ensp 防火墙配置ldap ensp防火墙的配置

(一)实验简介

如图所示，某公司出口连接两个路由器，以双链路接入Internet，为了保证在链路故障时可以动态调整，FW和两台路由器之间配置双机热备绑定BFD，将FW1为主设备，在出现故障时FW2切换为主设备，从而不影响内网用户正常访问 Internet

网络拓朴结构

(二)实验目的

掌握配置双机热备的方法；

掌握BFD的配置方法；

掌握双机热备与BFD联动的场景配置方法。

(三)实验条件

一台CPU支持VT技术，内存4GB以上的计算机；

安装eNSP模拟器B510版，导入USG6000V镜像；

终端工具：SecuretyCRT，Putty，Psftp，XShell等。

(四)网络拓朴图

打开ENSP软件，按如下拓朴图创建实验环境，设置地址:

LAN地址：192.168.10.0/24；

ISP1地址：10.1.1.0/24；

ISP2地址：10.2.2.0/24；

HRP地址：10.0.0.0/24

Internet地址：10.77.77.0/24；

实验拓朴

(五)配置思路

配置LAN客户机地址，交换机；

配置ISP1,IPS2路由器；

配置Internet客户机的地址，交换机；

配置防火墙的接口，安全域，安全策略；

配置双机热备；

配置BFD；

配置双机热备与BFD联动。

(六)配置步骤

(1)配置LAN的网络

以下为LAN所在网络的客户机PC1的配置

PC1的网络地址

交换机LSW1的配置

The device is running!

system-view //进入系统配置视图

Enter system view, return user view with Ctrl+Z.

[Huawei]sysname LSW1 //修改交换机名为LSW1

[LSW1]

[LSW1]undo info-center enable //关闭信息提示

Info: Information center is disabled.

[LSW1]interface Vlanif 1 //进入vlan接口配置视图

[LSW1-Vlanif1]ip address 192.168.10.254 24 //配置vlan的IP地址

[LSW1-Vlanif1]quit //退出vlan接口配置，返回系统配置视图

[LSW1]

[LSW1]ospf //进入OSPF配置接口，默认ID号为1

[LSW1-ospf-1]area 0 //创建OSPF区域，并进入OSPF区域视图

[LSW1-ospf-1-area-0.0.0.0]network 192.168.10.0 0.0.0.255 //指定接口所在的网段地址，反掩码

[LSW1-ospf-1-area-0.0.0.0]quit //退出OSPF区域，返回OSPF配置视图

[LSW1-ospf-1]quit //退出OSPF配置视图，返回系统配置视图

[LSW1]quit //退出系统配置视图，返回用户视图

save //保存配置

The current configuration will be written to the device.

Are you sure to continue?[Y/N]y

Info: Please input the file name ( *.cfg, *.zip ) [vrpcfg.zip]:

Now saving the current configuration to the slot 0.

Save the configuration successfully.

(2) 配置Internet网络

以下为Internet网络的客户机PC2的配置

PC2的网络地址

交换机LSW2的配置

The device is running!

sys

system-view //进入系统配置视图

Enter system view, return user view with Ctrl+Z.

[Huawei]undo info-center enable //关闭信息提示

Info: Information center is disabled.

[Huawei]sysname LSW2 //修改交换机名为LSW1

[LSW2]int v 1

[LSW2-Vlanif1]ip addr 10.77.77.254 24 //配置vlan的IP地址

[LSW2-Vlanif1]quit //退出vlan接口配置，返回系统配置视图

[LSW2]ospf 1 //进入OSPF配置接口，默认ID号为1

[LSW2-ospf-1]area 0 //创建OSPF区域，并进入OSPF区域视图

[LSW2-ospf-1-area-0.0.0.0]network 10.77.77.0 0.0.0.255 //指定接口所在的网段地址，反掩码

[LSW2-ospf-1-area-0.0.0.0]quit //退出OSPF区域，返回OSPF配置视图

[LSW2-ospf-1]quit //退出OSPF配置视图，返回系统配置视图

[LSW2]quit //退出系统配置视图，返回用户视图

save //保存配置

The current configuration will be written to the device.

Are you sure to continue?[Y/N]y

Info: Please input the file name ( *.cfg, *.zip ) [vrpcfg.zip]:

Now saving the current configuration to the slot 0.

Save the configuration successfully.

(3) 配置ISP1/ISP2的路由器

路由器AR1的配置

The device is running!

system-view //进入系统配置视图

Enter system view, return user view with Ctrl+Z.

[Huawei]undo info-center enable //关闭信息提示

Info: Information center is disabled.

[Huawei]sysname AR1 //修改路由器名为AR1

[AR1]

[AR1]interface GigabitEthernet 0/0/0 //进入接口配置

[AR1-GigabitEthernet0/0/0]ip address 10.1.1.2 24 //配置接口地址

[AR1-GigabitEthernet0/0/0]quit //退出接口配置视图，返回系统视图

[AR1]

[AR1]interface GigabitEthernet 0/0/1 //进入接口配置

[AR1-GigabitEthernet0/0/1]ip address 10.77.77.3 24 //配置接口地址

[AR1-GigabitEthernet0/0/1]quit //退出接口配置视图，返回系统视图

[AR1]

[AR1]ospf

[AR1]ospf 1 //进入OSPF配置接口，默认ID号为1

[AR1-ospf-1]area 0 //创建OSPF区域，并进入OSPF区域视图

[AR1-ospf-1-area-0.0.0.0]

[AR1-ospf-1-area-0.0.0.0]network 10.1.1.0 0.0.0.255 //指定接口所在的网段地

[AR1-ospf-1-area-0.0.0.0]network 10.77.77.0 0.0.0.255 //指定接口所在的网段地

[AR1-ospf-1-area-0.0.0.0]quit //退出OSPF区域，返回OSPF配置视图

[AR1-ospf-1]quit //退出OSPF配置视图，返回系统配置视图

[AR1]quit

save

The current configuration will be written to the device.

Are you sure to continue? (y/n)[n]:y

It will take several minutes to save configuration file, please wait........

Configuration file had been saved successfully

Note: The configuration file will take effect after being activated

路由器AR2的配置

The device is running!

system-view //进入系统配置视图

Enter system view, return user view with Ctrl+Z.

[Huawei]undo info-center enable //关闭信息提示

Info: Information center is disabled.

[Huawei]sysname AR2 //修改路由器名为AR2

[AR2]interface GigabitEthernet 0/0/0 //进入接口配置

[AR2-GigabitEthernet0/0/0]ip address 10.2.2.2 24 //配置接口地址

[AR2-GigabitEthernet0/0/0]quit //退出接口配置视图，返回系统视图

[AR2]interface GigabitEthernet 0/0/1 //进入接口配置

[AR2-GigabitEthernet0/0/1]ip address 10.77.77.4 24 //配置接口地址

[AR2-GigabitEthernet0/0/1]quit //退出接口配置视图，返回系统视图

[AR2]

[AR2]ospf 1 //进入OSPF配置接口，默认ID号为1

[AR2-ospf-1]area 0 //创建OSPF区域，并进入OSPF区域视图

[AR2-ospf-1-area-0.0.0.0]network 10.2.2.0 0.0.0.255 //指定接口所在的网段地

[AR2-ospf-1-area-0.0.0.0]network 10.77.77.0 0.0.0.255 //指定接口所在的网段地

[AR2-ospf-1-area-0.0.0.0]quit //退出OSPF区域，返回OSPF配置视图

[AR2-ospf-1]quit //退出OSPF配置视图，返回系统配置视图

[AR2]quit

save

The current configuration will be written to the device.

Are you sure to continue? (y/n)[n]:y

It will take several minutes to save configuration file, please wait........

Configuration file had been saved successfully

Note: The configuration file will take effect after being activated

(4) 配置防火墙FW1

分别为防火墙的连接各个网络的接口配置IP地址，网关，允许ping

system-view //进入系统配置视图

Enter system view, return user view with Ctrl+Z.

[USG6000V1]undo info-center enable //关闭信息提示

Info: Information center is disabled.

[USG6000V1]sysname FW1 //修改防火墙的设备名为FW1

[FW1]interface GigabitEthernet 1/0/1 //进入GE1/0/1接口

[FW1-GigabitEthernet1/0/1]ip address 192.168.10.253 24 //配置接口的IP地址

[FW1-GigabitEthernet1/0/1]service-manage ping permit //允许PING

[FW1-GigabitEthernet1/0/1]quit //退出接口配置视图，返回系统视图

[FW1]interface GigabitEthernet 1/0/2 //进入GE1/0/2接口

[FW1-GigabitEthernet1/0/2]ip address 10.1.1.1 24 //配置接口的IP地址

[FW1-GigabitEthernet1/0/2]service-manage ping permit //允许PING

[FW1-GigabitEthernet1/0/2]quit //退出接口配置视图，返回系统视图

[FW1]interface GigabitEthernet 1/0/3 //进入GE1/0/3接口

[FW1-GigabitEthernet1/0/3]ip address 10.0.0.1 24 //配置接口的IP地址

[FW1-GigabitEthernet1/0/3]service-manage ping permit //允许PING

[FW1-GigabitEthernet1/0/3]quit //退出接口配置视图，返回系统视图

[FW1]firewall zone trust //进入安全域trust配置

[FW1-zone-trust]add interface GigabitEthernet 1/0/1 //把GE1/0/1加入安全域

[FW1-zone-trust]quit //退出安全域配置视图，返回系统视图

[FW1]firewall zone untrust //进入安全域untrust配置

[FW1-zone-untrust]add interface GigabitEthernet 1/0/2 //把GE1/0/2加入安全域

[FW1-zone-untrust]quit //退出安全域配置视图，返回系统视图

[FW1]firewall zone dmz //进入安全域dmz配置

[FW1-zone-dmz]add interface GigabitEthernet 1/0/3 //把GE1/0/3加入安全域

[FW1-zone-dmz]quit //退出安全域配置视图，返回系统视图

[FW1]

[FW1]security-policy //进入安全策略配置视图

[FW1-policy-security]rule name lan_isp //创建名lan_isp的规则

[FW1-policy-security-rule-lan_isp]source-zone local trust //设置源安全域

[FW1-policy-security-rule-lan_isp]destination-zone local untrust //设置目的安全域

[FW1-policy-security-rule-lan_isp]action permit //允许匹配规则的流量通过

[FW1-policy-security-rule-lan_isp]quit //退出规则视图，返回安全策略视图

[FW1-policy-security]rule name hrp_check //创建名hrp_check的规则

[FW1-policy-security-rule-hrp_check]source-zone local dmz //设置源安全域

[FW1-policy-security-rule-hrp_check]destination-zone dmz local //设置目的安全域

[FW1-policy-security-rule-hrp_check]action permit //允许匹配规则的流量通过

[FW1-policy-security-rule-hrp_check]quit //退出规则视图，返回安全策略视图

[FW1-policy-security]dis this //查看当前配置结果

#

security-policy

rule name lan_isp

source-zone trust

destination-zone untrust

action permit

rule name hrp_check

source-zone local

source-zone dmz

destination-zone local

destination-zone dmz

action permit

#

return

[FW1-policy-security]quit //退出安全策略配置视图，返回系统视图

[FW1]ospf 1 //进入OSPF配置接口，默认ID号为1

[FW1-ospf-1]area 0 //创建OSPF区域，并进入OSPF区域视图

[FW1-ospf-1-area-0.0.0.0]network 192.168.10.0 0.0.0.255 //指定接口所在的网段地

[FW1-ospf-1-area-0.0.0.0]network 10.1.1.0 0.0.0.255 //指定接口所在的网段地

[FW1-ospf-1-area-0.0.0.0]network 10.0.0.0 0.0.0.255 //指定接口所在的网段地

[FW1-ospf-1-area-0.0.0.0]quit //退出OSPF区域，返回OSPF配置视图

[FW1-ospf-1]quit //退出OSPF配置视图，返回系统配置视图

[FW1]

[FW1]hrp adjust ospf-cost enable //动根据主备状态调整OSPF-COST值功能

[FW1]hrp interface GigabitEthernet 1/0/3 remote 10.0.0.2 //创建备份双机间数据的通道接口

[FW1]hrp mirror session enable //启动会话快速备份功能

[FW1]bfd //启用BFD功能，并进入BFD全局视图

[FW1-bfd]quit //退出BFD配置视图，返回系统配置视图

[FW1]bfd 1 bind peer-ip 10.1.1.2 //创建BFD会话绑定，并生成BFD会话

[FW1-bfd-session-1]

[FW1-bfd-session-1]discriminator local 8001 //配置当前BFD会话的本地标识符

[FW1-bfd-session-1]discriminator remote 8002 //配置当前BFD会话的远端标识符

[FW1-bfd-session-1]commit //提交BFD会话配置

[FW1-bfd-session-1]quit //退出BFD会话配置，返回系统配置视图

[FW1]

[FW1]

(5) 配置防火墙FW2

sys

system-view //进入系统配置视图

Enter system view, return user view with Ctrl+Z.

[USG6000V1]undo info-center enable //关闭信息提示

Info: Information center is disabled.

[USG6000V1]sysname FW2 //修改防火墙的设备名为FW2

[FW2]

[FW2]interface GigabitEthernet 1/0/1 //进入GE1/0/1接口

[FW2-GigabitEthernet1/0/1]ip addr 192.168.10.252 24 //配置接口的IP地址

[FW2-GigabitEthernet1/0/1]service-manage ping permit //允许PING

[FW2-GigabitEthernet1/0/1]quit //退出接口配置视图，返回系统视图

[FW2]interface GigabitEthernet 1/0/2 //进入GE1/0/2接口

[FW2-GigabitEthernet1/0/2]ip address 10.2.2.1 24 //配置接口的IP地址

[FW2-GigabitEthernet1/0/2]service-manage ping permit //允许PING

[FW2-GigabitEthernet1/0/2]quit //退出接口配置视图，返回系统视图

[FW2]interface GigabitEthernet 1/0/3 //进入GE1/0/3接口

[FW2-GigabitEthernet1/0/3]ip address 10.0.0.2 24 //配置接口的IP地址

[FW2-GigabitEthernet1/0/3]service-manage ping permit //允许PING

[FW2-GigabitEthernet1/0/3]quit //退出接口配置视图，返回系统视图

[FW2]

[FW2]

[FW2]firewall zone trust //进入安全域trust配置

[FW2-zone-trust]add interface GigabitEthernet 1/0/1 //把GE1/0/1加入安全域

[FW2-zone-trust]quit //退出安全域配置视图，返回系统视图

[FW2]firewall zone untrust //进入安全域untrust配置

[FW2-zone-untrust]add interface GigabitEthernet 1/0/2 //把GE1/0/2加入安全域

[FW2-zone-untrust]quit //退出安全域配置视图，返回系统视图

[FW2]firewall zone dmz //进入安全域dmz配置

[FW2-zone-dmz]add interface GigabitEthernet 1/0/3 //把GE1/0/3加入安全域

[FW2-zone-dmz]quit //退出安全域配置视图，返回系统视图

[FW2]

[FW2]security-policy //进入安全策略配置视图

[FW2-policy-security]rule name lan_isp //创建名lan_isp的规则

[FW2-policy-security-rule-lan_isp]source-zone local trust //设置源安全域

[FW2-policy-security-rule-lan_isp]destination-zone local untrust //设置目的安全域

[FW2-policy-security-rule-lan_isp]action permit //允许匹配规则的流量通过

[FW2-policy-security-rule-lan_isp]quit

[FW2-policy-security]rule name hrp_check //创建名hrp_check的规则

[FW2-policy-security-rule-hrp_check]source-zone local dmz //设置源安全域

[FW2-policy-security-rule-hrp_check]destination-zone local dmz //设置目的安全域

[FW2-policy-security-rule-hrp_check]action permit //允许匹配规则的流量通过

[FW2-policy-security-rule-hrp_check]quit

[FW2-policy-security]quit

[FW2]

[FW2]ospf 1 //进入OSPF配置接口，默认ID号为1

[FW2-ospf-1]area 0 //创建OSPF区域，并进入OSPF区域视图

[FW2-ospf-1-area-0.0.0.0]network 192.168.10.0 0.0.0.255 //指定接口所在的网段地

[FW2-ospf-1-area-0.0.0.0]network 10.2.2.0 0.0.0.255 //指定接口所在的网段地

[FW2-ospf-1-area-0.0.0.0]network 10.0.0.0 0.0.0.255 //指定接口所在的网段地

[FW2-ospf-1-area-0.0.0.0]quit //退出OSPF区域，返回OSPF配置视图

[FW2-ospf-1]quit //退出OSPF配置视图，返回系统配置视图

[FW2]

[FW2]

[FW2]hrp adjust ospf-cost enable //动根据主备状态调整OSPF-COST值功能

[FW2]hrp interface GigabitEthernet 1/0/3 remote 10.0.0.1 //创建备份双机间数据的通道接口

[FW2]hrp mirror session enable //启动会话快速备份功能

[FW2]

[FW2]bfd //启用BFD功能，并进入BFD全局视图

[FW2-bfd]quit //退出BFD配置视图，返回系统配置视图

[FW2]bfd 1 bind peer-ip 10.1.1.2 //创建BFD会话绑定，并生成BFD会话

[FW2-bfd-session-1]discriminator local 8003 //配置当前BFD会话的本地标识符

[FW2-bfd-session-1]discriminator remote 8004 //配置当前BFD会话的远端标识符

[FW2-bfd-session-1]commit //提交BFD会话配置

[FW2-bfd-session-1]quit //退出BFD会话配置，返回系统配置视图

[FW2]

[FW2]

(6) 配置路由器的BFD

路由器AR1的BFD

sys

system-view

Enter system view, return user view with Ctrl+Z.

[AR1]bfd //启用BFD功能，并进入BFD全局视图

[AR1-bfd]quit //退出BFD配置视图，返回系统配置视图

[AR1]

[AR1]bfd 1 bind peer-ip 10.1.1.1 //创建BFD会话绑定，并生成BFD会话

[AR1-bfd-session-1]discriminator local 8002 //配置当前BFD会话的本地标识符

[AR1-bfd-session-1]discriminator remote 8001 //配置当前BFD会话的远端标识符

[AR1-bfd-session-1]commit //提交BFD会话配置

[AR1-bfd-session-1]quit //退出BFD会话配置，返回系统配置视图

[AR1]

[AR1]

路由器AR2的BFD

sys

system-view

Enter system view, return user view with Ctrl+Z.

[AR2]bfd //启用BFD功能，并进入BFD全局视图

[AR2-bfd]quit //退出BFD配置视图，返回系统配置视图

[AR2]bfd 1 bind peer-ip 10.2.2.1

[AR2-bfd-session-1]discriminator local 8004 //配置当前BFD会话的本地标识符

[AR2-bfd-session-1]discriminator remote 8003 //配置当前BFD会话的远端标识符

[AR2-bfd-session-1]commit //提交BFD会话配置

[AR2-bfd-session-1]quit //退出BFD会话配置，返回系统配置视图

[AR2]

(7) 配置

(8)运行防火墙HRP

防火墙FW1运行，

[FW1]hrp enable

HRP_M[FW1]

防火墙FW2运行，

[FW2]hrp enable

HRP_S[FW2]

(8) 测试

用PING命令测试通讯链路，关闭链路中的设备，观察通讯的可靠性

(七)参考资料

PS:

文档由炖冬瓜用Markdown语言编写，输出PDF或HTML。