备配置。在配置策略后如果在Master上配置完一条命令后出现(+B)则表示配置被同步到备份设备了。
HRP_M[FW2]security-policy
HRP_M[FW2-policy-security]rule name http
HRP_M[FW2-policy-security-rule-http]source-zone trust
HRP_M[FW2-policy-security-rule-http]destination-zone untrust
HRP_M[FW2-policy-security-rule-http]source-address 10.1.1.0 24
HRP_M[FW2-policy-security-rule-http]destination-address 100.1.1.0 24
HRP_M[FW2-policy-security-rule-http]service http
HRP_M[FW2-policy-security-rule-http]action permit
HRP_M[FW2-policy-security-rule-http]quit
HRP_M[FW2-policy-security]quit
       在Master上配置安全策略,放行与上行Untrust区域的路由器之间的OSPF报文。
HRP_M[FW2]security-policy
HRP_M[FW2-policy-security]rule name ospf
HRP_M[FW2-policy-security-rule-ospf]source-zone local untrust
HRP_M[FW2-policy-security-rule-ospf]destination-zone local untrust
HRP_M[FW2-policy-security-rule-ospf]action permit
HRP_M[FW2-policy-security-rule-ospf]quit
HRP_M[FW2-policy-security]quit
       在AR1上通过display ospf peer brief命令查看OSPF邻居是否进入FULL状态。
【解忧番外篇】基于eNSP USG6000v的双机热备实验-2654731-16
       在Master上配置安全策略,放行IP-Link的流量。
HRP_M[FW2]security-policy
HRP_M[FW2-policy-security]rule name link
HRP_M[FW2-policy-security-rule-link]source-zone local
HRP_M[FW2-policy-security-rule-link]destination-zone untrust
HRP_M[FW2-policy-security-rule-link]service icmp
HRP_M[FW2-policy-security-rule-link]action permit
HRP_M[FW2-policy-security-rule-link]quit
HRP_M[FW2-policy-security]quit
【解忧番外篇】基于eNSP USG6000v的双机热备实验-2654731-17

说明:当配置完成放行IP-Link的流量后,FW1会在抢占延时60s后成为Master,会成为HRP_M[FW1],但抢占延时默认为60s,所以可以通过在FW2上执行undo hrp enable和hrp enable重启HRP进程,即可快速完成选举。

【解忧番外篇】基于eNSP USG6000v的双机热备实验-2654731-18

       在FW1上执行display hrp state verbose命令查看HRP的角色和联动端口的状态。
【解忧番外篇】基于eNSP USG6000v的双机热备实验-2654731-19
九、配置NAT
       在Master-FW1上配置NAT地址池,开启端口地址转换,实现公网IP地址复用。
HRP_M[FW1]nat address-group group1
HRP_M[FW1-address-group-group1]mode pat
HRP_M[FW1-address-group-group1]section 100.1.2.1 100.1.2.3  //地址池的地址范围
HRP_M[FW1-address-group-group1]route enable
HRP_M[FW1-address-group-group1]quit
       配置源NAT策略,实现私网指定网段访问Internet时自动进行源地址转换。
HRP_M[FW1]nat-policy
HRP_M[FW1-policy-nat]rule name nat1
HRP_M[FW1-policy-nat-rule-nat1]source-zone trust
HRP_M[FW1-policy-nat-rule-nat1]destination-zone untrust
HRP_M[FW1-policy-nat-rule-nat1]source-address 10.1.1.0 24
HRP_M[FW1-policy-nat-rule-nat1]action nat address-group group1
HRP_M[FW1-policy-nat-rule-nat1]quit
HRP_M[FW1-policy-nat]quit
       在FW1和FW2上配置缺省路由,使私网流量可以正常转发至公网。
HRP_M[FW1]ip route-static 0.0.0.0 0 10.1.13.1
HRP_S[FW2]ip route-static 0.0.0.0 0 10.1.14.1
       在FW1和FW2上执行display security-policy all命令查看策略是否配置完成。
【解忧番外篇】基于eNSP USG6000v的双机热备实验-2654731-20

【解忧番外篇】基于eNSP USG6000v的双机热备实验-2654731-21
十、配置外网路由
      在AR1和AR2之间配置静态路由实现外网互通。
[AR1]ip route-static 0.0.0.0 0 100.1.12.2     //在R1上配置缺省静态路由下一跳为R2用于访问公网
#
[AR2]ip route-static 100.1.2.1 32 100.1.12.1  //在R2上配置指向公网地址池的静态路由用于数据返回
[AR2]ip route-static 100.1.2.2 32 100.1.12.1
[AR2]ip route-static 100.1.2.3 32 100.1.12.1
       在FW1和FW2上将公网地址池的路由引入OSPF。当配置了公网地址池之后,地址池的地址会以UNR路由的形式出现在路由表中,所以需要在防火墙上将其引入OSPF,使得AR1可以学到公网地址池的路由,进而可以将数据转发回内网。在Master上配置ACL之后可以在Stanby设备同步。
【解忧番外篇】基于eNSP USG6000v的双机热备实验-2654731-22
HRP_M[FW1]acl 2000   //配置ACL2000匹配公网地址池的地址
HRP_M[FW1-acl-basic-2000]rule permit source 100.1.2.1 0
HRP_M[FW1-acl-basic-2000]rule permit source 100.1.2.2 0
HRP_M[FW1-acl-basic-2000]rule permit source 100.1.2.3 0
HRP_M[FW1-acl-basic-2000]quit
HRP_M[FW1]route-policy nat permit node 10   //配置路由策略匹配ACL 2000
HRP_M[FW1-route-policy]if-match acl 2000
HRP_M[FW1-route-policy]quit
HRP_M[FW1]ospf 1
HRP_M[FW1-ospf-1]import-route unr route-policy nat  //将UNR路由引入OSPF
#
HRP_S[FW2]route-policy nat permit node 10  
HRP_S[FW2-route-policy]if-match acl 2000
HRP_S[FW2-route-policy]quit
HRP_S[FW2]ospf 1
HRP_S[FW2-ospf-1]import-route unr route-policy nat
配置验证
       配置服务器,指定文件根目录为一个测试文件夹(该文件夹需要自己创建,并在文件夹中添加一个任意的文件),指定完成后即可在下面的框中看到文件夹中文件的名字。并启动HTTP服务器。
【解忧番外篇】基于eNSP USG6000v的双机热备实验-2654731-23
二、在PC1上进行HTTP测试
       在PC1地址栏中输入http://100.1.1.1测试HTTP服务。
【解忧番外篇】基于eNSP USG6000v的双机热备实验-2654731-24
       如果看到下图所示则试验成功。
【解忧番外篇】基于eNSP USG6000v的双机热备实验-2654731-25

【解忧番外篇】基于eNSP USG6000v的双机热备实验-2654731-26

说明:本实验中使用的PC为模拟器中的Client,具备HTTP客户端的功能,请注意。

【解忧番外篇】基于eNSP USG6000v的双机热备实验-2654731-27

【解忧番外篇】基于eNSP USG6000v的双机热备实验-2654731-28

如果各位对技术感兴趣,可以添加下方公众号,更多技术信息等你找到!
【解忧番外篇】基于eNSP USG6000v的双机热备实验-2654731-29 本帖最后由 nice_vay 于 2018-04-24 13:59 编辑

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?注册

x
  • x
  • 常规:

点评 回复

跳转到指定楼层
李宗易
李宗易  导师VIP 发表于 2018-4-24 08:21:32 已赞(0) 赞(0)

谢谢分享
  • x
  • 常规:

点评 回复

萌新想学好网络
萌新想学好网络   发表于 2018-10-29 09:50:50 已赞(0) 赞(0)

为什么我查看不到nat 和link
  • x
  • 常规:

点评 回复

萌新想学好网络
萌新想学好网络   发表于 2018-10-29 10:12:52 已赞(0) 赞(0)

但是结果可以成功 能够保存文件,但是我不知道的是,做VGMP以外的实验是为什么
  • x
  • 常规:

点评 回复

feiyu7
feiyu7   发表于 2018-12-9 13:14:36 已赞(0) 赞(0)

怎么修改防火墙密码啊
  • x
  • 常规:

点评 回复

发表回复
您需要登录后才可以回帖 登录 | 注册

警告 内容安全提示:尊敬的用户您好,为了保障您、社区及第三方的合法权益,请勿发布可能给各方带来法律风险的内容,包括但不限于政治敏感内容,涉黄赌毒内容,泄露、侵犯他人商业秘密的内容,侵犯他人商标、版本、专利等知识产权的内容,侵犯个人隐私的内容等。也请勿向他人共享您的账号及密码,通过您的账号执行的所有操作,将视同您本人的行为,由您本人承担操作后果。详情请参看“隐私声明
如果附件按钮无法使用,请将Adobe Flash Player 更新到最新版本!
登录参与交流分享

登录参与交流分享

登录