双机热备OSPF组网配置指导手册v
双机热备主备方式OSPF组网配置
指导手册
关键字:双机热备、主备、非抢占、物理接口、静态路由、OSPF
目录
1双机热备防火墙组网说明:2
2主防火墙配置步骤:2
2.1 配置接口地址5
2.2 配置安全区域6
2.3 配置双机热备8
2.4 配置接口联动11
2.5 配置NAT11
2.6 配置OSPF动态路由协议15
2.7 配置NQA18
2.8 配置静态缺省路由与TRACK 1绑定19
2.9 配置OSPF发布缺省路由20
3备防火墙配置步骤:20
2.1 配置接口地址22
2.2 配置安全区域24
2.3 配置双机热备25
2.4 配置接口联动28
2.5 配置NAT28
2.6 配置OSPF动态路由协议33
2.7 配置NQA35
2.8 配置静态缺省路由与TRACK 1绑定36
2.9 配置OSPF发布缺省路由37
1 双机热备防火墙组网说明:
组网说明:
防火墙双机热备组网,主备非抢占模式,防火墙上行链路通过静态路由指向连接INTERNET网络,防火墙下行链路通过OSPF动态路由指向内部网络路由器。
业务要求:
当网络“层三交换机”或“防火墙”或“层二交换机”某一个设备本身故障或某一条线路故障时,流量可以及时从主防火墙切换至备防火墙,保证网络应用业务不中断、平稳运行。
2 主防火墙配置步骤:
1 配置PC IP地址192.168.0.3/24,连接管理防火墙:
2 通过IE浏览器打开防火墙WEB管理界面,防火墙默认的管理IP地址192.168.0.1,默认的用户名:h3c,默认密码:h3c。
3 进入防火墙WEB管理界面,可以查看防火墙系统信息,包括版本信息等;
4 单击“设备管理》基本配置》设备基本信息”修改防火墙名称为“FW1”,默认的防火墙名称是“H3C”;
5单击“设备管理》服务管理”启用防火墙TELNET服务,用于远程命令行配置管理;
6单击“用户管理》本地用户”新建、修改管理防火墙用户和用户密码;
2.1 配置接口地址
1 单击“设备管理》接口管理”,单击“修改”按钮,配置防火墙接口地址;
2 配置接口G2/0,接口ip地址为10.1.1.253/24,配置完成后单击“确定”按钮;
3 配置接口G2/2,接口ip地址为192.168.2.2/24,配置完成后单击“确定”按钮;
4 配置接口G2/3,接口ip地址为192.168.3.2/24,配置完成后单击“确定”按钮;
2.2 配置安全区域
1 单击“设备管理》安全域”,单击“修改”按钮,配置防火墙接口加入安全区域;
2 配置G2/2和G2/3接口加入Trust区域,配置完成后单击“确定”按钮;
3 配置G2/0接口加入Untrust区域,配置完成后单击“确定”按钮;
2.3 配置双机热备
配置VRRP
1 单击“高可靠性》VRRP”,单击接口G2/0“修改”按钮配置接口VRRP;
2 单击“新建”按钮,配置“vrid”为101,配置“虚拟ip”为10.1.1.5;
3 单击“修改”按钮配置VRID 101监视接口;
4 单击“显示监视配置”,配置接口G2/0监视接口G2/2和接口G2/3;
配置双机热备
1 单击“高可靠性》双机热备”配置“使能双机热备功能”,备份类型为“不支持非对称路径”,备份接口为默认接口inner-ethernet0/1,配置完成后单击“确定”按钮;同时使用一根以太网线连接两台防火墙的“HA接口”(“HA接口”在防火墙的主控面板上);
2.4 配置接口联动
1 单击“高可靠性》接口联动组”单击联动组1“修改”按钮配置接口联动:
2 配置“联动组1”成员G2/0、G2/2、G2/3,配置完成后单击“确定”按钮;当联动组中其中之一的接口状态为DOWN,其它接口也被置为DOWN状态,保证联动组中所有接口状态一致。
2.5 配置NAT
配置NAT策略
1 单击“防火墙》ACL”配置NA T策略,单击“新建”按钮;
2 配置“策略ID”为3001,配置完成后单击“确定”按钮;
3 单击“策略3001”“修改”按钮,添加策略规则;
4 单击“新建”按钮,添加策略规则;
5 配置NA T策略规则,配置完成后单击“确定”按钮;此规则用于NA T,决定是否对网络流量做NAT 转换;
6 单击“新建”按钮,配置第二条策略规则,,配置完成后单击“确定”按钮;此规则仍然用于NAT,与NQA配合使用,即将NQA的检测报文做NA T转换;
7 配置完成后,单击“返回”按钮;
配置NAT地址池
1 单击“防火墙》NAT》动态地址转换”,单击“地址池》新建”按钮配置NAT地址池;
2 配置“地址池索引”为1,开始ip地址10.1.1.101,结束ip地址10.1.1.200;配置完成后单击“确定”按钮;
配置NAT与接口关联
1 单击“地址转换关联》新建”按钮配置NAT与接口关联;
2 配置“接口”为G2/0,“ACL”为3001,“地址转换方式”为PAT,“地址池索引”为1,“使能VRRP 关联”为101,配置完成后单击“确定”按钮;注意:接口配置VRRP后,必须配置“使能VRRP关联”;
2.6 配置OSPF动态路由协议
1 单击“网络管理》路由管理》OSPF”配置“启用OSPF协议”,单击“确定”按钮;
2 单击“区域配置》新建”按钮配置OSPF区域ID和网段地址;
3 配置“全局配置》OSPF区域配置”“区域ID”为0,“网段地址”为192.168.2.0/0.0.0.255和192.168.3.0/0.0.0.255;配置完成后单击“确定”按钮;
4 单击“区域配置》更多选项”按钮配置“接口配置”,修改OSFP HELLO和DEAD间隔时间;
5 配置接口2/2“HELLO间隔”为1秒,“DEAD间隔”为4秒;配置完成后单击“确定”按钮;
6 配置接口2/2“HELLO间隔”为1秒,“DEAD间隔”为4秒;配置完成后单击“确定”按钮;
2.7 配置NQA
通过CONSOLE或者TELNET登录到设备命令行界面,默认的用户名/密码:h3c/h3c;
配置NQA
1 配置NQA entry;用于检测防火墙G2/0接口的VRRP状态,当VRRP状态为主时,NQA检测成功;当VRRP状态为备时,NQA检测失败;NQA与静态缺省路由、TRACK1配合使用,当NQA检测成功,静态缺省路由有效;反之,静态缺省路由无效;
[FW1]nqa entry monitor_vrrp 1
[FW1-nqa-monitor_vrrp-1-icmp-echo]display this
#
type icmp-echo
destination ip 10.1.1.1 //配置检测的目的地址
frequency 1000 //配置检测的间隔时间1000ms
next-hop 10.1.1.1 //配置检测的下一跳地址
probe count 1 //配置一次NQA测试中探测的次数
probe timeout 1000 //配置检测的超时时间
reaction 1 checked-element probe-fail threshold-type consecutive 3 action-type trigger-only //配置nqa检测失败触发条件,三次检测失败触发nqa检测失败
route-option bypass-route //配置检测不经过路由表转发
source interface GigabitEthernet2/2.10 //配置检测的源接口
#
return
[FW1-nqa-monitor_vrrp-1-icmp-echo]
配置NQA schedule
配置TRACK NQA
#
track 1 nqa entry monitor_vrrp 1 reaction 1 //配置NQA与TRACK 1绑定
#
nqa schedule monitor_vrrp 1 start-time now lifetime forever
//配置NQA测试的启动时间和持续时间
#
2.8 配置静态缺省路由与TRACK 1绑定
当NQA检测成功,此路由有效;当NQA检测失败,此路由无效;
#
ip route-static 0.0.0.0 0.0.0.0 10.1.1.1 track 1
#
2.9 配置OSPF发布缺省路由
#
ospf 1
default-route-advertise
area 0.0.0.0
network 192.168.2.0 0.0.0.255
network 192.168.3.0 0.0.0.255
#
配置保存
单击“设备管理》配置管理》配置保存”单击“确定”按钮保存配置;
3 备防火墙配置步骤:
1 通过CONSOLE口登录防火墙,修改防火墙管理接口ip地址为192.168.0.2/24;
实验7 OSPF路由协议配置 实验报告
浙江万里学院实验报告 课程名称:数据通信与计算机网络及实践 实验名称:OSPF路由协议配置 专业班级:姓名:小组学号:2012014048实验日期:6.6
再测试。要求写出两台路由器上的ospf路由配置命令。
[RTC-rip-1]import ospf [RTC-rip-1]quit [RTC]ospf [RTC-ospf-1]import rip [RTC-ospf-1]quit
结合第五步得到的路由表分析出现表中结果的原因: RouteB 通过RIP学习到C和D 的路由情况,通过OSPF学习到A 的路由信息 实验个人总结 班级通信123班本人学号后三位__048__ 本人姓名_ 徐波_ 日期2014.6.06 本次实验是我们的最后一次实验,再次之前我们已经做了很多的有关于华为的实验,从一开始的一头雾水到现在的有一些思路,不管碰到什么问题,都能够利用自己所学的知识去解决或者有一些办法。这些华为实验都让我受益匪浅。 实验个人总结 班级通信123班本人学号后三位__046__ 本人姓名_ 金振宁_ 日期2014.6.06 这两次实验都可以利用软件在寝室或者去其他的地方去做,并不拘泥于实验室,好好的利用华为的模拟机软件对我们来说都是非常有用的。 实验个人总结 班级通信123班本人学号后三位__044_ 本人姓名_ 陈哲日期2014.6.06
理解OSPF路由协议,OSPF协议具有如下特点: 适应范围:OSPF 支持各种规模的网络,最多可支持几百台路由器。 快速收敛:如果网络的拓扑结构发生变化,OSPF 立即发送更新报文,使这一变化在自治系统中同步。 无自环:由于OSPF 通过收集到的链路状态用最短路径树算法计算路由,故从算法本身保证了不会生成自环路由。 实验个人总结 班级通信123班本人学号后三位__050 本人姓名_ 赵权日期2014.6.06 通过本次实验学会了基本的在路由器上配置OSPF路由协议,组建一个简单的路由网络。想必以后的生活中有可能会用到。
双机热备OSPF组网配置指导手册v1.3
双机热备主备方式OSPF组网配置 指导手册
关键字:双机热备、主备、非抢占、物理接口、静态路由、OSPF 目录 1双机热备防火墙组网说明: (3) 2主防火墙配置步骤: (4) 2.1 配置接口地址 (6) 2.2 配置安全区域 (8) 2.3 配置双机热备 (9) 2.4 配置接口联动 (12) 2.5 配置NAT (12) 2.6 配置OSPF动态路由协议 (16) 2.7 配置NQA (19) 2.8 配置静态缺省路由与TRACK 1绑定 (20) 2.9 配置OSPF发布缺省路由 (21) 3备防火墙配置步骤: (22) 2.1 配置接口地址 (23) 2.2 配置安全区域 (25) 2.3 配置双机热备 (27) 2.4 配置接口联动 (29) 2.5 配置NAT (30) 2.6 配置OSPF动态路由协议 (34) 2.7 配置NQA (36) 2.8 配置静态缺省路由与TRACK 1绑定 (37) 2.9 配置OSPF发布缺省路由 (38)
1 双机热备防火墙组网说明: 组网说明: 防火墙双机热备组网,主备非抢占模式,防火墙上行链路通过静态路由指向连接INTERNET网络,防火墙下行链路通过OSPF动态路由指向内部网络路由器。 业务要求: 当网络“层三交换机”或“防火墙”或“层二交换机”某一个设备本身故障或某一条线路故障时,流量可以及时从主防火墙切换至备防火墙,保证网络应用业务不中断、平稳运行。
2 主防火墙配置步骤: 1 配置PC IP地址192.168.0.3/24,连接管理防火墙: 2 通过IE浏览器打开防火墙WEB管理界面,防火墙默认的管理IP地址192.168.0.1,默认的用户名:h3c,默认密码:h3c。
实验五 OSPF的基本配置
实验五OSPF的基本配置 实验拓扑图 1.基本配置 R1(config)#interface fastEthernet 0/0 R1(config-if)#ip address 172.16.1.1 255.255.255.0 R1(config-if)#no shutdown R1(config)#interface s2/0 R1(config-if)#ip add 192.168.1.5 255.255.255.252 R1(config-if)#clock rate 64000 R1(config-if)#no shutdown R2(config)#interface s3/0 R2(config-if)#ip add 192.168.1.6 255.255.255.252 R2(config-if)#no shutdown R2(config)#interface fa1/0 R2(config-if)#ip add 10.10.10.1 255.255.255.0 R2(config-if)#no shutdown 2.OSPF的配置 R1(config)#router ospf 1 启动ospf进程,进程ID为1(进程ID取值范围是1-65535中的一个整数),此进程号只是本地的一个标识,具有本地意义,与同一个区域中的OSPF路由器进程号没有关系,进程号不同不影响邻接关系的建立。 R1(config-router)#network 172.16.1.0 0.0.0.255 area 0 宣告网络,即定义参与OSPF进程的接口或网络,并指定其运行的区域(区域0为骨干区域),通配符掩码用来控制要宣告的范围,任何在此地址范围内的接口都运行OSPF协议,发送和接收OSPF报文,0表示精确匹配,将检查匹配地址中对应位,1表示任意匹配,不检查匹配地址中对应位。 R1(config-router)#network 192.168.1.4 0.0.0.3 area 0 R2(config)#router ospf 1 R2(config-router)#network 192.168.1.4 0.0.0.3 area 0 R2(config-router)#network 10.10.10.0 0.0.0.255 area 0 3.查看信息 (1)查看路由表 R1#show ip route 要求对R1路由表截图,说明OSPF路由的含义
RoseMirrorHA双机热备软件的安装及配置手册
双机热备软件的安装与配置指导手册 系统版本:A1 文档编号:CHI-PT-NJBL-SJRB-A0
内容简介 《双机热备软件的安装与配置指导手册》主要针对目前公司人员定位系统服务器双机热备软件的安装和配置进行了详细说明,指导现场工程师对双机热备软件进行安装及配置。 本手册共分四章节,分别为: 第一章:概述 第二章:软件的安装 第三章:服务的安装及配置 第四章:注意事项 第五章:常见故障处理 本文档的读者范围: 公司内部员工 版权声明 本文档属南京北路科技有限公司版权所有,侵权必究。 本文文件专供用户、本公司职员以及经本公司许可的人员使用,未经公司书面 同意,任何单位或个人不得以任何方式复制、翻印、改编、摘编、转载、翻 译、注释、整理、出版或传播手册的全部或部分内容。
南京北路自动化系统有限责任公司位于南京江宁经济技术开发区,是南京市高新技术企业,现有高级工程师、工程师及其他专业技术人员100余名。是专业从事煤矿通信、自动化、信息化产品的研发、生产、销售及服务的高科技公司。 公司拥有ISO9001:2000质量管理体系认证,坚持“质量第一、用户至上、至诚服务、持续改进”的质量方针,得到了广大客户的信赖和支持。目前公司产品覆盖全国10多个省、自治区,并在多个煤炭主产区设有售后服务机构。 公司以满足客户需求为己任,不断生产高性价比的产品,为客户创造价值。 南京北路自动化系统有限责任公司 联系地址:南京市江宁开发区菲尼克斯路99号 邮政编码:211106 电话号码:(025)52187543 传真:(025)52185703 邮件地址:njbestway@https://www.360docs.net/doc/153198477.html, 客户服务电话:400-611-5166 客户支持网站:https://www.360docs.net/doc/153198477.html,
实验17 OSPF单区域
OSPF单区域1 实验目的: 能够在单区域环境中配置OSPF路由协议。 2 网络拓扑 3 试验环境: 网络中计算机和路由器的IP地址已经如图配置完成。 4 试验要求 ?在Area0配置OSPF。 ?查看路由表。 ?检查OSPF协议的收敛速度。
5 基本配置步骤 5.1在Router2上 Router>en Router#config t Enter configuration commands, one per line. End with CNTL/Z. Router(config)#router ospf 1 Router(config-router)#network 192.168.0.0 0.0.0.3 area 0 Router(config-router)#network 172.16.0.0 0.0.255.255 area 0 Router(config-router)# OR Router(config)#router ospf 1 Router(config-router)#network 192.168.0.1 0.0.0.0 area 0 Router(config-router)#network 172.16.0.1 0.0.0.0 area 0 Router(config-router)# 5.2在Route0上 Router>en Router#config t Enter configuration commands, one per line. End with CNTL/Z. Router(config)#router ospf 1 Router(config-router)#network 192.168.0.0 0.0.0.3 area 0 Router(config-router)#network 192.168.0.4 0.0.0.3 area 0 Router(config-router)#network 192.168.0.12 0.0.0.3 area 0 Router(config-router)#ex 5.3在Router1上 Router>en
华为OSPF配置命令详解
华为OSPF配置命令详解 网络技术2009-07-11 15:22:36 阅读946 评论0 字号:大中小订阅【命令】ospf network-type { broadcast | nbma | p2mp | p2p } undo ospf network-type { broadcast | nbma | p2mp | p2p } 【视图】接口视图 【参数】broadcast:设置接口网络类型为广播类型。 nbma:设置接口网络类型为NBMA 类型。 p2mp:设置接口网络类型为点到多点。 p2p:设置接口网络类型为点到点。 【描述】ospf network-type 命令用来设置OSPF 接口网络类型, undo ospf network-type 命令用来删除接口指定的网络类型。需要注意的是:当接口被配置为新的网络类型后,原接口网络类型将自动取消。 【举例】# 配置接口Serial0 为NBMA 类型。 [Quidway-Serial0] ospf network-type nbma 【命令】ospf peer ip-address [ eligible ] undo ospf peer ip-address 【视图】接口视图 【参数】ip-address:NBMA、点到点和点到多点接口的相邻路由器的IP 地址。eligible:表明该邻居具有选举权。
【描述】ospf peer 命令用来设定对端路由器IP 地址。undo ospf peer 命令用来取 消对端路由器IP 地址的设定。 缺省情况下,不设定任何对端路由器IP 地址。 对于NBMA 网络,如X.25 或帧中继等不支持广播方式的网络上,还需要进行一些特殊的配置。由于无法通过广播Hello 报文的形式发现相邻路由器,必须手工为该接口指定相邻路由器的IP 地址,以及该相邻路由器是否有选举权等,若未指定eligible 关键字时,就认为该相邻 路由器没有选举权。 【举例】# 配置接口Serial0 的相邻路由器IP 地址为10.1.1.4。 [Quidway-Serial0] ospf peer 10.1.1.4 【命令】ospf timer dead seconds undo ospf timer dead 【视图】接口视图 【参数】seconds:邻居路由器的失效时间,取值范围为1~65535 秒。其缺省值根据 接口类型不同而不同。 【描述】ospf timer dead 命令用来配置对端路由器的失效时间。 undo ospf timer dead 命令用来恢复对端路由器失效时间为缺省值。
OSPF配置技巧实验报告-何荣贤
集美大学 计算机工程学院 实验报告 课程名称计算机网络 实验名称实验7 OSPF配置技巧实验 日期2012/6/5 地点陆大0316 班级计算1013 老师耿少峰 组号 D 组长何荣贤 一、学习目的 完成本实验后,您将能够:
? 按照指定要求创建有效的 VLSM 设计 ? 为接口分配适当的地址并记录下来 ? 根据拓扑图完成网络电缆连接 ? 删除路由器启动配置并将其重新加载到默认状态 ? 在路由器上配置 OSPF 及其它设置 ? 配置并传播静态默认路由 ? 检验 OSPF 的运行情况 ? 测试和检完全连通性 ? 思考网络实施并整理成文档 二、实验拓扑及场景 场景 在本实验练习中,将为您指定一个网络地址,您必须使用 VLSM 来为该网络划分子网,从而根据拓扑图完成网络地址分配。将需要组合使用 OSPF 路由和静态路由,以使网络中未直接连接的主机能相互通信。在所有 OSPF 配置中将使用 0 作为 OSPF 区域 ID ,采用 1 作为进程 ID 。 任务 1 :为地址空间划分子网。 步骤 1 :检查网络要求。 具有下列网络地址要求: ? 必须为网络 172.20.0.0/16 划分子网,从而为 LAN 串行链路提供地址。 o HQ LAN 需要 8000 个地址 o Branch1 LAN 需要 4000 个地址
o Branch2 LAN 需要 2000 个地址 o 路由器之间的每条链路需要两个地址 ? 代表路由器 HQ 和 ISP 之间链路的环回地址将使用网络 10.10.10.0/30 。 步骤 2 :创建网络设计时请考虑下列问题。 需要为网络 172.20.0.0/16 划分多少个子网? __6_____ 网络 172.20.0.0/16 总共需要提供多少个 IP 地址?__14006______ HQ LAN 子网将使用什么子网掩码? ___/19_____ 此子网内可用的最大主机地址数是多少? __8192______ Branch1 LAN 子网将使用什么子网掩码? __/20______ 此子网内可用的最大主机地址数是多少?__4094______ Branch2 LAN 子网将使用什么子网掩码? __/21______ 此子网内可用的最大主机地址数是多少? __2046______ 这三台路由器间的链路将使用什么子网掩码? ___/30_______________ 这些子网中的每个子网内可用的最大主机地址数是多少? ___2_____ 步骤 3 :为拓扑图分配子网地址。 1. 将网络 17 2.20.0.0/16 的子网 0 分配给 HQ LAN 子网。此子网的网络地 址是什么? ___172.20.0.0/19_______________ 2. 将网络 172.20.0.0/16 的子网 1 分配给 Branch1 LAN 子网。此子网 的网络地址是什么? ___172.20.32.0/20______________ 3. 将网络 172.20.0.0/16 的子网 2 分配给 Branch2 LAN 子网。此子网 的网络地址是什么?
RoseMirrorHA镜像服务器双机热备解决方案及具体配置
RoseMirrorHA镜像服务器双机热备解决方案 及具体配置
一、双机热备拓扑图以及工作原理
双机热备工作示意图 二、双机热备方案介绍 在高可用性方案中,操作系统和应用程序是安装在两台服务器的本地系统盘上的,而整个网络系统的数据是通过磁盘阵列集中管理和数据备份的。数据的集中管理是通过双机热备份系统,将所有站点的数据直接从中央存储设备来读取和存储,并由专业人员进行管理,极大地保护了数据的安全性和保密性。用户的数据存放在外接共享磁盘阵列中,在一台服务器出现故障时,备机主动替代主机工作,保证网络服务不间断。 双机热备份系统采用“心跳”方法保证主系统与备用系统的联系。所谓“心跳”,指的是主从系统之间相互按照一定的时间间隔发送通讯信号,表明各自系统当前的运行状态。一旦“心跳”信号表明主机系统发生故障,或者是备用系统无法收到主机系统的“心跳”信号,则系统的高可用性管理软件(双机软件RoseHA)认为主机系统发生故障,立即令主机停止工作,并将系统资源转移到备用系统上,备用系统将替代主机发挥作用,以保证网络服务运行不间断。
双机备份方案中,根据两台服务器的工作方式可以有三种不同的工作模式,即双机热备模式、双机互备模式和双机双工模式。下面分别予以简单介绍: ?双机热备模式即目前通常所说的active/standby 方式,active服务器处于工作状态;而standby服务器处于监控准备状态。当active服务器出现故障的时候,通过软件诊测或手工方式将standby机器激活,保证应用在短时间内完全恢复正常使用。这是目前最理想的一种模式。 ?双机互备模式,是两个相对独立的应用在两台机器同时运行,但彼此均设为备机,当某一台服务器出现故障时,另一台服务器可以在短时间内将故障服务器的应用接管过来,从而保证了应用的持续性,但对服务器的性能要求比较高。服务器配置相对要好。 ?双机双工模式 : 是目前Cluster(集群)的一种形式,两台服务器均为活动状态,同时运行相同的应用,保证整体的性能,也实现了负载均衡和互为备份。WEB服务器或FTP服务器等用此种方式比较多。 双机热备有两种实现模式,一种是基于共享的存储设备的方式,另一种是没有共享的存储设备的方式,一般称为纯软件方式,低成本模式。 基于存储共享的双机热备是双机热备的最标准方案。这种方式采用两台服务器,使用共享的存储设备(磁盘阵列柜或存储区域网SAN)。两台服务器可以采用热备(主从)、互备、双工(并行)等不同的方式。在工作过程中,两台服务器将以一个虚拟的IP地址对外提供服务,依工作方式的不同,将服务请求发送给其中一台服务器承担。同时,服务器通过心跳线(目前往往采用建立私有网络的方式)侦测另一台服务器的工作状况。当一台服务器出现故障时,另一台服务器根据心跳侦测的情况做出判断,并进行切换,接管服务。对于用户而言,这一过程是全自动的,在很短时间内完成,从而对业务不会造成影响。由于使用共享的存储设备,因此两台服务器使用的实际上是一样的数据,由双机或集群软件对其进行管理。
OSPF路由协议单区域概念及配置
OSPF路由协议单区域概念及配置 知识1:OSPF概述 开放式最短路径优先协议(Open Shortest Path First,OSPF)是基于开放标准的发链路状态路由选择协议 1.OSPF是内部网关路由协议 内部网关路由协议(IGP):用于在单一自治系统(Autonomous System-AS)内决策路由 自制系统(AS):执行统一路由策略的一组网络设备的组合 2.OSPF区域 为了适应大型的网络,OSPF在AS内划分多个区域;一定要划分区域0(骨干区域),其他区域必须和区域0相连。 每个OSPF路由器只维护所在区域的完整的链路状态信息 3.链路状态路由协议 OSPF是链路状态路由协议,链路状态路由协议中的路由器了解OSPF网络内的链路状态信息 链路状态路由协议中,直连的路由器之间建立邻接关系,互相“交流”链路信息,来“画”出完整的网络结构 知识2:Router ID Router ID 是在OSPF区域内唯一标识一台路由器的IP地址。 Router ID选取规则 ???首先,路由器选取它所有loopback接口上数值最高的IP地址 ???如果没有loopback接口,就在所有物理端口中选取一个数值最高的IP地址Router ID 不具备强占性,Router ID 只要选定就不会改变,即使是物理接口关闭,Router ID 也不会变,除非重启路由器或进程。 知识3:OSPF的工作过程 邻居列表 ?列出每台路由器全部已经建立邻接关系的邻居路由器 链路状态数据库(LSDB) ?列出网络中其他路由器的信息,由此显示了全网的网络拓扑 路由表 ?列出通过SPF算法计算出的到达每个相连网络的最佳路径 知识4:OSPF邻接关系 邻接关系的建立过程
基本OSPF配置
基本OSPF配置 实验一: (一)实验名称:OSPF多区域配置 (二)实验目的:1)理解路由器的基本功能 2)训练路由器动态路由的基本配置命令 3)掌握路由器路由配置的基本方法 4)掌握在路由器上配置OFPF动态路由的基本方法 5)掌握网络连通性的基本方法 (三)实验拓扑图: (四)实验步骤: (一)配置PC机、路由器、服务器的IP地址 路由器router0:Router>enable Router#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router(config)#interface FastEthernet0/0
Router(config-if)#ip address 10.0.1.254 255.255.255.0 Router(config-if)#no shutdown Router(config-if)# %LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to up Router(config-if)#exit Router(config)#interface FastEthernet0/1 Router(config-if)#ip address 10.0.2.254 255.255.255.0 Router(config-if)#no shutdown Router(config-if)#exit Router(config)#interface Serial1/0 Router(config-if)#clock rate 64000 Router(config-if)#ip address 30.0.0.1 255.255.255.0 Router(config-if)#no shutdown 路由器router1:Router>enable Router#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router(config)#interface FastEthernet0/0 Router(config-if)#ip address 20.0.0.254 255.255.255.0 Router(config-if)#no shutdown Router(config-if)#exit Router(config)#interface Serial1/1 Router(config-if)#clock rate 64000 This command applies only to DCE interfaces Router(config-if)#ip address 30.0.0.2 255.255.255.0 Router(config-if)#no shutdown Router(config)#interface Serial1/0 Router(config-if)#clock rate 64000 Router(config-if)#ip address 40.0.0.1 255.255.255.0 Router(config-if)#no shutdown 路由器router2:outer>enable Router#configure terminal Enter configuration commands, one per line. End with CNTL/Z.
OSPF协议配置
OSPF 协议配置 【实验目的】 1.了解和掌握ospf 的原理; 2.熟悉ospf 的配置步骤; 3.懂得如何配置OSPF router ID ,了解DR/BDR 选举过程; 4.掌握hello-interval 的使用; 5.学会使用OSPF 的authentication ; 【实验拓扑】 【实验器材】 如上图,需用到路由器三台,hub/switch 一个,串行线、网线若干,主机三台。 说明:拓扑中网云可用hub 或普通switch 替代,建立multiaccess 网络,以太口连接。 【实验原理】 一、OSPF 1. OSPF 基本原理以及邻居关系建立过程 OSPF 是一种链路状态型路由选择协议。它依靠5种(Hello, DBD, LSR, LSU and LSAck)不同种类的数据包来识别、建立和维护邻居关系。当路由器接收到来自邻居的链路状态信息后,会建立一个链路状态数据库;然后根据该链路状态数据库,采用SPF 算法确定到各目的地的最佳路径;最后将最佳路径放到它的路由表中,生成路由表。 OSPF 会进行周期性的更新以维护网络拓扑状态,在LSA 的生存期到期时进行周期性的更新。除了周期性更新之外,还有触发性更新。即当网络结构发生变化(例如增减路由器、链路状态发生变化等)时,会产生触发性更新,把变化的那一部分通告给整个网络。 192.168.1.0/24 RT A
2.Designated Router (DR) / Backup Designated Router(BDR)选举过程 存在于multiaccess网络,点对点链路和NBMA网络中无此选举过程,此过程发生在Two-Way之后ExStart之前。 选举过程: 选举时,依次比较hello包中的各台router priority和router ID,根据这两个值选出DR 和BDR。选举结束后,只有DR/BDR失效才会引起新的选举过程;如果DR故障,则BDR 替补上去,次高优先级Router被选为BDR。 基本原则如下: 1)有最高优先级值的路由器成为DR,有第二高优先级的路由器成为BDR; 2)优先级为0的路由器不能作为DR或BDR,只能做DRother (非DR); 3)如果一台优先级更高的路由器加到了网络中,原来的DR与BDR保持不变,只有DR 或BDR它们失效时才会改变; 4)当优先级相同时,路由器ID最高和次高的的就成为DR和BDR; 5)当没有配置loopback时,用router上up起来的端口中最高IP地址作为Router ID,否则就用loopback口的IP地址作为它的ID;如果有多个loopback则用loopback端口中最高IP地址作为ID;而且路由器ID 一旦确定就不再更改。 建议使用优先级操纵DR/BDR选举过程 3.update timer与authentication的影响 要让OSPF路由器能相互交换信息,它们必须具有相同的hello间隔和相同的dead-time 间隔。缺省情况下,后者是前者的4倍。 缺省地,路由器认为进入的路由信息总是可靠的、准确的,从而不加甄别就进行处理,这存在一定的危险。因此,为了确保进入的路由信息的可靠性和准确性,我们可以在路由器接口上配置认证密钥来作为同一区域OSPF路由器之间的口令,或对路由信息采用MD5算法附带摘要信息来保证路由信息的可靠性和准确性。建议采用后者,因为前者的密钥是明文发送的。 三、其它预备知识 1、回环接口的配置: Router(config)#int l0 Router(config-if)#ip addr *.*.*.* *.*.*.* 2、telnet:是属于应用层的远程登陆协议,是一个用于远程连接服务的标准协议,用户可以 用它建立起到远程终端的连接,连接到Telnet服务器;用户也可以用它远程连接上路由器进行路由器配置。 【实验内容】 一、在路由器上配置单域的OSPF 1.按照拓扑图1接好线,完成如下基本配置: (1)配置端口IP地址 以RTA路由器的配置为例: RTA(config)#Interface Ethernet 0 RTA(config-if)#ip address 192.168.1.1 255.255.255.0
华为防火墙双机热备配置及组网
防火墙双机热备配置及组网指导 防火墙双机热备,主要是提供冗余备份的功能,在网络发生故障的时候避免业务出现中断。防火墙双机热备组网根据防火墙的模式,分路由模式下的双机热备组网和透明模式下的双机热备组网,下面分别根据防火墙的不同模式下的组网提供组网说明及典型配置。 1 1:防火墙双机热备命令行说明 防火墙的双机热备的配置主要涉及到HRP的配置,VGMP的配置,以及VRRP的配置,防火墙的双机热备组网配置需要根据现网的业务和用户的需求来进行调整,下面就防火墙的双机热备配置涉及到的命令行做一个解释说明。 1.1 1.1 HRP命令行配置说明 HRP是华为的冗余备份协议,Eudemon 防火墙使用此协议进行备份组网,达到链路状态备份的目的,从而保证在设备发生故障的时候业务正常。 HRP协议是华为自己开发的协议,主要是在VGMP协议的基础上进行扩展得到的;VGMP是华为的私有协议,主要是用来管理VRRP的,VGMP也是华为的私有协议,是在VRRP的基础上进行扩展得到的。不管是VGMP的报文,还是HRP的报文,都是VRRP的报文,只是防火墙在识别这些报文的时候能根据自己定义的字段能判断出是VGMP的报文,HRP的报文,或者是普通的VRRP的报文。 在Eudemon防火墙上,hrp的作用主要是备份防火墙的会话表,备份防火墙的servermap 表,备份防火墙的黑名单,备份防火墙的配置,以及备份ASPF模块中的公私网地址映射表和上层会话表等。 两台防火墙正确配置VRRP,VGMP,以及HRP之后,将会形成主备关系,这个时候防火墙的命令行上会自动显示防火墙状态是主还是备,如果命令行上有HRP_M的标识,表示此防火墙和另外一台防火墙进行协商之后抢占为主防火墙,如果命令行上有HRP_S的标识,表示此防火墙和另外一台防火墙进行协商之后抢占为备防火墙。防火墙的主备状态只能在两台防火墙之间进行协商,并且协商状态稳定之后一定是一台为主状态另外一台为备状态,不可能出现两台都为主状态或者都是备状态的。 在防火墙的HRP形成主备之后,我们称HRP的主备状态为HRP主或者是HRP备状态,在形成HRP的主备状态之后默认是一部分配置在主防火墙上配置之后能自动同步到备防火墙上的,而这些命令将不能在备防火墙的命令行上执行,这些命令包括ACL,接口加入域等,但其中一些命令行是不会从主防火墙上备份到备防火墙上。 HRP的配置命令的功能和使用介绍如下: ★ hrp enable :HRP使能命令,使能HRP之后防火墙将形成主备状态。 ★ hrp configuration check acl :检查主备防火墙两端的ACL的配置是否一致。执行此命令之后,主备防火墙会进行交互,执行完之后可以通过命令行display hrp configuration check acl来查看两边的配置是否一致。
OSPF基本配置实验原理
对于基本的OSPF配置,需要进行的操作包括: ●配置Router ID ●启动OSPF ●进入OSPF区域视图 ●在指定网段使能OSPF 1配置Router ID 路由器的ID是一个32比特无符号整数,采用IP地址形式,是一台路由器在自 治系统中的唯一标识。路由器的ID可以手工配置,如果没有配置ID号,系统 会从当前接口的IP地址中自动选一个较小的IP地址作为路由器的ID号。手工 配置路由器的ID时,必须保证自治系统中任意两台路由器的ID都不相同。通 常的做法是将路由器的ID配置为与该路由器某个接口的IP地址一致。 请在系统视图下进行下列配置。 表1-1配置路由器ID号 为保证OSPF运行的稳定性,在进行网络规划时,应确定路由器ID的划分并 手工配置。 说明: OSPF启动后修改的Router ID,需要重新启动OSPF进程之后,Router ID才能在OSPF 中生效。 2启动OSPF OSPF支持多进程,一台路由器上启动的多个OSPF进程之间由不同的进程号 区分。OSPF进程号在启动OSPF时进行设置,它只在本地有效,不影响与其 它路由器之间的报文交换。 请在系统视图下进行下列配置。 表1-2启动/关闭OSPF
缺省情况下,不运行OSPF。 启用OSPF时,需要注意: ●如果在启动OSPF时不指定进程号,将使用缺省的进程号1;关闭OSPF 时不指定进程号,缺省关闭进程1。 ●在同一个区域中的进程号必须一致,否则会造成进程之间的隔离。 ●当在一台路由器上运行多个OSPF进程时,建议用户使用以上命令中的 router-id为不同进程指定不同的Router ID。 ●以上命令中的vpn-instance用于将OSPF进程与VPN实例进行绑定, 用于MPLS VPN解决方案,详细介绍请参考本手册的“VPN”部分。 3进入OSPF区域视图 OSPF协议将自治系统划分成不同的区域(Area),在逻辑上将路由器分为不 同的组。在区域视图下可以进行区域相关配置。 请在OSPF视图下进行下列配置。 表1-3进入OSPF区域视图 区域ID可以采用十进制整数或IP地址形式输入,但显示时使用IP地址形式。 在配置同一区域内的OSPF路由器时,应注意:大多数配置数据都应该对区域 统一考虑,否则可能会导致相邻路由器之间无法交换信息,甚至导致路由信息 的阻塞或者产生路由环。 4在指定网段使能OSPF 在系统视图下使用ospf命令启动OSPF后,还必须指定在哪个网段上应用 OSPF。 请在OSPF区域视图下进行下列配置。 表1-4在指定网段使能OSPF 一台路由器可能同时属于不同的区域(这样的路由器称作ABR),但一个网段 只能属于一个区域
防火墙双机热备配置案例
双机热备 网络卫士防火墙可以实现多种方式下的冗余备份,包括:双机热备模式、负载均衡模式和连接保护模式。 在双机热备模式下(最多支持九台设备),任何时刻都只有一台防火墙(主墙)处于工作状态,承担报文转发任务,一组防火墙处于备份状态并随时接替任务。当主墙的任何一个接口(不包括心跳口)出现故障时,处于备份状态的防火墙经过协商后,由优先级高的防火墙接替主墙的工作,进行数据转发。 在负载均衡模式下(最多支持九台设备),两台/多台防火墙并行工作,都处于正常的数据转发状态。每台防火墙中设置多个VRRP备份组,两台/多台防火墙中VRID相同的组之间可以相互备份,以便确保某台设备故障时,其他的设备能够接替其工作。 在连接保护模式下(最多支持九台设备),防火墙之间只同步连接信息,并不同步状态信息。当两台/多台防火墙均正常工作时,由上下游的设备通过运行VRRP或HSRP进行冗余备份,以便决定流量由哪台防火墙转发,所有防火墙处于负载分担状态,当其中一台发生故障时,上下游设备经过协商后会将其上的数据流通过其他防火墙转发。 双机热备模式 基本需求 图 1双机热备模式的网络拓扑图 上图是一个简单的双机热备的主备模式拓扑图,主墙和一台从墙并联工作,两个防火墙的Eth2接口为心跳口,由心跳线连接用来协商状态,同步对象及配置信息。 配置要点 ?设置HA心跳口属性 ?设置除心跳口以外的其余通信接口属于VRID2 ?指定HA的工作模式及心跳口的本地地址和对端地址 ?主从防火墙的配置同步 WEBUI配置步骤 1)配置HA心跳口和其他通讯接口地址 HA心跳口必须工作在路由模式下,而且要配置同一网段的IP以保证相互通信。接口属性必须要勾选“ha-static”选项,否则HA心跳口的IP地址信息会在主从墙运行配置同步时被对方覆盖。 ?主墙 a)配置HA心跳口地址。 ①点击网络管理>接口,然后选择“物理接口”页签,点击eth2接口后的“设置”图标,配置基本信息,如下图所示。 点击“确定”按钮保存配置。
华为路由OSPF理论和配置命令
OSPF要求每台运行OSPF的路由器都了解整个网络的链路状态信息,这样才能计算出到达目的地的最优路径。OSPF的收敛过程由链路状态公告LSA(Link State Advertisement)泛洪开始,LSA中包含了路由器已知的接口IP地址、掩码、开销和网络类型等信息。收到LSA的路由器都可以根据LSA提供的信息建立自己的链路状态数据库LSDB(Link State Database),并在LSDB的基础上使用SPF算法进行运算,建立起到达每个网络的最短路径树。最后,通过最短路径树得出到达目的网络的最优路由,并将其加入到IP路由表中。 OSPF直接运行在IP协议之上,使用IP协议号89。 OSPF有五种报文类型,每种报文都使用相同的OSPF报文头。 Hello报文:最常用的一种报文,用于发现、维护邻居关系。并在广播和NBMA(None-Broadcast Multi-Access)类型的网络中选举指定路由器DR(Designated Router)和备份指定路由器BDR
(Backup Designated Router)。 DD报文:两台路由器进行LSDB数据库同步时,用DD报文来描述自己的LSDB。DD报文的内容包括LSDB中每一条LSA的头部(LSA的头部可以唯一标识一条LSA)。LSA头部只占一条LSA的整个数据量的一小部分,所以,这样就可以减少路由器之间的协议报文流量。LSR报文:两台路由器互相交换过DD报文之后,知道对端的路由器有哪些LSA是本地LSDB 所缺少的,这时需要发送LSR报文向对方请求缺少的LSA,LSR只包含了所需要的LSA的摘要信息。 LSU报文:用来向对端路由器发送所需要的LSA。 LSACK报文:用来对接收到的LSU报文进行确认。 邻居和邻接关系建立的过程如下: Down:这是邻居的初始状态,表示没有从邻居收到任何信息。 Attempt:此状态只在NBMA网络上存在,表示没有收到邻居的任何信息,但是已经周期性的向邻居发送报文,发送间隔为HelloInterval。如果RouterDeadInterval间隔内未收到邻居的Hello报文,则转为Down状态。 Init:在此状态下,路由器已经从邻居收到了Hello报文,但是自己不在所收到的Hello报文的邻居列表中,尚未与邻居建立双向通信关系。 2-Way:在此状态下,双向通信已经建立,但是没有与邻居建立邻接关系。这是建立邻接关系以前的最高级状态。 ExStart:这是形成邻接关系的第一个步骤,邻居状态变成此状态以后,路由器开始向邻居发送DD报文。主从关系是在此状态下形成的,初始DD序列号也是在此状态下决定的。在此状态下发送的DD报文不包含链路状态描述。 Exchange:此状态下路由器相互发送包含链路状态信息摘要的DD报文,描述本地LSDB的
防火墙技术案例5双机热备(负载分担)组网下的IPSec配置
【防火墙技术案例5】双机热备(负载分担)组网下的IPSec配置 论坛的小伙伴们,大家好。强叔最近已经开始在“侃墙”系列中为各位小伙伴们介绍各种VPN了。说到VPN,小伙伴们肯定首先想到的是最经典的IPSec VPN,而且我想大家对IPSec的配置也是最熟悉的。但是如果在两台处于负载分担状态下的防火墙上部署IPSec VPN又该如何操作呢?有什么需要注意的地方呢? 本期强叔就为大家介绍如何在双机热备的负载分担组网下配置IPSec。 【组网需求】 如下图所示,总部防火墙NGFW_C和NGFW_D以负载分担方式工作,其上下行接口都工作在三层,并与上下行路由器之间运行OSPF协议。(本例中,NGFW是下一代防火墙USG6600的简称,软件版本为USG6600V100R001C10) 现要求分支用户访问总部的流量受IPSec隧道保护,且NGFW_C处理分支A发送到总部的流量,NGFW_D 处理分支B发送到总部的流量。当NGFW_C或NGFW_D中一台防火墙出现故障时,分支发往总部的流量能全部切换到另一台运行正常的防火墙。 【需求分析】 针对以上需求,强叔先带小伙们做一个简要分析,分析一下我们面临的问题以及解决这个问题的方法。
1、如何使两台防火墙形成双机热备负载分担状态? 两台防火墙的上下行业务接口工作在三层,并且连接三层路由器,在这种情况下,就需要在防火墙上配置VGMP组(即hrp track命令)来监控上下行业务接口。如果是负载分担状态,则需要在每台防火墙上调动两个VGMP组(active组和standby组)来监控业务接口。 2、分支与总部之间如何建立IPSec隧道? 正常状态下,根据组网需求,需要在NGFW_A与NGFW_C之间建立一条隧道,在NGFW_B与NGFW_D之间建立一条隧道。当NGFW_C与NGFW_D其中一台防火墙故障时,NGFW_A和NGFW_B都会与另外一台防火墙建立隧道。 3、总部的两台防火墙如何对流量进行引导? 总部的两台防火墙(NGFW_C与NGFW_D)通过路由策略来调整自身的Cost值,从而实现正常状态下来自NGFW_A的流量通过NGFW_C转发,来自NGFW_B的流量通过NGFW_D转发,故障状态下来自NGFW_A和NGFW_B的流量都通过正常运行的防火墙转发。 【配置步骤】 1、配置双机热备功能。 在配置双机热备功能前,小伙伴们需要按照上图配置各接口的IP地址,并将各接口加入相应的安全区域,然后配置正确的安全策略,允许网络互通。由于这些不是本案例的重点,因此不在此赘述。 完成以上配置后,就要开始配置双机热备功能了。大家可以看到形成双机的两台防火墙(NGFW_C和NGFW_D负载分担处理流量)的上下行接口都工作在三层,而且连接的是路由器。这无疑是非常经典的“防火墙业务接口工作在三层,上下行连接路由器的负载分担组网”。各位小伙伴们可以在华为的任何防火墙资料中看到此经典举例,无论是命令行配置举例还是Web配置举例,大家想怎么看就怎么看~ 因此强叔只在此给出双机热备的命令行配置和关键解释。
实验5 OSPF单区域
【实验名称】 OSPF单区域基本配置。 【实验目的】 掌握在路由器上配置OSPF单区域。 【背景描述】 假设校园网通过1台三层交换机连到校园网出口路由器,路由器再和校园外的另1台路由器连接,现做适当配置,实现校园网内部主机与校园网外部主机的相互通信。 本实验以两台R1762路由器、1台三层交换机为例。S3550上划分有VLAN10和VLAN50,其中VLAN10用于连接Router1,VLAN50用于连接校园网主机。 路由器分别命名为Router1和Router2,路由器之间通过串口采用V35 DCE/DTE电缆连接,DCE端连接到Router1(R1762)上。 PC1的IP地址和缺省网关分别为172.16.5.11和172.16.5.1,PC2的IP地址和缺省网关分别为172.16.3.22和172.16.3.1,网络掩码都是255.255.255.0。 【技术原理】 OSPF(Open Shortest Path First,开放式最短路径优先)协议,是目前网络中应用最广泛的路由协议之一。属于内部网关路由协议,能够适应各种规模的网络环境,是典型的链路状态(link-state)协议。OSPF路由协议通过向全网扩散本设备的链路状态信息,使网络中每台设备最终同步一个具有全网链路状态的数据库(LSDB),然后路由器采用SPF算法,以自己为根,计算到达其他网络的最短路径,最终形成全网路由信息。 OSPF属于无类路由协议,支持VLSM(变长子网掩码)。OSPF是以组播的形式进行链路状态的通告的。 在大模型的网络环境中,OSPF支持区域的划分,将网络进行合理规划。划分区域时必须存在area0(骨干区域)。其他区域和骨干区域直接相连,或通过虚链路的方式连接。 【实现功能】 实现网络的互连互通,从而实现信息的共享和传递。 【实验设备】 S3550(1台)、R1762路由器(两台)、V35线缆(1根)、交叉线或直连线(1条) 【实验拓扑】