華為防火牆雙機熱備,電信、聯通雙接入,核心交換機配置VRRP

2022-04-25     IT狂人日誌

原標題:華為防火牆雙機熱備,電信、聯通雙接入,核心交換機配置VRRP

本文配置目標:華為防火牆雙機熱備,電信和聯通雙運營商、固定IP接入,華為核心交換機配置VRRP。

為保護客戶隱私,電信和聯通的IP位址為虛構,如有雷同,純屬巧合。

真實拓撲圖如下所示,電信和聯通給的掩碼都是29,如果掩碼都是30,恐怕不能這麼連接。

回來用模擬器還原了配置,注意AR3以及下面的兩台交換機,是用來模擬運營商接入的,實際環境中只是兩個光貓而已。

一、配置模擬運營商接入的設備

1、路由器的配置:

配置各接口IP,並且宣告進OSPF

interface GigabitEthernet0/0/0

ip address 33.1.1.3 255.255.255.0

#

interface GigabitEthernet0/0/1

ip address 34.1.1.3 255.255.255.0

#

interface LoopBack0

ip address 3.3.3.3 255.255.255.255

#

ospf 1 router-id 3.3.3.3

area 0.0.0.0

network 3.3.3.3 0.0.0.0

network 33.1.1.3 0.0.0.0

network 34.1.1.3 0.0.0.0

#

2、交換機SW3的配置:

創建VLAN,配置IP,並且宣告進OSPF

vlan batch 33 130 222

#

interface Vlanif33

ip address 33.1.1.1 255.255.255.0

#

interface Vlanif222

ip address 222.92.76.1 255.255.255.0

#

interface GigabitEthernet0/0/1

port link-type access

port default vlan 222

#

interface GigabitEthernet0/0/2

port link-type access

port default vlan 222

#

interface GigabitEthernet0/0/3

port link-type access

port default vlan 33

#

ospf 1 router-id 1.1.1.1

area 0.0.0.0

network 222.92.76.1 0.0.0.0

network 33.1.1.1 0.0.0.0

#

3、交換機SW4的配置:

vlan batch 34 130

#

interface Vlanif34

ip address 34.1.1.4 255.255.255.0

#

interface Vlanif130

ip address 130.1.1.1 255.255.255.0

#

interface GigabitEthernet0/0/1

port link-type access

port default vlan 130

#

interface GigabitEthernet0/0/2

port link-type access

port default vlan 130

#

interface GigabitEthernet0/0/3

port link-type access

port default vlan 34

#

ospf 1 router-id 4.4.4.4

area 0.0.0.0

network 130.1.1.1 0.0.0.0

network 34.1.1.4 0.0.0.0

#

二、防火牆的配置

以FW1的配置為例說明

1、配置各接口IP

2、配置NAT策略

電信的NAT策略:

聯通的NAT策略:

3、配置上網案例策略:

4、配置IP-LINK,也可以在創建默認的路由順便創建

5、配置默認路由

電信和聯通各有一條默認路由

6、配置通向區域網的回程路由

7、配置FW2,過程略,方法同上;

8、在FW1上配置雙機熱備(主)

9、在FW2上配置雙機熱備(備)

三、核心交換機和接入交換機的配置

1、核心交換機CE1的配置

vlan batch 9 to 10

#

stp enable

Stp mode mstp

#

stp region-configuration

region-name test

revision-level 1

instance 1 vlan 9 to 10

#

stp instance 1 root primary

#

interface Vlanif9

description ith

ip address 192.168.9.1 255.255.255.0

vrrp vrid 1 virtual-ip 192.168.9.254

vrrp vrid 1 priority 120

vrrp vrid 1 preempt timer delay 15

vrrp vrid 1 track interface GE1/0/0 reduce 40

#

interface Vlanif10

ip address 192.168.10.1 255.255.255.0

vrrp vrid 2 virtual-ip 192.168.10.254

vrrp vrid 2 priority 120

vrrp vrid 2 track interface GE1/0/0 reduce 40

#

interface GE1/0/0

undo portswitch

undo shutdown

ip address 11.1.1.1 255.255.255.248

#

interface GE1/0/1

undo shutdown

port link-type trunk

port trunk allow-pass vlan all

#

interface GE1/0/2

undo shutdown

port link-type trunk

port trunk allow-pass vlan 9 to 10

#

interface GE1/0/3

undo shutdown

port link-type trunk

port trunk allow-pass vlan 9 to 10

#

ip route-static 0.0.0.0 0.0.0.0 11.1.1.2 preference 50

ip route-static 0.0.0.0 0.0.0.0 13.1.1.2 preference 70

#

2、核心交換機CE2的配置

vlan batch 9 to 10

#

stp enable

Stp mode mstp

#

stp region-configuration

region-name test

revision-level 1

instance 1 vlan 9 to 10

#

stp instance 1 root secondary

#

interface Vlanif9

ip address 192.168.9.2 255.255.255.0

vrrp vrid 1 virtual-ip 192.168.9.254

#

interface Vlanif10

ip address 192.168.10.2 255.255.255.0

vrrp vrid 2 virtual-ip 192.168.10.254

#

interface MEth0/0/0

undo shutdown

#

interface GE1/0/0

undo shutdown

port link-type trunk

port trunk allow-pass vlan 9 to 10

#

interface GE1/0/1

undo shutdown

port link-type trunk

port trunk allow-pass vlan 9 to 10

#

interface GE1/0/2

undo shutdown

port link-type trunk

port trunk allow-pass vlan 9 to 10

#

interface GE1/0/3

undo portswitch

undo shutdown

ip address 13.1.1.1 255.255.255.248

#

ip route-static 0.0.0.0 0.0.0.0 11.1.1.2 preference 70

ip route-static 0.0.0.0 0.0.0.0 13.1.1.2 preference 50

#

3、接入交換機SW1的配置:

vlan batch 9 to 10

#

stp region-configuration

region-name test

revision-level 1

instance 1 vlan 9 to 10

active region-configuration

#

interface Ethernet0/0/1

port link-type trunk

port trunk allow-pass vlan 9 to 10

#

interface Ethernet0/0/2

port link-type trunk

port trunk allow-pass vlan 9 to 10

#

interface Ethernet0/0/3

port link-type access

port default vlan 9

stp edged-port enable

#

interface Ethernet0/0/4

port link-type access

port default vlan 10

stp edged-port enable

#

4、接入交換機SW2的配置

和SW1的配置非常接近,就不再重複貼出來了。

四、災難測試

1、模擬VRRP Master交換機故障

如上圖所示,停止CE1交換機後,上網流量切換到右邊了;

2、模擬防火牆FW1故障

關停防火牆FW1之後,HRP狀態切換了,右側備機切換為激活狀態,上網流量切換到FW2上面了,說明配置正確。

文章來源: https://twgreatdaily.com/zh-mo/5b6a814eb08a1759e7f6c1fb7e244fef.html

10張圖片教會你配置ipsec vpn

2023-12-11

伺服器無法安裝系統以及整個公司不能上網的排查和解決

2023-10-22

FreeSwitch無法撥打電話、電話沒聲音如何解決?

2023-09-05

華為伺服器無法安裝PVE?看我曲線救國

2023-08-31

歷經艱辛修復華為伺服器上崩潰的Proxmox虛擬機

2023-08-25

如何監控分散在不同的區域網內的伺服器和網絡設備?

2023-07-30

無法連接共享印表機?告訴你一個終極方法,簡單快速又穩定

2023-06-21

設置靜態IP就不能聯網,並且還獲取不到正確的IP位址

2023-06-06

伺服器故障,自動郵件報警

2023-06-04

部署雙域控的曲折過程

2023-05-27

做完這個配置,文件傳輸速度飛快

2023-05-01

寬頻升級後,監控畫面全部都沒了?

2023-04-10

已處理證書鏈,但是在不受信任提供程序信任的根證書中終止,軟體無法安裝?

2023-03-27

剛裝上的印表機就無法列印,顯示為脫機狀態,看我如何快速解決

2022-09-30

只能上QQ和微信,卻打不開網頁,這次不是DNS的問題

2022-09-19

所有電腦只能上QQ和微信,這是怎麼回事?

2022-08-18

監控缺失大量畫面,怎麼辦?

2022-08-04

不用模擬器,普通手機也能安裝Windows系統?國產遠控迎來全新升級!

2022-08-03

機房停電必作妖,恢復供電後,硬碟Predictive Fail,更換要講究方法

2022-07-21

如何在作業系統內獲取伺服器的序列號

2022-07-08

郵件伺服器被列入黑名單,如何快速解封?

2022-07-01

Proxmox VE重裝後,如何無損掛載原有的數據盤?

2022-06-20

電腦無法加域,ping域名顯示為公網IP,這是什麼問題?怎麼解決?

2022-06-09

防火牆系統崩潰、文件丟失的修復方法,材料成本0元

2022-06-07