华为USG9500高端防火墙智能选路和负载均衡技术白皮书
资料编码
华为USG9500高端防火墙
智能选路和负载均衡技术白皮书
文档版本V1.0
发布日期201402
版权所有? 华为技术有限公司2009。保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
商标声明
和其他华为商标均为华为技术有限公司的商标。
本文档提及的其他所有商标或注册商标,由各自的所有人拥有。
注意
您购买的产品、服务或特性等应受华为公司商业合同和条款的约束,本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。除非合同另有约定,华为公司对本文档内容不做任何明示或默示的声明或保证。
由于产品版本升级或其他原因,本文档内容会不定期进行更新。除非另有约定,本文档仅作为使用指导,本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。
华为技术有限公司
地址:深圳市龙岗区坂田华为总部办公楼邮编:518129
网址:https://www.360docs.net/doc/ac588241.html,
客户服务邮箱:support@https://www.360docs.net/doc/ac588241.html,
客户服务电话:4008302118
目录
1应用场景 (4)
2负载均衡技术介绍 (4)
2.1智能选路负载均衡技术 (4)
2.1.1 最小时延负载均衡 (4)
2.1.2 路由权重负载均衡 (6)
2.1.3 链路带宽负载均衡 (7)
2.2内置ISP路由选路 (8)
2.3出站透明DNS代理 (9)
2.4智能DNS (10)
2.5服务器负载均衡 (14)
3组网应用 (16)
3.1企业出口多ISP选路 (16)
3.2企业出口ISP多链路备份 (17)
3.3企业内部服务器负载均衡 (19)
1 应用场景
随着业务发展的需要,许多企业通常会在网络出口部署多条链路以等值负载分担的方式来分担出接口流量,虽然在一定程度上提升了网络的稳定性和可
靠性,但是等值负载分担不会考虑链路的带宽差异,只是把流量在每条链路上
进行简单的平分,这样就可能会导致某些带宽性能较高的链路出现空闲,而某
些带宽性能较低的链路出现堵塞的情况。为了保证链路带宽的更充分、更合理
的利用,我们需要根据现网的实际情况考虑链路带宽的分配。
业务选择哪条链路转发更加合适?如某些业务从A链路转发比从B链路转发更迅速,而另外一些业务与之相反,是从B链路转发比从A链路转发要快。
链路质量是否存在差异?如业务从A链路转发的总体效果比B链路要好。
链路带宽是否存在差异?如A链路是高速链路,B链路是低速链路。
从方向上来区分,就产生了2种智能选路场景,一是出站智能选路,企业网络出口多链路之间的选路;一是入站负载均衡,对内部的服务器做流量负载。
出站智能选路:企业从不同运用商获得多条出口链路,链路的带宽、质量等都有所不通,怎样才能保证大部分用户的最佳访问效果,保证每个链路
带宽最大限度的利用,是规划链路资源需要考虑的问题;
入站负载均衡:内部网络多个服务器之间的负载均衡,保证流量较平均地分配到各个服务器上,避免出现一个服务器满负荷运转、另一个服务器却
空闲的情况。
2 负载均衡技术介绍
2.1 智能选路负载均衡技术
2.1.1最小时延负载均衡
企业从不同运营商获得多条出口链路,几条链路的总带宽足够企业用户使
用,此时企业需要考虑的是用户业务流量从哪条链路转发的效果最好,用户访
问外网不同服务时选择哪条链路体验最佳。最小时延负载均衡工作模式,是通
过对比从不同链路访问外网服务器的时延大小,最终确定最优访问链路,可以
很好的满足这种场景的应用。如图1所示。
访问服务器A时,因为链路A的时延最小,因此流量从出接口GE1/0/0访问服务器A,如果链路A的流量带宽达到设置的阈值,后续访问服务器A的流量会选择第二小的时延链路,也就是图1中的链路B,最后是链路C。
访问服务器B时,因为链路B的时延最小,因此流量从出接口GE1/0/1访问服务器B,如果链路B的流量带宽达到设置的阈值,后续访问服务器B的流量会选择第二小的时延链路,也就是图1中的链路C,最后是链路A。
访问服务器C时,因为链路C的时延最小,因此流量从出接口GE1/0/2访问服务器C,如果链路C的流量带宽达到设置的阈值,后续访问服务器C的流量会选择第二小的时延链路,也就是图1中的链路A,最后是链路B。
图1 最小时延负载均衡应用场景图
最小时延负载均衡主要应用在用户上网体验要求较高的多出口场景,用户流量根据系统探测的链路转发时延大小,选择时延最小的链路转发,让用户体
验到最佳的访问效果。除此之外,管理员还可以根据网络实际情况的需要,静
态设置某些固定的访问从管理员要求的链路转发,这样可以更加灵活的控制流
量走向,让流量负载较小的链路分担部分流量负载过大链路的压力。
2.1.2路由权重负载均衡
企业从不同运用商获得多条出口链路,其中连接ISPA的链路稳定性最高,业务转发整体效果最好,其次是链路B,最差的是链路C。路由权重负载均衡模
式是通过在每条链路上设置路由权重值,根据权重值的比例来分配用户流量,
能够满足此种多出口场景的应用,如图2所示。
链路A设置的路由权重为50,占整个权重的一半,所以企业用户访问外网的流量一半分配到链路A进行转发。如果链路A上的带宽流量达到设置的阈值,则后续流量会按照其它空闲链路的权重比例重新分配。
链路B设置的路由权重为30,所以经过链路B转发的业务流量占到总体流量的30%。
如果链路B上的带宽流量达到设置的阈值,则后续流量会按照其它空闲链路的权重比例重新分配。
链路C设置的路由权重为20,所以经过链路C转发的业务流量最少,只占到总体流量的20%。如果链路C上的带宽流量达到设置的阈值,则后续流量会按照其它空闲链路的权重比例重新分配。
注意:
流量的分配是按照每条链路设置的权重比例来分配的,如果链路A、链路B、链路C分别设置的权重为60、30和60,那么流量的分配是按照2:1:2的比例来
分配的。
图2 路由权重负载均衡应用场景图
路由权重负载均衡主要应用在链路质量存在差异的多出口场景,质量最优的链路分担的流量最多,这样可以在最大程度上保证大部分用户的访问效果,
且不浪费其它链路的带宽。
2.1.3链路带宽负载均衡
企业从不同运用商获得多条出口链路,但链路的物理带宽不一样,每条链路租用的带宽也不一样。为保证每个链路带宽最大限度的利用,可以选择链路
带宽负载均衡模式来分配带宽流量,链路带宽负载均衡是指当存在多条路由优
先级相同但物理带宽不同的链路时,用户流量按照物理带宽的比例分配到每条
链路上,当每条链路的承载到达了用户配置带宽阈值后,流量转发到其他空闲
链路上。如USG9000与ISP1用1GE物理链路连接,用户租用了ISP1的100M带宽,
那么物理带宽就是1G,用户配置带宽就是100M。如图3所示。三条链路中两条
是通过GE接口连接的,另外一条是通过10GE接口连接的,流量分配的比例为1:
1:10,三条链路的用户带宽阈值分布为100M,100M,500M。
正常情况下,链路A、B、C按照1:1:10的比例分配会话,同时USG9000监控每条链路的实际带宽,如当A链路的带宽达到配置的带宽阈值100M时,而
B、C链路未达到100M和500M,则新建会话的流量会按照物理带宽比例1:10
负载分担给B、C链路。
图3 链路带宽负载均衡应用场景图
链路带宽负载均衡主要应用在链路物理带宽存在差异的多出口场景,流量的分配是按照链路物理带宽的比例来分配的,这样可以保证高速链路的最大利
用,且不浪费其它链路的带宽。
2.2 内置ISP路由选路
如下图所示的等价路由多出口场景中,如果访问ISPB的流量从连接ISPA的出接口上发送,则会影响报文转发效率。用户通过USG9000访问Server,USG9000
会随机分配用户流量从不同的出接口转发,这就有可能出现下图所示的链路1
和里链路2两条链路,而链路2才是用户所期望的路线。
通过ISP路由选路功能可以保证访问特定ISP网络的用户报文从相应的出接口转发出去,让用户流量总是从最短路径转发,提升了用户的访问体验。
USG9000自带有相应的ISP路由,已经预置下列运营商的ISP地址文件:
china-mobile.csv:中国移动
china-telecom.csv:中国电信
china-unicom.csv:中国联通
china-educationnet.csv:中国教育网
该ISP地址文件可以直接使用,不用重新制作。也可以根据特殊的情况对ISP 路由的文件进行人工修改,满足组网要求。
2.3 出站透明DNS代理
企业的内网用户在发起DNS请求时,通常使用内置的DNS server地址,终端PC内的DNS server地址包括为首选和备选,同一个私网内每个PC分配的DNS
server首选地址相同(如电信DNS),这样每个PC向外发起DNS请求时,都会
向电信DNS server请求地址,得到的都是电信的网络地址,这样PC向外发起网
络连接时都是向电信ISP链路发起。
当企业出口租用了多个运营商ISP链路时,如果DNS请求都是向电信发起,那么按照目的地址选路,上网的流量都拥向电信ISP链路,这样电信的ISP链路
过于拥挤,而联通的ISP链路出于闲置状态,无法最大化利用出口租用的带宽。
USG9500提出了出站透明DNS代理功能,会根据ISP链路配置的带宽阈值对链路进行监控,当某个链路的带宽到达一定的上限后,会调整DNS请求报文,
将DNS server地址强制性改变成带宽充足的ISP方向,如首选DNS server是电信
地址,当电信链路达到阈值时,USG9500在网络出口处强制改变DNS server为
联通的DNS server地址,后续报文请求到的DNS地址为联通的地址,后续流量
目的地址指向联通,达到减轻电信ISP链路的目的。
2.4 智能DNS
根据企业内网部署的Web服务器地址数量不同,智能DNS可以分成单服务器智能DNS和多服务器智能DNS两个场景。
单服务器智能DNS
如图1所示,企业或数据中心一般都通过多条链路连接到多个ISP网络,但有时只会公布一个服务器地址(例如2.2.2.10),为其中一个ISP的用户(例如ISP2
用户)提供Web访问服务。企业或数据中心的DNS服务器上存在Web服务的域
名与这个服务器地址的对应关系。
当其他ISP的用户(例如ISP1用户)通过域名访问企业的Web服务(例如https://www.360docs.net/doc/ac588241.html,)时,首先会向企业内的DNS服务器发起DNS请求。DNS服务器
解析并返回的服务器地址(ISP2服务器地址2.2.2.10)与用户自身的地址(ISP1
用户地址1.0.0.1)是属于不同ISP网络的。这样就会导致该用户(ISP1用户)实际访问企业的Web服务时,需要先绕道到服务器所属的ISP网络(ISP2网络)才能到达服务器,从而增加了业务访问延迟,并且增加了ISP间流量的结算成本。
而且所有外网用户访问企业Web服务时都需要通过服务器所属的ISP网络(ISP2网络),这很可能导致设备连接这个ISP网络的链路(ISP2链路)拥塞,而连接其他ISP网络的链路(ISP1链路)闲置。
图1 单服务器不支持智能DNS场景
如图2所示,USG9000提供的智能DNS功能可以解决此问题。这种在企业内网只部署一台Web服务器的场景称为单服务器智能DNS场景。
通过配置单服务器智能DNS功能,USG9000将返回给用户(例如ISP1用户)的服务器地址修改为用户所属ISP网络的地址(例如1.1.1.10,属于ISP1),同时在设备上会增加一个地址映射关系,当用户访问1.1.1.10地址时,设备会映射到2.2.2.10这个实际服务器上。如果用户与服务器属于同一ISP网络(例如ISP2网络),则USG9000不会修改返回的服务器地址。
这样就保证了用户(例如ISP1的用户)访问企业的Web服务时,直接访问
1.1.1.10从自身所属的ISP网络(ISP1网络)就可以到达Web服务器,从而提升了
用户的访问速度和用户体验。而且从宏观上看,用户都通过自身所属的ISP网络
访问企业的Web服务,避免了企业的一条ISP链路拥塞而其他ISP链路闲置的情
况,实现了流量的负载均衡。
图2 单服务器智能DNS场景
多服务器智能DNS
如图3所示,大型企业或数据中心在对外提供Web服务(例如网页访问)时,一般都会公布多个服务器的地址(例如1.1.1.10,2.2.2.10),用来供给不同的ISP
用户访问。企业或数据中心的DNS服务器上存在Web服务的域名与多个服务器
地址的对应关系。
当其中一个ISP(例如ISP1)的用户通过域名访问Web服务(例如https://www.360docs.net/doc/ac588241.html,)时,首先会向企业内的DNS服务器发起DNS请求。DNS服务器
会解析并返回多个服务器地址(1.1.1.10和2.2.2.10)给该用户。用户(ISP1用户)
会随机选择其中一个服务器地址进行访问,所以这个服务器地址很可能是属于
另外一个ISP的(例如ISP1用户随机选择了ISP2服务器地址2.2.2.10)。这样就会
导致该用户(ISP1用户)实际访问企业的Web服务时,需要先绕道到另外的ISP 网络(ISP2网络)才能到达Web服务器,从而增加了业务访问延迟,并且增加了ISP间流量的结算成本。
图3 多服务器不支持智能DNS场景
如图4所示,USG9000提供的智能DNS功能可以解决此问题。这种在企业内网为多个ISP部署了多台Web服务器的场景称为多服务器智能DNS场景。
配置多服务器智能DNS功能后,USG9000只会返回一个服务器的地址给每个用户,这个服务器的地址与用户的地址属于同一个ISP网络的。例如对于ISP1的用户,USG9000只会返回ISP1的服务器地址;对于ISP2的用户,USG9000只会返回ISP2的服务器地址。
这样就保证了用户实际访问企业的Web服务时,直接从自身所属的ISP网络就可以到达Web服务器,从而提升了用户的访问速度和用户体验。
图4 多服务器智能DNS场景
2.5 服务器负载均衡
日益增长的网络业务量对服务器造成了巨大压力,当单个服务器无法满足网络需求时,企业一般会采取更换高性能设备或增加服务器数量的方法来解决
性能不足的问题。如果更换为高性能的服务器,则已有低性能的服务器将闲置,
造成了资源的浪费。而且后续肯定会面临新一轮的设备升级,导致投入巨大,
企业却无法获得很高的收益。如果单纯地增加服务器的数量,则涉及到如何分
配流量、服务器间的协同机制等很多复杂的问题。服务器负载均衡(SLB,server
load balancing)技术较好地解决了上述问题。
服务器负载均衡就是将本应由一个服务器处理的业务分发给多个服务器来处理,以此提高处理业务的效率和能力。如下图所示,这些处理业务的服务器
组成服务器集群,对外体现为一台逻辑上的虚拟服务器。对于用户来说,他们
在访问的就是这台逻辑上的服务器,而不知道实际处理业务的是其他服务器。
由USG9000决定如何分配流量给各个服务器,这样做的好处显而易见:如果某
个服务器损坏,USG9000将不再分配流量给它;如果现有服务器集群还需要扩
容,直接增加服务器到集群中即可。这些内部的变化对于用户来说是完全透明
的,非常有利于企业对网络的日常运维和后续调整。
服务器负载均衡功能可以保证流量较平均地分配到各个服务器上,避免出现一个服务器满负荷运转、另一个服务器却空闲的情况。USG9000还可以根据不同的服务类型调整流量的分配方法,满足特定服务需求,提升服务质量和效率。
服务器负载均衡技术的核心是健康检查和负载均衡算法。
USG9000会不间断地向各个实服务器发送健康检查报文,实时监控服务器的健康情况,并记录服务器的状态,这个检查过程称为健康检查。在转发Client 1的流量前,USG9000会根据各个实服务器的状态,判断其是否可以参与流量分配,只有健康的服务器才能参与流量分配,业务故障的服务器将被排除在外。但是USG9000仍然会向业务故障的服务器发送健康检查报文,一旦发现服务器业务恢复,将立即让其参与流量分配。这样即可确保流量被转发到健康的服务器上,不会造成请求失败的情况。
当存在多个可用的实服务器时,USG9000会根据负载均衡算法选择一个实服务器,然后转发流量到此服务器上。负载均衡算法决定了如何分配流量给服务器,并使各个服务器尽可能地保持均衡状态。最终负载均衡效果的好坏完全取决于算法的选择是否合适,用户需要根据具体的应用场景和业务特点选择合适的算法。
USG9000支持的负载均衡算法如下:
简单轮询算法
加权轮询算法
最小连接算法
加权最小连接算法
会话保持算法
加权会话保持算法
选择负载均衡算法时需要考虑两个主要因素:
服务器的性能
根据服务器的性能差异来分配业务,可以保证设备得到充分利用,提高服务的稳定性。当各个服务器的性能不同且成一定比例关系时,可通过设置权重来实
现负载均衡:性能高的服务器权重值大,分配到较多的业务;性能低的服务器权
重值小,分配到较少的业务。
服务器的业务类型
服务器的服务类型不同,则会话连接的时长或服务请求的次数可能会有差异。如果用户请求的服务需要长时间保持会话连接,那么必须考虑服务器并发处
理的连接数。如果用户需要和服务器进行多次交互,才能完成某个特定的服务,
那么必须保证这期间的所有请求都发送到一个固定的服务器上,否则将导致请求
失败。
3 组网应用
3.1 企业出口多ISP选路
如上图所示企业出口租用了多个ISP的链路,联通3条链路,电信2条链路,企业用户上网时,向外请求DNS,出口USG9500防火墙可以利用出站透明DNS
代理和内置ISP路由选路解决客户的出口选路问题。
提前在USG9500上预置联通DNS server地址和电信DNS server地址,当内部用户发起DNS请求是,USG9500可以根据出口链路状态动态调整内部用户请求
的DNS server地址,这样可以控制每个出口链路的带宽负载,如用户要访问
https://www.360docs.net/doc/ac588241.html,时,USG9500可以判断出口链路状态,当电信链路比较拥塞时,
可以将用户的DNS请求发给联通DNS server,用户得到联通的163服务器地址,
根据USG9500上配置的内置ISP路由,去往联通的流量送到联通ISP链路上转发,
此用户发起的访问流量就转移到租用联通的ISP链路上。
此方式根据DNS的选择自动调整了网络的带宽使用,提高了带宽使用效率,同时直接采用内置的ISP选路机制,减轻了用户的配置工作量,达到了更优的选
路。
3.2 企业出口ISP多链路备份
企业A有三条出口链路分别连接到ISPA、ISPB和ISPC,其中连接ISPA的链路带宽最大,达到200Mbit/s,其他两条链路的带宽都为100Mbit/s。由于业务的需要,企业内部用户访问服务器A的频率比较高。为了充分利用链路带宽,并保证用户业务的快速转发,企业A对网络规划如下:
1.针对服务器A的访问流量要求都从连接ISPA的链路转发;如果连接ISPA的链路带宽达到设置的阈值,后续访问服务器A的流量从连接ISPB的链路转发;如果连接ISPB的链路也达到设置的阈值,访问服务器A的流量从连接ISPC 的链路转发。
2.企业内部用户访问外网其它服务器的流量按照转发效果最优的那条出口链路转发。
USG9500部署在网络出口,可以按照最小时延选路选择链路回应时间最小的作为出口,也可以利用路由权重,ISPA、B、C按照2:1:1权重进行选路,或者按照链路带宽选路200M、100M、100M进行选路,三种方式都能实现负载分担,当某条链路带宽达到阈值是,业务可以转发到其他链路充分提高带宽利
用率。
3.3 企业内部服务器负载均衡
企业数据中心的服务器按照服务类型划分成不同的业务区,每个业务区都包含多台服务器。
USG9000作为数据中心的安全网关部署在网络出口,通过接口GE1/0/1和GE1/0/2分别连接ISP1和ISP2网络,HTTP业务区同时为两个ISP网络的用户提供
服务。
由于现有HTTP服务器server1和server2的性能已不能满足实际需求,所以企业新购入一台高性能的设备server3,和原有设备一起对外提供服务。
为了提升服务质量和用户体验,企业需要监控每一台服务器的健康状态,保证流量不被分配到故障服务器上。
USG9500利用服务器负载均衡实现内网服务器之间的负载分担,对外体现出一个服务器地址,对内实现3台服务器共同工作,同时监控服务器质量,避免单台设备故障影响使用。
华为常用命令
华为交换机常用命令: 1、display current-configuration //显示当前配置 2、display interface GigabitEthernet 1/1/4 //显示接口信息 3、display packet-filter interface GigabitEthernet 1/1/4 //显示接口acl应用信息 4、display acl all //显示所有acl设置3900系列交换机 5、display acl config all //显示所有acl设置6500系列交换机 6、display arp 10.78.4.1 //显示该ip地址的mac地址,所接交换机的端口位置 7、display cpu //显示cpu信息 8、system-view //进入系统图(配置交换机),等于config t 命令 9、acl number 5000 //在system-view命令后使用,进入acl配置状态 10、rule 0 deny 0806 ffff 24 0a4e0401 ffffffff 40 //在上面的命令后使用,,acl 配置例子 11、rule 1 permit 0806 ffff 24 000fe218ded7 fffffffff 34 //在上面的命令后使用,acl配置例子 12、interface GigabitEthernet 1/0/9 //在system-view命令后使用,进入接口配置状态 13、[86ZX-S6503-GigabitEthernet1/0/9]qos //在上面的命令后使用,进入接口qos配置 14、[86ZX-S6503-qosb-GigabitEthernet1/0/9]packet-filter inbound user-group 5000 //在上面的命令后使用,在接口上应用进站的acl 15、[Build4-2_S3928TP-GigabitEthernet1/1/4]packet-filter outbound user-group 5001 //在接口上应用出站的acl 16、undo acl number 5000 //取消acl number 5000 的设置 17、ip route-static 0.0.0.0 0.0.0.0 10.78.1.1 preference 60 //设置路由 18、reset counters interface Ethernet 1/0/14 //重置接口信息 华为路由器常用命令 [Quidway]dis cur ;显示当前配置[Quidway]display current-configuration ;显示当前配置[Quidway]display interfaces ;显示接口信息[Quidway]display vlan all ;显示路由信息[Quidway]display version ;显示版本信息 [Quidway]super password ;修改特权用户密码[Quidway]sysname ;交换机命名[Quidway]interface ethernet 0/1 ;进入接口视图[Quidway]interface vlan x ;进入接口视图 [Quidway-Vlan-interfacex]ip address 10.65.1.1 255.255.0.0 ;配置VLAN的IP地址 [Quidway]ip route-static 0.0.0.0 0.0.0.0 10.65.1.2 ;静态路由=网关[Quidway]rip ;三层交换支持[Quidway]local-user ftp [Quidway]user-interface vty 0 4 ;进入虚拟终端 [S3026-ui-vty0-4]authentication-mode password ;设置口令模式 [S3026-ui-vty0-4]set authentication-mode password simple 222 ;设置口令 [S3026-ui-vty0-4]user privilege level 3 ;用户级别
华为防火墙(VRRP)双机热备配置及组网
防火墙双机热备配置及组网指导 防火墙双机热备,主要是提供冗余备份的功能,在网络发生故障的时候避免业务出现中断。防火墙双机热备组网根据防火墙的模式,分路由模式下的双机热备组网和透明模式下的双机热备组网,下面分别根据防火墙的不同模式下的组网提供组网说明及典型配置。 1 防火墙双机热备命令行说明 防火墙的双机热备的配置主要涉及到HRP的配置,VGMP的配置,以及VRRP的配置,防火墙的双机热备组网配置需要根据现网的业务和用户的需求来进行调整,下面就防火墙的双机热备配置涉及到的命令行做一个解释说明。 1.1 HRP命令行配置说明 HRP是华为的冗余备份协议,Eudemon 防火墙使用此协议进行备份组网,达到链路状态备份的目的,从而保证在设备发生故障的时候业务正常。 HRP协议是华为自己开发的协议,主要是在VGMP协议的基础上进行扩展得到的;VGMP是华为的私有协议,主要是用来管理VRRP的,VGMP也是华为的私有协议,是在VRRP的基础上进行扩展得到的。不管是VGMP的报文,还是HRP的报文,都是VRRP的报文,只是防火墙在识别这些报文的时候能根据自己定义的字段能判断出是VGMP的报文,HRP的报文,或者是普通的VRRP的报文。 在Eudemon防火墙上,hrp的作用主要是备份防火墙的会话表,备份防火墙的servermap 表,备份防火墙的黑名单,备份防火墙的配置,以及备份ASPF模块中的公私网地址映射表和上层会话表等。 两台防火墙正确配置VRRP,VGMP,以及HRP之后,将会形成主备关系,这个时候防火墙的命令行上会自动显示防火墙状态是主还是备,如果命令行上有HRP_M的标识,表示此防火墙和另外一台防火墙进行协商之后抢占为主防火墙,如果命令行上有HRP_S的标识,表示此防火墙和另外一台防火墙进行协商之后抢占为备防火墙。防火墙的主备状态只能在两台防火墙之间进行协商,并且协商状态稳定之后一定是一台为主状态另外一台为备状态,不可能出现两台都为主状态或者都是备状态的。 在防火墙的HRP形成主备之后,我们称HRP的主备状态为HRP主或者是HRP备状态,在形成HRP的主备状态之后默认是一部分配置在主防火墙上配置之后能自动同步到备防火墙上的,而这些命令将不能在备防火墙的命令行上执行,这些命令包括ACL,接口加入域等,但其中一些命令行是不会从主防火墙上备份到备防火墙上。 HRP的配置命令的功能和使用介绍如下: ★ hrp enable :HRP使能命令,使能HRP之后防火墙将形成主备状态。 ★ hrp configuration check acl :检查主备防火墙两端的ACL的配置是否一致。执行此命令之后,主备防火墙会进行交互,执行完之后可以通过命令行display hrp configuration check acl来查看两边的配置是否一致。
华为交换机基本配置命令29908
华为交换机基本配置命令 一、单交换机VLAN划分 命令命令解释 system 进入系统视图 system-view 进入系统视图 quit 退到系统视图 undo vlan 20 删除vlan 20 sysname 交换机命名 disp vlan 显示vlan vlan 20 创建vlan(也可进入vlan 20) port e1/0/1toe1/0/5 把端口1-5放入VLAN 20 中 5700系列 单个端口放入VLAN [Huawei]intg0/0/1 [Huawei]port link-typeaccess(注:接口类型access,hybrid、trunk) [Huawei]port default vlan 10 批量端口放入VLAN [Huawei]port-group 1 [Huawei-port-group-1]group-member ethernet G0/0/1 to ethernet G0/0/20 [Huawei-port-group-1]port hybrid untagged vlan 3 删除group(组)vlan 200内的15端口 [Huawei]intg0/0/15 [Huawei-GigabitEthernet0/0/15]undo port hybrid untagged vlan 200 通过group端口限速设置 [Huawei]Port-group 2 [Huawei]group-member g0/0/2 to g0/0/23 [Huawei]qos lr outbound cir 2000 cbs 20000 disp vlan 20 显示vlan里的端口20 int e1/0/24 进入端口24 undo port e1/0/10 表示删除当前VLAN端口10 disp curr 显示当前配置 return 返回 Save 保存 info-center source DS channel 0 log state off trap state off通过关闭日志信息命令改变DS模块来实现(关闭配置后的确认信息显示) info-center source DS channel 0 log state on trap state on 通过打开日志信息命令改变DS模块来实现(打开配置后的确认信息显示)
华为usg2210防火墙配置实例
防火墙技术案例双机热备负载分担组网下的IPSec配置
论坛的小伙伴们,大家好。强叔最近已经开始在“侃墙”系列中为各位小伙伴们介绍各种VPN了。说到VPN,小伙伴们肯定首先想到的是最经典的IPSec VPN,而且我想大家对IPSec的配置也是最熟悉的。但是如果在两台处于负载分担状态下的防火墙上部署IPSec VPN又该如何操作呢有什么需要注意的地方呢 本期强叔就为大家介绍如何在双机热备的负载分担组网下配置IPSec。 【组网需求】 如下图所示,总部防火墙NGFW_C和NGFW_D以负载分担方式工作,其上下行接口都工作在三层,并与上下行路由器之间运行OSPF协议。(本例中,NGFW是下一代防火墙USG6600的简称,软件版本为 USG6600V100R001C10) 现要求分支用户访问总部的流量受IPSec隧道保护,且NGFW_C处理分支A发送到总部的流量,NGFW_D处理分支B发送到总部的流量。当NGFW_C或NGFW_D中一台防火墙出现故障时,分支发往总部的流量能全部切换到另一台运行正常的防火墙。 【需求分析】 针对以上需求,强叔先带小伙们做一个简要分析,分析一下我们面临的问题以及解决这个问题的方法。1、如何使两台防火墙形成双机热备负载分担状态 两台防火墙的上下行业务接口工作在三层,并且连接三层路由器,在这种情况下,就需要在防火墙上配置VGMP组(即hrp track命令)来监控上下行业务接口。如果是负载分担状态,则需要在每台防火墙上调动两个VGMP组(active组和standby组)来监控业务接口。 2、分支与总部之间如何建立IPSec隧道 正常状态下,根据组网需求,需要在NGFW_A与NGFW_C之间建立一条隧道,在NGFW_B与NGFW_D之间建立一条隧道。当NGFW_C与NGFW_D其中一台防火墙故障时,NGFW_A和NGFW_B都会与另外一台防火墙建立隧道。 3、总部的两台防火墙如何对流量进行引导 总部的两台防火墙(NGFW_C与NGFW_D)通过路由策略来调整自身的Cost值,从而实现正常状态下来自NGFW_A的流量通过NGFW_C转发,来自NGFW_B的流量通过NGFW_D转发,故障状态下来自NGFW_A和NGFW_B的流量都通过正常运行的防火墙转发。 【配置步骤】
华为路由器防火墙配置
华为路由器防火墙配置 一、access-list 用于创建访问规则。 (1)创建标准访问列表 access-list [ normal | special ] listnumber1 { permit | deny } source-addr [ source-mask ] (2)创建扩展访问列表 access-list [ normal | special ] listnumber2 { permit | deny } protocol source-addr source- mask [ operator port1 [ port2 ] ] dest-addr dest-mask [ operator port1 [ port2 ] | icmp-type [ icmp-code ] ] [ log ] (3)删除访问列表 no access-list { normal | special } { all | listnumber [ subitem ] } 【参数说明】 normal 指定规则加入普通时间段。 special 指定规则加入特殊时间段。 listnumber1 是1到99之间的一个数值,表示规则是标准访问列表规则。 listnumber2 是100到199之间的一个数值,表示规则是扩展访问列表规则。 permit 表明允许满足条件的报文通过。 deny 表明禁止满足条件的报文通过。 protocol 为协议类型,支持ICMP、TCP、UDP等,其它的协议也支持,此时没有端口比较 的概念;为IP时
有特殊含义,代表所有的IP协议。 source-addr 为源地址。 source-mask 为源地址通配位,在标准访问列表中是可选项,不输入则代表通配位为0.0.0.0。 dest-addr 为目的地址。 dest-mask 为目的地址通配位。 operator[可选] 端口操作符,在协议类型为TCP或UDP时支持端口比较,支持的比较操作有:等于(eq) 、大于(gt)、小于(lt)、不等于(neq)或介于(range);如果操作符为range,则后面需要跟两个 端口。 port1 在协议类型为TCP或UDP时出现,可以为关键字所设定的预设值(如telnet)或0~65535之间的一个 数值。 port2 在协议类型为TCP或UDP且操作类型为range时出现;可以为关键字所设定的预设值(如telnet)或 0~65535之间的一个数值。 icmp-type[可选] 在协议为ICMP时出现,代表ICMP报文类型;可以是关键字所设定的预设值(如echo- reply)或者是0~255之间的一个数值。 icmp-code在协议为ICMP且没有选择所设定的预设值时出现;代表ICMP码,是0~255之间的一个数值。 log [可选] 表示如果报文符合条件,需要做日志。 listnumber 为删除的规则序号,是1~199之间的一个数值。
防火墙技术案例5双机热备(负载分担)组网下的IPSec配置
【防火墙技术案例5】双机热备(负载分担)组网下的IPSec配置 论坛的小伙伴们,大家好。强叔最近已经开始在“侃墙”系列中为各位小伙伴们介绍各种VPN了。说到VPN,小伙伴们肯定首先想到的是最经典的IPSec VPN,而且我想大家对IPSec的配置也是最熟悉的。但是如果在两台处于负载分担状态下的防火墙上部署IPSec VPN又该如何操作呢?有什么需要注意的地方呢? 本期强叔就为大家介绍如何在双机热备的负载分担组网下配置IPSec。 【组网需求】 如下图所示,总部防火墙NGFW_C和NGFW_D以负载分担方式工作,其上下行接口都工作在三层,并与上下行路由器之间运行OSPF协议。(本例中,NGFW是下一代防火墙USG6600的简称,软件版本为USG6600V100R001C10) 现要求分支用户访问总部的流量受IPSec隧道保护,且NGFW_C处理分支A发送到总部的流量,NGFW_D 处理分支B发送到总部的流量。当NGFW_C或NGFW_D中一台防火墙出现故障时,分支发往总部的流量能全部切换到另一台运行正常的防火墙。 【需求分析】 针对以上需求,强叔先带小伙们做一个简要分析,分析一下我们面临的问题以及解决这个问题的方法。
1、如何使两台防火墙形成双机热备负载分担状态? 两台防火墙的上下行业务接口工作在三层,并且连接三层路由器,在这种情况下,就需要在防火墙上配置VGMP组(即hrp track命令)来监控上下行业务接口。如果是负载分担状态,则需要在每台防火墙上调动两个VGMP组(active组和standby组)来监控业务接口。 2、分支与总部之间如何建立IPSec隧道? 正常状态下,根据组网需求,需要在NGFW_A与NGFW_C之间建立一条隧道,在NGFW_B与NGFW_D之间建立一条隧道。当NGFW_C与NGFW_D其中一台防火墙故障时,NGFW_A和NGFW_B都会与另外一台防火墙建立隧道。 3、总部的两台防火墙如何对流量进行引导? 总部的两台防火墙(NGFW_C与NGFW_D)通过路由策略来调整自身的Cost值,从而实现正常状态下来自NGFW_A的流量通过NGFW_C转发,来自NGFW_B的流量通过NGFW_D转发,故障状态下来自NGFW_A和NGFW_B的流量都通过正常运行的防火墙转发。 【配置步骤】 1、配置双机热备功能。 在配置双机热备功能前,小伙伴们需要按照上图配置各接口的IP地址,并将各接口加入相应的安全区域,然后配置正确的安全策略,允许网络互通。由于这些不是本案例的重点,因此不在此赘述。 完成以上配置后,就要开始配置双机热备功能了。大家可以看到形成双机的两台防火墙(NGFW_C和NGFW_D负载分担处理流量)的上下行接口都工作在三层,而且连接的是路由器。这无疑是非常经典的“防火墙业务接口工作在三层,上下行连接路由器的负载分担组网”。各位小伙伴们可以在华为的任何防火墙资料中看到此经典举例,无论是命令行配置举例还是Web配置举例,大家想怎么看就怎么看~ 因此强叔只在此给出双机热备的命令行配置和关键解释。
华为USG防火墙配置完整版
华为U S G防火墙配置 HEN system office room 【HEN16H-HENS2AHENS8Q8-HENH1688】
华为USG2000防火墙配置 USG2000防火墙基本设置: 外观 1个调试口(CONSOLE); 2个以太网口(GE0/0/0和GE0/0/1,电口或者SFP光口任取一); 1个reset按钮(操作不当访问不到防火墙时初始化出厂配置)。 初始配置 GE0/0/0配置为路由接口,IP地址为 防火墙访问IP为,登录用户名admin,密码Admin@123 USG2000防火墙配置过程中注意事项: 接口配置时,不要操作当前连接的端口,否则可能导致防火墙无法连接的情况。 这种情况下需要按‘reset’按钮初始化出厂配置。
USG2000防火墙配置步骤 一、配置防火墙的网络接口 1.连接GE0/0/0端口,访问登录防火墙。 登录过程中出现证书错误,点击‘继续浏览此网站’继续。 输入用户名admin密码Admin@123登录防火墙。 登录后,弹出修改用户的初始密码的提示及快速向导。初始密码尽量不要修改。快速向导适于配置路由器模式,不适合I区和II区之间,直接点取消。 以上为USG2000基本配置界面。 现场配置所需要用到的只有网络和防火墙两个主菜单。 2.配置GE0/0/1端口 选择菜单网络/接口,在GE0/0/1行最后点配置。 别名设置‘安全II区端口’,选择模式‘交换’,连接类型选择为 ‘access’,点击应用。 3.添加Vlan接口 在接口页面中,点击新加,接口名称设置为‘配置接口’,类型设置为‘VLAN’,VALN ID设置为‘1’,接口成员选择‘GE0/0/1’,连接类型设置为‘静态IP’,IP地址设置为‘’,子网掩码设置为‘’,最后点击应用。如下图所示 4.按照配置GE0/0/1的方法,配置GE0/0/0,将别名设为‘安全I 区端口’。 注意:配置完成后,点击应用后,由于GE0/0/0的IP地址已变更,将无法访问到。 5.关闭所有浏览器页面,然后重新开启浏览器,连接GE0/0/0,访 问。 修改刚添加的‘配置接口’的Vlan端口,将GE0/0/0添加到接口
华为USG防火墙配置
华为USG2000防火墙配置 USG2000防火墙基本设置: 外观 1个调试口(CONSOLE); 2个以太网口(GE0/0/0和GE0/0/1,电口或者SFP光口任取一); 1个reset按钮(操作不当访问不到防火墙时初始化出厂配置)。 初始配置 GE0/0/0配置为路由接口,IP地址为192.168.0.1 防火墙访问IP为192.168.0.1,登录用户名admin,密码Admin@123 USG2000防火墙配置过程中注意事项: 接口配置时,不要操作当前连接的端口,否则可能导致防火墙无法连接的情况。 这种情况下需要按‘reset’按钮初始化出厂配置。
USG2000防火墙配置步骤 一、配置防火墙的网络接口 1.连接GE0/0/0端口,访问19 2.168.0.1登录防火墙。 登录过程中出现证书错误,点击‘继续浏览此网站’继续。
输入用户名admin密码Admin@123登录防火墙。 登录后,弹出修改用户的初始密码的提示及快速向导。初始密码尽量不要修改。快速向导适于配置路由器模式,不适合I区和II区之间,直接点取消。
以上为USG2000基本配置界面。 现场配置所需要用到的只有网络和防火墙两个主菜单。 2.配置GE0/0/1端口 选择菜单网络/接口,在GE0/0/1行最后点配置。
别名设置‘安全II区端口’,选择模式‘交换’,连接类型选择为‘access’,点击应用。 3.添加Vlan接口 在接口页面中,点击新加,接口名称设置为‘配置接口’,类型设置为‘VLAN’,VALN ID 设置为‘1’,接口成员选择‘GE0/0/1’,连接类型设置为‘静态IP’,IP地址设置为‘192.168.1.100’,子网掩码设置为‘255.255.0.0’,最后点击应用。如下图所示 4.按照配置GE0/0/1的方法,配置GE0/0/0,将别名设为‘安全I区端口’。 注意:配置完成后,点击应用后,由于GE0/0/0的IP地址已变更,将无法访问到192.168.0.1。 5.关闭所有浏览器页面,然后重新开启浏览器,连接GE0/0/0,访问192.168.1.100。 修改刚添加的‘配置接口’的Vlan端口,将GE0/0/0添加到接口成员中。
华为防火墙USG配置
内网: 配置GigabitEthernet 0/0/1加入Trust区域 [USG5300] firewall zone trust [USG5300-zone-untrust] add interface GigabitEthernet 0/0/1 外网: 配置GigabitEthernet 0/0/2加入Untrust区域 [USG5300] firewall zone untrust [USG5300-zone-untrust] add interface GigabitEthernet 0/0/2 DMZ: [USG5300] firewall zone dmz [USG5300-zone-untrust] add interface GigabitEthernet 0/0/3 [USG5300-zone-untrust] quit 1.4.1 Trust和Untrust域间:允许内网用户访问公网 policy 1:允许源地址为10.10.10.0/24的网段的报文通过 [USG5300] policy interzone trust untrust outbound [USG5300-policy-interzone-trust-untrust-outbound] policy 1 [USG5300-policy-interzone-trust-untrust-outbound-1] policy source 10.10.10.0 0.0.0.255 [USG5300-policy-interzone-trust-untrust-outbound-1] action permit [USG5300-policy-interzone-trust-untrust-outbound-1] quit 如果是允许所有的内网地址上公网可以用以下命令:
防火墙双机热备特性FAQ
防火墙双机热备特性FAQ 1:问:R6新增了支持防火墙和路由器双机热备份组网,的这种组网是如何实现的防火墙主备组网的,需要在防火墙上配置哪些命令,需要注意哪些东西? 答:R6上新增支持防火墙和路由器双机热备份组网,这种组网防火墙和路由器之间器OSPF 协议,同时在防火墙上配置根据HRP状态调整备防火墙上OSPF的COST值,使得路由器学到的路由都指向主防火墙,保证业务都从主防火墙上过,形成双机热备份的。 为了实现防火墙和双机热备份组网,需要在主备防火墙上配置命令:hrp ospf-cost adjust-enable,这个命令能保证主备防火墙对外发布路由的时候只有备防火墙会加上一个COST值,主防火墙直接发布路由。这个COST值默认是65500。 防火墙和路由器组网的时候,心跳线不能配置成transfer-only,同时需要使用VRRP的优先级作为防火墙的VGMP的优先级,VRRP需要track上和路由器相连的接口。 2:问:R6双机热备份是如何支持来回路径不一致的,会话快速备份和传统的会话实时备份有什么区别,会话快速备份涉及到哪些命令行。 答:R6是通过支持会话快速备份来支持来回路径不一致的,会话快速备份就是在会话建立的时候就立即备份到对端防火墙上,保证即使是来回路径不一致,到备防火墙上的报文也能命中会话进行转发。 会话快速备份和传统的会话实时备份的区别是:1:会话快速备份在会话一建立就备份到备防火墙上,而会话实时备份是需要等到会话老化线程扫描到会话判断需要备份才备份到备防火墙上的,所以会话实时备份最常可能需要到会话建立8s之后才能备份到备防火墙上,所以仅仅有会话实时备份不能支持来回路径不一致。2:会话快速备份能备份tcp半连接会话和ICMP会话,而会话实时备份不备份半连接会话和ICMP的会话。 会话快速备份首先需要配置心跳口,并配置high-availability参数,保证此接口是高可用性接口,同时配置hrp mirror session enable。 3:问:R6版本的IP-link应用场景如何?,配置ip-link需要注意什么? 防火墙的ip-link功能一般使用的双机热备组网环境中常见组网如下图所示:
22-1用户手册(华为USG防火墙)
华为防火墙配置用户手册 防火墙默认的管理接口为g0/0/0,默认的ip地址为192.168.0.1/24,默认g0/0/0接口开启了dhcp server,默认用户名为admin,默认密码为Admin@123 一、配置案例 1.1 拓扑图 GE 0/0/1:10.10.10.1/24 GE 0/0/2:220.10.10.16/24 GE 0/0/3:10.10.11.1/24 WWW服务器:10.10.11.2/24(DMZ区域) FTP服务器:10.10.11.3/24(DMZ区域) 1.2 Telnet配置 配置VTY 的优先级为3,基于密码验证。 # 进入系统视图。
[USG5300-ui-vty0-4] authentication-mode password # 配置验证密码为lantian [USG5300-ui-vty0-4]set authentication password simple lantian ###最新版本的命令是authentication-mode password cipher huawei@123 配置空闲断开连接时间 # 设置超时为30分钟 [USG5300-ui-vty0-4] idle-timeout 30 [USG5300] firewall packet-filter default permit interzone untrust local direction inbound //不加这个从公网不能telnet防火墙。 基于用户名和密码验证 user-interface vty 0 4 authentication-mode aaa aaa local-user admin password cipher ]MQ;4\]B+4Z,YWX*NZ55OA!! local-user admin service-type telnet local-user admin level 3 firewall packet-filter default permit interzone untrust local direction inbound 如果不开放trust域到local域的缺省包过滤,那么从内网也不能telnet的防火墙,但是默认情况下已经开放了trust域到local域的缺省包过滤。 1.3 地址配置 内网: 进入GigabitEthernet 0/0/1视图 [USG5300] interface GigabitEthernet 0/0/1 配置GigabitEthernet 0/0/1的IP地址 [USG5300-GigabitEthernet0/0/1] ip address 10.10.10.1 255.255.255.0 配置GigabitEthernet 0/0/1加入Trust区域 [USG5300] firewall zone trust [USG5300-zone-untrust] add interface GigabitEthernet 0/0/1 [USG5300-zone-untrust] quit 外网: 进入GigabitEthernet 0/0/2视图 [USG5300] interface GigabitEthernet 0/0/2 配置GigabitEthernet 0/0/2的IP地址 [USG5300-GigabitEthernet0/0/2] ip address 220.10.10.16 255.255.255.0 配置GigabitEthernet 0/0/2加入Untrust区域 [USG5300] firewall zone untrust [USG5300-zone-untrust] add interface GigabitEthernet 0/0/2 [USG5300-zone-untrust] quit
华为防火墙USG配置
配置GigabitEthernet 0/0/1加入Trust区域 [USG5300] firewall zone trust [USG5300-zone-untrust] add interface GigabitEthernet 0/0/1 外网: 配置GigabitEthernet 0/0/2加入Untrust区域 [USG5300] firewall zone untrust [USG5300-zone-untrust] add interface GigabitEthernet 0/0/2 DMZ: [USG5300] firewall zone dmz [USG5300-zone-untrust] add interface GigabitEthernet 0/0/3 [USG5300-zone-untrust] quit Trust和Untrust域间:允许内网用户访问公网 policy 1:允许源地址为的网段的报文通过 [USG5300] policy interzone trust untrust outbound [USG5300-policy-interzone-trust-untrust-outbound] policy 1 [USG5300-policy-interzone-trust-untrust-outbound-1] policy source [USG5300-policy-interzone-trust-untrust-outbound-1] action permit [USG5300-policy-interzone-trust-untrust-outbound-1] quit
华为防火墙配置使用手册(自己写)
华为防火墙配置使用手册(自己写) 华为防火墙配置使用手册防火墙默认的管理接口为g0/0/0,默认的ip地址为/24,默认g0/0/0接口开启了dhcp server,默认用户名为admin,默认密码为Admin123 一、配置案例拓扑图GE 0/0/1:/24 GE 0/0/2:/24 GE 0/0/3:/24 WWW服务器:/24 FTP服务器:/24 Telnet配置配置VTY 的优先级为3,基于密码验证。# 进入系统视图。system-view # 进入用户界面视图[USG5300] user-interface vty 0 4 # 设置用户界面能够访问的命令级别为
level 3 [USG5300-ui-vty0-4] user privilege level 3 配置Password验证# 配置验证方式为Password验证[USG5300-ui-vty0-4] authentication-mode password # 配置验证密码为lantian [USG5300-ui-vty0-4] set authentication password simple lantian ###最新版本的命令是authentication-mode password cipher huawei123 配置空闲断开连接时间# 设置超时为30分钟[USG5300-ui-vty0-4] idle-timeout 30 [USG5300] firewall packet-filter default permit interzone untrust
local direction inbound //不加这个从公网不能telnet防火墙。基于用户名和密码验证user-interface vty 0 4 authentication-mode aaa aaa local-user admin password cipher ]MQ;4\\]B+4Z,YWX*NZ55OA!! local-user admin service-type telnet local-user admin level 3 firewall packet-filter default permit interzone untrust local direction inbound 如果不开放trust域到local域的缺省包过滤,那么从网也不能telnet的防火墙,但是默认情况下已经开放了trust域到local域的缺省包过滤。地址配置网:进
最新华为防火墙l2tp配置资料
配置Client-Initialized方式的L2TP举例 组网需求 如图1所示,某公司的网络环境描述如下: ?公司总部通过USG5300与Internet连接。 ?出差员工需要通过USG5300访问公司总部的资源。 图1配置Client-Initialized方式的L2TP组网图 配置L2TP,实现出差员工能够通过L2TP隧道访问公司总部资源,并与公司总部用户进行通信。 配置思路 1配置客户端。 2根据网络规划为防火墙分配接口,并将接口加入相应的安全区域。 3配置防火墙策略。 4配置LNS。 数据准备 为完成此配置例,需准备如下的数据: ?防火墙各接口的IP地址。 ?本地用户名和密码。 操作步骤 配置客户端。说明:如果客户端的操作系统为Windows系列,请首先进行如下操作。 1在“开始> 运行”中,输入regedit命令,单击“确定”,进入注册表编辑器。 1在界面左侧导航树中,定位至“我的电脑> HKEY_LOCAL_MACHINE > SYSTEM > CurrentControlSet > Services > Rasman > Parameters”。在该路径下右 侧界面中,检查是否存在名称为ProhibitIpSec、数据类型为DWORD的键值。 如果不存在,请单击右键,选择“新建> DWORD值”,并将名称命名为 ProhibitIpSec。如果此键值已经存在,请执行下面的步骤。 1选中该值,单击右键,选择“修改”,编辑DWORD值。在“数值数据”文本框
中填写1,单击“确定”。 1重新启动该PC,使修改生效。 此处以Windows XP Professional操作系统为例,介绍客户端的配置方法。 # 客户端主机上必须装有L2TP客户端软件,并通过拨号方式连接到Internet。 # 配置客户端计算机的主机名为client1。 # 创建L2TP连接。 1打开“我的电脑> 控制面板> 网络连接”,在“网络任务”中选择“创建一个 新的连接”,在弹出的界面中选择“下一步”。 1在“网络连接类型”中选择“连接到我的工作场所的网络”,单击“下一步”。 1在“网络连接”中选择“虚拟专用网络连接”,单击“下一步”。 1在“连接名”下的“公司名”文本框中设置公司名称或VPN服务器名称,本例 设置为LNS,单击“下一步”。 1在“公用网络”中选择“不拨初始连接”,单击“下一步”。 1在“VPN服务器选择”中填写LNS的IP地址,此处设置的IP地址为USG5300 与Internet连接接口的IP地址,本配置例中为202.38.161.1,单击“下一步”。 1将“在我的桌面上添加一个到此连接的快捷方式”选中,单击“完成”。 在弹出的对话框中,输入在LNS上配置的用户名和密码,单击“属性”,如图2所示。图2连接LNS 单击“属性”,设置如图3所示。图3设置LNS属性的选项页签
华为三层 二层交换机双机热备份配置举例
华为三层+二层交换机双机热备份配置举例 组网需求 SE2300作为会话边界控制器被部署在企业网络和NGN网络之间,考虑到设备运行的可靠性,采用两台SE2300以主备备份方式工作。其中SE2300-A作为主用,SE2300-B作为备用。 如图1-10所示,内部企业网络1的网段地址为10.100.10.0/24,企业网络2的网段地址为10.100.20.0/24。两台SE2300分别通过LAN Switch连接各个网络。 企业网络1对应的备份组虚拟IP地址为10.100.10.1;企业网络2对应的备份组虚拟IP地址为10.100.20.1;NGN 网络对应的备份组虚拟IP地址为202.38.10.1。 SE2300-A和SE2300-B分别通过接口Ethernet1/0/0连接企业网络1,通过Ethernet2/0/0连接企业网络2,通过Ethernet4/0/0连接NGN网络。 图1-10 双机热备份典型配置组网 配置思路 采用如下思路进行配置: l 在接口上配置VRRP备份组 l 配置VRRP管理组,将备份组添加到VRRP管理组中 l 配置HRP 数据准备 数据规划如下: l VRRP备份组虚拟IP地址 l VRRP管理组的优先级 配置步骤 在进行VRRP相关配置前,请先确保SE2300自己能够正常工作,即已经成功地配置了信令代理和媒体代理功能,及各接口的IP地址。之后进行如下配置: 步骤1 配置SE2300-A # 在Ethernet1/0/0接口上配置VRRP备份组1,并配置备份组的虚拟IP地址。 首先配置实地址,再配置虚地址,实地址和虚地址要配置在同一网段。 在组网环境中一定要注意检查不能有相同的vrid配置存在,不允许出现vrid相同的两台设备接在同一台交换机上。
华为USG防火墙运维命令大全
华为USG防火墙运维命令大全 1查会话 使用场合 针对可以建会话的报文,可以通过查看会话是否创建以及会话详细信息来确定报文是否正常通过防火墙。 命令介绍(命令类) display firewall session table [ verbose ] { source { inside X.X.X.X | global X.X.X.X } | destination { inside X.X.X.X | global X.X.X.X } } [ source-vpn-instance { STRING<1-19> | public } | dest-vpn-instance { STRING<1-19> | public } ] [ application { gtp | ftp | h323 | http | hwcc | ras | mgcp | dns | pptp | qq | rtsp | ils | smtp | sip | nbt | stun | rpc | sqlnet | mms } ] [ nat ] [ destination-port INTEGER<1-65535> ] [ long-link ] 使用方法(工具类) 首先确定该五元组是否建会话,对于TCP/UDP/ICMP(ICMP只有echo request和echo reply建会话)/GRE/ESP/AH的报文防火墙会建会话,其它比如SCTP/OSPF/VRRP等报文防火墙不建会话。如果会话已经建立,并且一直有后续报文命中刷新,基本可以排除防火墙的问题,除非碰到来回路径不一致情况,需要关闭状态检测。如果没有对应的五元组会话或者对于不建会话的报文,继续后续排查方法。 Global:表示在做NAT时转换后的IP。 Inside:表示在做NAT时转换前的IP。 使用示例