- 综合排序
- 最热优先
- 最新优先
- 来自专栏用户9757876的专栏
两台华为防火墙双出口冗余,配置为主备模式
两台华为的防火墙,fw1为主,fw2为备;两台华为核心交换机,没有采用堆叠技术,而是采用VRRP技术进行配置。 三、防火墙配置下行链路 1、FW1的配置: [FW1]vlan 111 [FW1]int vlan 111 [FW1-Vlanif111]ip add 172.16.111.11 24 [FW1-Vlanif111 /0/0]q [FW1]firewall zone trust [FW1-zone-trust]undo add int g1/0/0 [FW1-zone-trust]q [FW1]firewall zone 默认standy设备不可以自行管理,必须从master设备同步配置 [FW1]hrp auto-sync config //开启配置命令和会话的自动同步,这个同步是相互的 [FW1]hrp mirror session enable //设置session的快速备份 [FW1]hrp timer hello 1000 //心跳线keepalive周期1sec,单位msec,默认就是1s一次 [FW1]
2.3K10编辑于 2022-05-18 - 来自专栏释然IT杂谈
【干货】思科ASA防火墙上配置透明模式的Failover Active/Acitve
配置和fw2配置,其中fw2配置很少,主要在fw1上配置。 fw1(config)#failover group 1 fw1(config-fover-group)#primary fw1(config-fover-group)#preempt fw1(config fw1(config)#context vfw1 fw1(config-ctx)#allocate-interface e0/0 fw1(config-ctx)#allocate-interface e0 ⒉正常状态下测试: 当fw1和fw2上的failover active/active配置成功后,无论是在fw1还是fw2上查看到的正常信息如图-3、图-4所示: 图-3 fw1上看到的正常的failover 图-7 人为关掉sw1上的e0/0 稍等一会,则fw1上的vfw1会发生切换,即fw1上的状态全为standby/standby,而fw2上的状态为active/active, 图-8 fw1上的failover
1.3K10编辑于 2022-10-27 - 来自专栏网络技术联盟站
F1060 L2TP V**典型组网配置案例(独立LAC与客户LAC共存)
FW1为内网的出口设备,提供内网的NAT地址转换服务。 FW1与FW2建立L2TP V**隧道,采用独立LAC模式、FW1为LNS,FW2为LAC FW1与物理机建立L2TP V**隧道,采用客户LAC模式、FW1为LNS,物理机为LAC 配置步骤 按照网络拓扑图正确配置 IP地址 FW2配置NAT地址转换,并配置默认路由指向ISP FW1配置NAT地址转换,并配置默认路由指向ISP FW2配置为L2TP V** LAC端点 FW1配置为L2TP V** LNS端点 SW1 ]ip pool ninglihua 172.16.100.2 172.16.100.254 [FW1]ip pool ninglihua gateway 172.16.100.1 [FW1]int 查看FW1的L2TP显示信息: ? ? 查看FW1分配出去的IP地址: ? ? 至此,F1060 L2TP V**典型组网配置案例(独立LAC与客户LAC共存)已完成!
99200发布于 2020-03-16 - 来自专栏释然IT杂谈
【干货】思科ASA防火墙上配置透明模式的Failover Active/Acitve
配置和fw2配置,其中fw2配置很少,主要在fw1上配置。 由于failover active/active配置后,两台物理防火墙会自动同步配置,会导致物理防火墙fw2上的提示符和物理防火墙fw1是一模一样的,不便于查看,故必须在fw1上修改提示符。 standby状态,许多初学者会以为自己配置不正确引发的,处理方法是在物理防火墙fw1和fw2上保存配置,然后关闭并重启fw1和fw2,等再次启动后,常会正常,如果还不正常,则采用关闭监控链路的方法调整 ⒉正常状态下测试: 当fw1和fw2上的failover active/active配置成功后,无论是在fw1还是fw2上查看到的正常信息如图-3、图-4所示: 图-3 fw1上看到的正常的failover 图-7 人为关掉sw1上的e0/0 稍等一会,则fw1上的vfw1会发生切换,即fw1上的状态全为standby/standby,而fw2上的状态为active/active, 图-8 fw1上的failover
1.6K30发布于 2021-11-16 - 来自专栏网络技术联盟站
实战 | F1060路由模式典型组网配置案例(静态路由)
为了实现PC之间能够相互通信,因此需要分别在R1、R2、FW1采用三层互联,同时FW1采用路由模式,最终实现PC之间能够相互PING通。 配置步骤 1、按照网络拓扑图正确配置IP地址 2、R1、FW1、R2之间采用三层互联 3、R1、FW1、R2之间采用静态路由协议实现互通。 [H3C]sysname FW1 [FW1]acl basic 2002 [FW1-acl-ipv4-basic-2002]rule 0 permit source any [FW1-acl-ipv4 ]packet-filter 2002 [FW1-zone-pair-security-Trust-Untrust]quit [FW1] [FW1]zone-pair security source 2002 [FW1-zone-pair-security-Trust-Local]quit [FW1] [FW1]zone-pair security source local destination
2K20发布于 2020-05-14 - 来自专栏网络技术联盟站
实战 | F1060路由模式ISIS典型组网配置案例
为了实现PC之间能够相互通信,因此需要分别在R1、R2、FW1采用三层互联,同时FW1采用路由模式,最终实现PC之间能够相互PING通。 配置步骤 按照网络拓扑图正确配置IP地址 R1、FW1、R2之间采用三层互联 R1、FW1、R2之间采用ISIS路由协议实现互通。 [H3C]sysname FW1 [FW1]acl basic 2002 [FW1-acl-ipv4-basic-2002]rule 0 permit source any [FW1-acl-ipv4 ]packet-filter 2002 [FW1-zone-pair-security-Trust-Untrust]quit [FW1] [FW1]zone-pair security source 2002 [FW1-zone-pair-security-Trust-Local]quit [FW1] [FW1]zone-pair security source local destination
90910发布于 2020-04-10 - 来自专栏网络技术联盟站
实战 | F1060路由模式典型组网配置案例(RIP)
为了实现PC之间能够相互通信,因此需要分别在R1、R2、FW1采用三层互联,同时FW1采用路由模式,最终实现PC之间能够相互PING通。 配置步骤 1、按照网络拓扑图正确配置IP地址 2、R1、FW1、R2之间采用三层互联 3、R1、FW1、R2之间采用RIP路由协议实现互通。 [H3C]sysname FW1 [FW1]acl basic 2002 [FW1-acl-ipv4-basic-2002]rule 0 permit source any [FW1-acl-ipv4 ]packet-filter 2002 [FW1-zone-pair-security-Trust-Untrust]quit [FW1] [FW1]zone-pair security source 2002 [FW1-zone-pair-security-Trust-Local]quit [FW1] [FW1]zone-pair security source local destination
75330发布于 2020-05-14 - 来自专栏网络技术联盟站
F1060 L2TP V**典型组网配置案例(独立LAC与客户LAC共存)
1、FW1为内网的出口设备,提供内网的NAT地址转换服务。 2、FW1与FW2建立L2TP V**隧道,采用独立LAC模式、FW1为LNS,FW2为LAC 3、FW1与物理机建立L2TP V**隧道,采用客户LAC模式、FW1为LNS,物理机为LAC 配置步骤 1、按照网络拓扑图正确配置IP地址 2、FW2配置NAT地址转换,并配置默认路由指向ISP 3、FW1配置NAT地址转换,并配置默认路由指向ISP 4、FW2配置为L2TP V** LAC端点 5、FW1 ]ip pool ninglihua 172.16.100.2 172.16.100.254 [FW1]ip pool ninglihua gateway 172.16.100.1 [FW1]int 查看FW1的L2TP显示信息: ? ? 查看FW1分配出去的IP地址: ? ? 至此,F1060 L2TP V**典型组网配置案例(独立LAC与客户LAC共存)已完成!
95130发布于 2020-05-26 华为防火墙配置笔记
> system-view // 进入系统视图 [FW1] sysname FW1 // 给防火墙命名 [FW1] undo info-center enable // 关闭日志弹出功能 [FW1] quit <FW1> language-mode Chinese // 将提示修改为中文 <FW1> system-view [FW1] web-manager enable // 开启图形管理界面 [FW1] interface <FW1> system-view [FW1] telnet server enable // 开启Telnet支持 [FW1] interface 关闭日志弹出功能 [FW1] quit <FW1> language-mode Chinese // 将提示修改为中文 [FW1] web-manager
2.2K31编辑于 2022-12-28- 来自专栏网络技术联盟站
F1060 IPSEC典型组网配置案例(NAT穿越)
在网络拓扑图中存在子网1和子网2.为了保障子网1和子网2相互传输数据的安全性,因此需要在FW1与FW2采用建立IPSEC V**隧道,由于FW1的出接口地址不固定且ISP为子网1的NAT设备,因此采用IKE 配置步骤 1、按照网络拓扑图正确配置IP地址 2、ISP配置NAT 3、FW1与FW2的互联接口加入安全域,并放通域间策略 4、FW1与FW2建立IPSEC V**隧道,采用IKE野蛮模式 配置关键点 [FW1-GigabitEthernet1/0/2]quit [FW1]ip route-static 0.0.0.0 0.0.0.0 202.1.100.1 [FW1]security-zone 2001 [FW1-zone-pair-security-Trust-Local]quit [FW1] [FW1]zone-pair security source local destination 0.0.0.255 destination 172.16.1.0 0.0.0.255 [FW1-acl-ipv4-adv-3000]quit [FW1]ike identity fqdn fw1
2.3K21发布于 2020-03-12 - 来自专栏释然IT杂谈
【干货】华为防火墙配置命令大全,带案例,相当详细的!
] sysname FW1 // 给防火墙命名 [FW1] undo info-center enable // 关闭日志弹出功能 [FW1] quit language-mode Chinese / system-view [FW1] web-manager enable // 开启图形管理界面 [FW1] interface GigabitEthernet 0/0/0 [FW1-GigabitEthernet0 FW1> system-view [FW1] telnet server enable // 开启Telnet支持 [FW1] interface GigabitEthernet 0/0/0 // 选择配置接口 [FW1] display ip interface brief // 查默认接口信息 [FW1] display ip routing-table // 显示路由表 [FW1] display zone // 给防火墙命名 [FW1] undo info-center enable // 关闭日志弹出功能 [FW1] quit language-mode Chinese // 将提示修改为中文 [FW1
8.1K30发布于 2021-11-16 - 来自专栏网络技术联盟站
实战 | F1060 IPV6 BGP4+与静态路由重分布典型组网配置案例
FW1与FW2运行BGP4+路由协议 3. FW2与FW3运行静态路由协议 4. [H3C]sysname FW1 [FW1]acl ipv6 basic 2001 [FW1-acl-ipv6-basic-2001]rule 0 permit source any [FW1-acl-ipv6 ]packet-filter ipv6 2001 [FW1-zone-pair-security-Trust-Untrust]quit [FW1] [FW1]zone-pair security ipv6 2001 [FW1-zone-pair-security-Trust-Local]quit [FW1] [FW1]zone-pair security source local destination 分别查看FW1、FW2的BGP4+邻居信息: ? ?
1.1K20发布于 2020-05-19 - 来自专栏网络技术联盟站
IPV4 over IPV6 over ssl vpn典型组网配置
[H3C]sysname FW1 [FW1]int gi 1/0/2 [FW1-GigabitEthernet1/0/2]des [FW1-GigabitEthernet1/0/2]ip address 10.0.0.1 30 [FW1-GigabitEthernet1/0/2]quit [FW1]ip route-static 0.0.0.0 0.0.0.0 10.0.0.2 [FW1]security-zone 2001 [FW1-zone-pair-security-Trust-Untrust]quit [FW1] [FW1]zone-pair security source untrust destination 2001 [FW1-zone-pair-security-Trust-Local]quit [FW1] [FW1]zone-pair security source local destination 2001 [FW1-zone-pair-security-Untrust-Local]quit [FW1] [FW1]zone-pair security source local destination
2K10发布于 2020-05-26 - 来自专栏网络技术联盟站
F1060 IPSEC+IKE野蛮模式典型组网配置案例
在网络拓扑图中存在子网1和子网2.为了保障子网1和子网2相互传输数据的安全性,因此需要在FW1与FW2采用建立IPSEC V**隧道,由于FW1的出接口地址不固定,因此采用IKE野蛮模式。 配置步骤 按照网络拓扑图正确配置IP地址 FW1与FW2的互联接口加入安全域,并放通域间策略 FW1与FW2建立IPSEC V**隧道,采用IKE野蛮模式 配置关键点 ISP: sys System [FW1-GigabitEthernet1/0/2]quit [FW1]ip route-static 0.0.0.0 0.0.0.0 202.1.100.1 [FW1]security-zone 2001 [FW1-zone-pair-security-Trust-Local]quit [FW1] [FW1]zone-pair security source local destination 0.0.0.255 destination 172.16.1.0 0.0.0.255 [FW1-acl-ipv4-adv-3000]quit [FW1]ike identity fqdn fw1
1.4K31发布于 2020-03-12 - 来自专栏网络技术联盟站
F1060 ipv4 over ipv4隧道典型组网配置案例
[H3C]sysname FW1 [FW1]int gi 1/0/3 [FW1-GigabitEthernet1/0/3]ip address 192.168.1.1 24 [FW1-GigabitEthernet1 ]rule 0 permit source any [FW1-acl-ipv4-basic-2001]quit [FW1] [FW1]zone-pair security source trust 2001 [FW1-zone-pair-security-Untrust-Trust]quit [FW1] [FW1]zone-pair security source trust destination 2001 [FW1-zone-pair-security-Local-Trust]quit [FW1] [FW1]zone-pair security source untrust destination 第二阶段调试(IPV4 OVER IPV4关键配置点): FW1: [FW1]int Tunnel 0 mode ipv4-ipv4 [FW1-Tunnel0]ip address 123.0.0.1
94010发布于 2020-03-12 - 来自专栏网络技术联盟站
华为 Ensp 实现 IPSec 单向连接
问题描述客户在两台防火墙之间建立IPSec VPN,经测试发现FW2下的用户R3可以ping通FW1下的用户R2,反之则不行。图片故障定位检查FW1上的IKE SA和IPSec SA,结果是正常的。 图片在R2上Ping R3,查看FW1上的会话表,确认FW1是否丢弃流量。 图片该接口下没有IPSec策略配置由于FW1和FW2之间的IPSec VPN建立正确,所以在g1/0/1接口下没有应用IPSec策略配置。检查接口 g1/0/0 配置。 查看FW1上的路由表,发现防火墙上有两条默认路由,R2到R3的流量hash到g1/0/1接口,而IPSec VPN建立在g1/0/接口0。 在 FW1 上配置静态路由,明确指定到 R3 的下一跳为 10.1.11.2,使流量通过接口 g1/0/0 转发。
1.6K20编辑于 2022-06-09 - 来自专栏网络技术联盟站
F1060 GRE OVER IPSEC典型组网配置案例
FW1与FW2均为各自内网的出口设备,提供NAT地址转换的服务。 为了内网1和内网2能跨越外网实现通信,因为在FW1和FW2之间采用GRE V**建立隧道,同时为了保证数据传输的安全性,将ipsec嵌入到GRE V**隧道中。 配置步骤 1、按照网络拓扑图正确配置IP地址 2、FW1配置NAT,并配置默认路由指向ISP 3、FW2配置NAT,并配置默认路由指向ISP 4、FW1与FW2建立GRE V**隧道 5、在GRE V* *隧道的基础上在嵌套IPSEC 配置关键点 F1060 GRE OVER IPSEC关键配置点如下所示,全部配置过程及测试结果的详情见附件: GRE OVER IPSEC关键配置点: FW1: [FW1 permit ip source 192.168.1.0 0.0.0.255 destination 172.16.1.0 0.0.0.255 [FW1-acl-ipv4-adv-3000]quit [FW1
1K10发布于 2020-03-12 - 来自专栏nginx遇上redis
跨网段双机热备
10.100.10.1/24 (2)Untrust域对应的VRRP组虚拟IP地址为202.38.10.1/24 (3)dmz域对应的VRRP组虚拟IP地址为10.100.20.1/24 具体配置如下: FW1 操作步骤: 1.配置端口IP [FW1]interface GigabitEthernet 0/0/1 [FW1-GigabitEthernet0/0/1] ip address 10.100.10.2 24 [FW1-GigabitEthernet0/0/1]quit [FW1]interface GigabitEthernet0/0/2 [FW1-GigabitEthernet0/0/2] ip 的域间防火墙策略会自动同步到FW2 HRP_M [FW1] hrp auto-sync config 7.配置TURST区域到非信任区域的域间防火墙策略 HRP_M [FW1]policy interzone nat-policy-interzone-trust-untrust-outbound-1]quit 9.在FW1和FW2上添加静态路由 HRP_M [FW1] ip route-static 192.168.1.0
3.6K20编辑于 2021-12-08 - 来自专栏小手冰凉
华为防火墙VRRP双机热备的原理及配置
从上图中可以看出,正常情况下PC去往外部网络的数据包通过备份组1的master设备(FW1)转发,外部网络返回的数据包由备份组2的master设备(FW1)转发,但是当FW1的G1/0/0接口出现故障时 PC发起的数据包由备份组1的master设备(FW2)进行转发,而备份组2的状态没有发生任何改变(FW1的G1/0/1接口正常工作),所以由外部网络返回的流量仍然由备份组2的master设备(FW1转发 ),显然,因为FW1的接口G1/0/0故障,数据包无法继续转发。 需求如下: LSW1和LSW2是二层交换机,FW1、FW2、LSW1、LSW2组成双机热备网络,正常情况下,PC1发起的访问R1的流量通过FW1转发,当FW1出现故障时,在PC1不做任何调整的前提下,可以自动通过 --配置备份方式为自动备份--> 至此,FW1的配置暂时就完成了。
5.4K41发布于 2019-11-01 - 来自专栏python3
h3c防火墙自动建立×××
[fw1] ike local-name fw1 # 配置acl。 0.0.0.255 #配置默认路由到internet [fw1]ip route 0.0.0.0 0 3.3.3.1 # 配置IKE对等体peer。 [FW1] ipsec proposal prop /配置IPSec安全提议 [FW1-ipsec-proposal-prop] encapsulation-mode tunnel /提议走隧道 [FW1] ipsec policy policy 10 isakmp # 配置安全策略policy引用ike对等体peer。 [FW1] interface Ethernet0/3 [FW1-Ethernet0/3] ip address 3.3.3.3 255.255.255.0 # 配置E0/3引用安全策略组policy
62940发布于 2020-01-14
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号