Web举例：防火墙二层，上下行连接交换机的主备备份组网

时间：2024-03-26 17:31:07浏览次数：28

标签：Web 20 FW vlan GigabitEthernet1 上下行主备 interface port

Web举例：防火墙二层，上下行连接交换机的主备备份组网

介绍了业务接口工作在二层，上下行连接交换机的主备备份组网的Web举例。

组网需求

如图1所示，两台FW的业务接口都工作在二层，上下行分别连接交换机。FW的上下行业务接口都加入到VLAN10和VLAN20中。

现在希望两台FW以主备备份方式工作。正常情况下，流量通过FW_A转发。当FW_A出现故障时，流量通过FW_B转发，保证业务不中断。

图1 业务接口工作在二层，上下行连接交换机的主备备份组网

操作步骤

配置接口，完成网络基本配置。
1. 在FW_A上配置接口。
  1. 选择“网络 > 接口”。
  2. 单击GE1/0/3，按如下参数配置，单击“确定”。
    
    安全区域
    
    untrust
    
    模式
    
    交换
    
    连接类型
    
    Trunk
    
    Trunk VLAN ID
    
    10,20
  3. 参考上述步骤按如下参数配置GE1/0/7接口。
    
    安全区域
    
    trust
    
    模式
    
    交换
    
    连接类型
    
    Trunk
    
    Trunk VLAN ID
    
    10,20
  4. 参考上述步骤按如下参数配置GE1/0/2接口。
    
    安全区域
    
    dmz
    
    IPv4
    
    IP地址
    
    10.10.0.1/24
2. 在FW_B上配置接口。
  1. 选择“网络 > 接口”。
  2. 单击GE1/0/3，按如下参数配置，单击“确定”。
    
    安全区域
    
    untrust
    
    模式
    
    交换
    
    连接类型
    
    Trunk
    
    Trunk VLAN ID
    
    10,20
  3. 参考上述步骤按如下参数配置GE1/0/7接口。
    
    安全区域
    
    trust
    
    模式
    
    交换
    
    连接类型
    
    Trunk
    
    Trunk VLAN ID
    
    10,20
  4. 参考上述步骤按如下参数配置GE1/0/2接口。
    
    安全区域
    
    dmz
    
    IPv4
    
    IP地址
    
    10.10.0.2/24
配置双机热备功能。
1. 在FW_A上配置双机热备功能。
  1. 选择“系统 > 高可靠性 > 双机热备”，单击“配置”。
  2. 开启“双机热备”后，按如下参数配置，单击“确定”。
2. 在FW_B上配置双机热备功能。
  1. 选择“系统 > 高可靠性 > 双机热备”，单击“配置”。
  2. 开启“双机热备”后，按如下参数配置，单击“确定”。
配置安全策略。

双机热备状态成功建立后，FW_A的安全策略配置会自动备份到FW_B上。
1. 选择“策略 > 安全策略 > 安全策略”。
2. 单击“新建安全策略”，按照如下参数配置安全策略，单击“确定”。
  
  名称
  
  policy_sec1
  
  源安全区域
  
  trust
  
  目的安全区域
  
  untrust
  
  动作
  
  允许
配置Switch。

分别将两台Switch的三个接口加入同一个VLAN，具体配置命令请参考交换机的相关文档。

安全区域	untrust
模式	交换
连接类型	Trunk
Trunk VLAN ID	10,20

安全区域	trust
模式	交换
连接类型	Trunk
Trunk VLAN ID	10,20

安全区域	dmz
IPv4
IP地址	10.10.0.1/24

安全区域	untrust
模式	交换
连接类型	Trunk
Trunk VLAN ID	10,20

安全区域	trust
模式	交换
连接类型	Trunk
Trunk VLAN ID	10,20

安全区域	dmz
IPv4
IP地址	10.10.0.2/24

名称	policy_sec1
源安全区域	trust
目的安全区域	untrust
动作	允许

结果验证

选择“系统 > 高可靠性 > 双机热备”，查看双机热备的运行情况。

正常情况下，FW_A的“当前运行模式”为“主备备份”，“当前运行角色”为“主用”；FW_B的“当前运行模式”为“主备备份”，“当前运行角色”为“备用”。这说明流量FW_A转发。
当FW_A出现故障时，FW_A的“当前运行模式”为“主备备份”，“当前运行角色”为“备用”；FW_B的“当前运行模式”为“主备备份”，“当前运行角色”为“主用”。这说明流量通过FW_B转发。

配置脚本

FW_A	FW_B
# sysname FW_A # vlan batch 10 20 # hrp enable hrp interface GigabitEthernet1/0/2 remote 10.10.0.2 hrp track vlan 10 hrp track vlan 20 # interface GigabitEthernet1/0/3 portswitch port link-type trunk port trunk allow-pass vlan 10 20 undo port trunk allow-pass vlan 1 # interface GigabitEthernet1/0/7 portswitch port link-type trunk port trunk allow-pass vlan 10 20 undo port trunk allow-pass vlan 1 # interface GigabitEthernet1/0/2 ip address 10.10.0.1 255.255.255.0 # firewall zone trust set priority 85 add interface GigabitEthernet1/0/7 # firewall zone untrust set priority 5 add interface GigabitEthernet1/0/3 # firewall zone dmz set priority 50 add interface GigabitEthernet1/0/2 # security-policy rule name policy_sec source-zone trust destination-zone untrust action permit	# sysname FW_B # vlan batch 10 20 # hrp enable hrp interface GigabitEthernet1/0/2 remote 10.10.0.1 hrp track vlan 10 hrp track vlan 20 hrp standby-device # interface GigabitEthernet1/0/3 portswitch port link-type trunk port trunk allow-pass vlan 10 20 undo port trunk allow-pass vlan 1 # interface GigabitEthernet1/0/7 portswitch port link-type trunk port trunk allow-pass vlan 10 20 undo port trunk allow-pass vlan 1 # interface GigabitEthernet1/0/2 ip address 10.10.0.2 255.255.255.0 # firewall zone trust set priority 85 add interface GigabitEthernet1/0/7 # firewall zone untrust set priority 5 add interface GigabitEthernet1/0/3 # firewall zone dmz set priority 50 add interface GigabitEthernet1/0/2 # security-policy rule name policy_sec source-zone trust destination-zone untrust action permit

FW_A

FW_B

#
sysname FW_A
# 
vlan batch 10 20
#
 hrp enable
 hrp interface GigabitEthernet1/0/2 remote 10.10.0.2 
 hrp track vlan 10
 hrp track vlan 20
#
interface GigabitEthernet1/0/3
 portswitch
 port link-type trunk
 port trunk allow-pass vlan 10 20
 undo port trunk allow-pass vlan 1
#
interface GigabitEthernet1/0/7
 portswitch
 port link-type trunk
 port trunk allow-pass vlan 10 20
 undo port trunk allow-pass vlan 1
#
interface GigabitEthernet1/0/2
 ip address 10.10.0.1 255.255.255.0
#
firewall zone trust
 set priority 85
 add interface GigabitEthernet1/0/7
#
firewall zone untrust
 set priority 5   
 add interface GigabitEthernet1/0/3
#
firewall zone dmz
 set priority 50
 add interface GigabitEthernet1/0/2
#    
security-policy
 rule name policy_sec
  source-zone trust
  destination-zone untrust
  action permit

#
sysname FW_B
# 
vlan batch 10 20
#
 hrp enable
 hrp interface GigabitEthernet1/0/2 remote 10.10.0.1 
 hrp track vlan 10
 hrp track vlan 20
 hrp standby-device
#
interface GigabitEthernet1/0/3
 portswitch
 port link-type trunk
 port trunk allow-pass vlan 10 20
 undo port trunk allow-pass vlan 1
#
interface GigabitEthernet1/0/7
 portswitch
 port link-type trunk
 port trunk allow-pass vlan 10 20
 undo port trunk allow-pass vlan 1
#
interface GigabitEthernet1/0/2
 ip address 10.10.0.2 255.255.255.0
#
firewall zone trust
 set priority 85
 add interface GigabitEthernet1/0/7
#
firewall zone untrust
 set priority 5
 add interface GigabitEthernet1/0/3
#
firewall zone dmz
 set priority 50
 add interface GigabitEthernet1/0/2
#    
security-policy
 rule name policy_sec
  source-zone trust
  destination-zone untrust
  action permit

标签：Web,20,FW,vlan,GigabitEthernet1,上下行,主备,interface,port
From： https://blog.csdn.net/weixin_59383576/article/details/137052522

7 年的 web 编程生涯，今天系统整理学习web 安全学习笔记
背景说来惭愧，7年的web编程生涯，一直没有真正系统的学习web安全知识（认证和授权除外），这个月看了一本《Web安全设计之道》，书中的内容多是从微软官方文档翻译而来，这本书的含金量不高，不过也不能说没有收获，本文简单记录一下我学习Web安全方面的笔记。本文不涉及IIS、Wind......
37.html+css+js网页设计实例/“音乐”酒吧主题介绍/web前端期末大作业/
一、前言本实例以“音乐”酒吧为主题设计，响应式web，应用html+css+js，包括图片轮翻效果、视频、音频、留言板等，供大家参考。【关注作者|获取更多源码（2000+个Web案例源码）|优质文章】；您的支持是我创作的动力！看到这里就【点赞收藏博文】，Web开发、课程设计、毕业设计有兴趣的联系我交......
Python之Web开发中级教程----中级教程成果下载
Python之Web开发中级教程----中级教程成果下载到目前为止，中级教程已经完成。按照一步步的教程搭建虚拟机中的环境，包括内容如下： Ubuntu操作系统搭建 Python配置 Redis安装配置 Python库中包括 Pip安装 Pyinstaller......
[安洵杯 2019]easy_web
[安洵杯2019]easy_web打开页面如图所示，在地址栏发现有img参数和空的cmd参数对img参数进行解码，经过两次base64解码和Hex解码得到555.png试着读取index.php的源码，也用同样的方式进行编码得到TmprMlpUWTBOalUzT0RKbE56QTJPRGN3放到img参数中发送经过base64解码后得到源代......
【虚幻引擎】DTWebSocketServer 蓝图创建WebSocket服务器插件使用说明
本插件可以使用蓝图创建WebSocket服务器，并监听响应数据。下载地址在文章最后。 1.节点说明CreateWebSocketServer–创建WebSocket服务器对象并开启监听创建一个WebSocket服务器对象，并监听相应端口，连接地址为ws://IP:PORT,比如ws://192.168.1.5:9001返回的对象需要......
javaWeb项目-快捷酒店信息管理系统功能介绍
开发工具：IDEA、Eclipse编程语言:Java数据库:MySQL5.7+框架：ssm、Springboot前端：Vue、ElementUI关键技术：springboot、SSM、vue、MYSQL、MAVEN数据库工具：Navicat、SQLyog项目关键技术 1、JSP技术JSP(Java脚本页面)是Sun和许多参与建立的公司所提倡的动态web技术。Ja......
JavaWeb学习笔记——第五天
请求响应概述前端控制器（核心控制器）DispatcherServlet：它实现了Servlet接口，可以被Tomcat程序识别。浏览器发起的请求会先通过DispatcherServlet，由DispatcherServlet将请求转给后方的controller程序进行处理，处理完成后，controller程序再将处理完的结果返回给DispatcherServlet，最后......
Building an Automatically Scaling Web Application
2024年春季云计算课业1：构建一个自动伸缩的Web应用程序截止日期：2024年4月15日，星期一1目标和范围在这项任务中，我们将为（非常）琐碎的Web构建一个小型的自动伸缩测试平台应用任务的目标是熟悉伸缩Web的各个方面应用程序，这将提高您对低级/基本实现的理解云系统的详细信息。正如我们在......
36.html+css+js网页设计实例/“美食”主题介绍/web前端期末大作业/
一、前言本实例以“美食”为主题设计，应用html+css+js，包括图片轮翻效果、菜单导航、三级菜单、音频、留言板等，供大家参考。【关注作者|获取更多源码（2000+个Web案例源码）|优质文章】；您的支持是我创作的动力！看到这里就【点赞收藏博文】，Web开发、课程设计、毕业设计有兴趣的联系我......
【常见错误】org.springframework.web.multipart.MultipartException request is not
检查请求类型和内容类型MultipartException 错误通常发生在请求类型不是 multipart/form-data 或者内容类型不是预期的类型时。因此，要解决这个错误，需要确保请求的类型和内容类型正确。以下是一些检查步骤：检查请求类型确保发送到服务器的请求的HTTP方法为 POST，并且Cont......

Web举例：防火墙二层，上下行连接交换机的主备备份组网

Web举例：防火墙二层，上下行连接交换机的主备备份组网

组网需求

操作步骤

结果验证

配置脚本

相关文章

赞助商

阅读排行