cjh 华为USG防火墙双机热备: vrrp中的两台如何实现dhcp主备?如果是查询虚拟网关,备机是不会响应arp包的,除非是arp查询是查询自己。
华为USG防火墙双机热备: vrrp中的两台如何实现dhcp主备?如果是查询虚拟网关,备机是不会响应arp包的,除非是arp查询是查询自己。
知识点:
(1)拓扑图
ha-vrrp-usg_export-20240607-025119.zip
(2)基本配置
web-manager security version tlsv1.1 tlsv1.2
web-manager enable
web-manager security enable
web-manager timeout 1440
undo web-manager config-guide enable
fw1:
接口配置ip地址:
#
interface GigabitEthernet0/0/0
undo shutdown
ip binding vpn-instance default
ip address 192.168.125.31 255.255.254.0
service-manage http permit
service-manage https permit
service-manage ping permit
#
interface GigabitEthernet0/0/0
undo shutdown
ip binding vpn-instance default
ip address 192.168.125.32 255.255.254.0
service-manage http permit
service-manage https permit
service-manage ping permit
#
interface GigabitEthernet1/0/0
undo shutdown
ip address 192.168.3.11 255.255.255.0
undo service-manage enable
#
interface GigabitEthernet1/0/1
undo shutdown
ip address 192.168.10.1 255.255.255.0
#
把接口加入到某区域
firewall zone trust
set priority 85
add interface GigabitEthernet0/0/0
add interface GigabitEthernet1/0/0
add interface GigabitEthernet1/0/1
配置登录使用的帐号:
aaa
manager-user admin
password 密码
service-type web terminal
level 15
安全策略
security-policy
default action permit
y
fw2的配置略。
(3)配置HRP
fw1:
hrp enable
hrp interface GigabitEthernet 1/0/1 remote 192.168.10.2
hrp track interface GigabitEthernet 1/0/0
fw2:
hrp enable
hrp interface GigabitEthernet 1/0/1 remote 192.168.10.1
hrp track interface GigabitEthernet 1/0/0
(4)配置VRRP
fw1:
interface GigabitEthernet1/0/0
undo shutdown
ip address 192.168.3.11 255.255.255.0
vrrp vrid 1 virtual-ip 192.168.3.254 active
vrrp virtual-mac enable
undo service-manage enable
fw2:
interface GigabitEthernet1/0/0
undo shutdown
ip address 192.168.3.12 255.255.255.0
vrrp vrid 1 virtual-ip 192.168.3.254 standby
vrrp virtual-mac enable
undo service-manage enable
(5)配置DHCP服务功能
#
interface GigabitEthernet1/0/0
undo shutdown
ip address 192.168.3.11 255.255.255.0
vrrp vrid 1 virtual-ip 192.168.3.254 active
vrrp virtual-mac enable
service-manage http permit
service-manage https permit
service-manage ping permit
service-manage ssh permit
service-manage snmp permit
service-manage telnet permit
service-manage netconf permit
dhcp select interface
dhcp server ip-range 192.168.3.100 192.168.3.199
dhcp server gateway-list 192.168.3.11
dhcp server lease unlimited
dhcp server dns-list 223.5.5.5 223.6.6.6
#
测试:
FW1配置的dhcp信息也会同步到FW2备机上:
(6)如果这两台防火墙没有配置HRP, 即没有做双机热备,配置了VRRP的备机会响应arp吗,即如果FW1与FW2都配置了同样的DHCP地址池,会发生IP冲突吗?
关闭双机热备功能:
fw1:
HRP_M[fw1]undo hrp enable
fw2:
HRP_M[fw2]undo hrp enable
测试:结果只有一台电脑可以获取到ip
通过测试,只有PC1可以获取到IP地址。即只有一台电脑可以获取到IP地址。可以发现FW2的G1/0/0不会回ARP包。
(7)切换vrrp主备试下, FW2成为主
结果:也是只有一台PC可以获取到ip地址,但获取不到ip地址的电脑手工配置ip地址也是可以正常通信的,如下图所示:
从以上的实验,还可得知一个结果:很多电脑本来从FW1获取的ip地址,但fw1故障后,FW2切为主,很多电脑此时原来从fw1获取的ip地址有可能会被fw2分配给其他电脑造成ip冲突,所以需要考虑这个问题。虽然dhcp服务器会检测网络此ip是否有人使用,通过arp或者icmp检测,但如果电脑与防火墙不在同一网段,则无法使用arp检测,电脑禁ping,则也无法使用icmp检测。
所以,如果配置了VRRP的两台设备没有方法配置HRP, 但此两台又想当dhcp服务器,也需要提借高可用性,则可以:
FW1开启DHCP功能,ip分配范围为1至100。
FW2开启DHCP功能,ip分配范围为101至200。
注意:dhcp范围不要重叠。
这样就不会出现ip冲突的问题,也能提供DHCP的高可用性。
疑问1:当FW1为主设备时,pc ping FW2的内网口ip会通不?
答疑问1:FW2根据情况来决定是否回ARP包,如果arp查询是查自己的内网口192.168.3.12的,则会回应ARP包,否则不回应。
华为:DHCP服务器给首次接入网络的客户端分配网络参数的工作原理(在确认阶段,两种情况可能出现IP地址的冲突)
http://www.zh-cjh.com/luyoujiaohuan/5138.html
2、本资源基本为原创,部分来源其他付费资源平台或互联网收集,如有侵权请联系及时处理。
3、本站大部分文章的截图来源实验测试环境,请不要在生产环境中随意模仿,以免带来灾难性后果。
转载请保留出处: www.zh-cjh.com珠海陈坚浩博客 » 华为USG防火墙双机热备: vrrp中的两台如何实现dhcp主备?如果是查询虚拟网关,备机是不会响应arp包的,除非是arp查询是查询自己。
作者: cjh
| 手机扫一扫,手机上查看此文章: |
一切源于价值!
其他 模板文件不存在: ./template/plugins/comment/pc/index.htm