雙機(jī)熱備OSPF組網(wǎng)配置指導(dǎo)手冊(cè)v1.3

1、雙機(jī)熱備主備方式 OSPF 組網(wǎng)配置指導(dǎo)手冊(cè)O(shè)SPF關(guān)鍵字：雙機(jī)熱備、主備、非搶占、物理接口、靜態(tài)路由、目錄1 雙機(jī)熱備防火墻組網(wǎng)說(shuō)明： 32 主防火墻配置步驟： 42.1 配置接口地址 62.2 配置安全區(qū)域 82.3 配置雙機(jī)熱備 92.4 配置接口聯(lián)動(dòng) 122.5 配置 NAT 122.6 配置 OSPF 動(dòng)態(tài)路由協(xié)議 162.7 配置 NQA 192.8 配置靜態(tài)缺省路由與 TRACK 1 綁定 202.9 配置 OSPF 發(fā)布缺省路由 213 備防火墻配置步驟： 222.1 配置接口地址 232.2 配置安全區(qū)域 252.3 配置雙機(jī)熱備 272.4 配置接口聯(lián)動(dòng) 292.5 配置

2、NAT 302.6 配置 OSPF 動(dòng)態(tài)路由協(xié)議 342.7 配置 NQA 362.8 配置靜態(tài)缺省路由與 TRACK 1 綁定 37配置 OSPF 發(fā)布缺省路由 381雙機(jī)熱備防火墻組網(wǎng)說(shuō)明:層三交換機(jī)模擬服務(wù)器VPRP10.11. 1層二交!換機(jī)上行撻路10. 1. L25210.1,1.253主用防火墻備用防火墻192. 168. 2. 2,192 168. 2. 1192.158. 3. 1192, 168.3.2下行璉蹈0SPF路由器15.203. 100.100組網(wǎng)說(shuō)明：防火墻雙機(jī)熱備組網(wǎng)，主備非搶占模式，防火墻上行鏈路通過(guò)靜態(tài)路由指向連接INTERNET網(wǎng)絡(luò)，防火墻下行鏈路通過(guò)

3、OSPF動(dòng)態(tài)路由指向內(nèi)部網(wǎng)絡(luò)路由器。業(yè)務(wù)要求：當(dāng)網(wǎng)絡(luò)“層三交換機(jī)”或“防火墻”或“層二交換機(jī)”某一個(gè)設(shè)備本身故障或某一條線路故障時(shí)，流量 可以及時(shí)從主防火墻切換至備防火墻，保證網(wǎng)絡(luò)應(yīng)用業(yè)務(wù)不中斷、平穩(wěn)運(yùn)行。2主防火墻配置步驟:1配置PC IP地址/24，連接管理防火墻:2通過(guò)IE瀏覽器打開(kāi)防火墻 WEB管理界面，防火墻默認(rèn)的管理IP地址，默認(rèn)的用戶(hù)名:h3c,默認(rèn)密碼：h3c。H3Crroip決壽& 7 37r |皂 htlp：/L92. 189.0. i/dtvidl?L1* *t 燈Li vt St urch| j解需豆署博收旅來(lái) 工具心解肋-當(dāng)

4、囤瓦面CD C*工A遼柱 Wtb usw i$in3進(jìn)入防火墻 WEB管理界面，可以查看防火墻系統(tǒng)信息，包括版本信息等;SecPath F5000_A5H3C Root-EXA導(dǎo)T3芒備聶Q帝兩和回用戶(hù)訴回肪猶墻回攻擊曲范-fi止用（5制Si VPN塚高可眾性 -疋呂志亟對(duì)設(shè)&名輛SedPam F5OO0-A5園尸品描迷H3C FirewallBj謖備包晝Hanghgu. Chins援口址子冋淹碼安全區(qū)越卻 LKQ-OWbitElh駙她,0 亠8GigabirElhem-ei/l -O-QGIS3blIE1heinet23 -擊備接LJ信啟INFO*聯(lián)爲(wèi)悟J&Hajrigzhao HBCTec

5、hnolDgie! Cv.ud.4序列號(hào)210231Aa50B09COT0006軟件顋本Verson 5 2Qr Fealure 320SH3C ”;4單擊“設(shè)備管理基本配置設(shè)備基本信息”修改防火墻名稱(chēng)為“FW1”，默認(rèn)的防火墻名稱(chēng)是H3C toK 謖備IH掘 -Hfl導(dǎo)5單擊“設(shè)備管理服務(wù)管理”啟用防火墻TELNET服務(wù)，用于遠(yuǎn)程命令行配置管理;F.r.-a星號(hào)（T為擔(dān)iff寫(xiě)現(xiàn)確定丨1- V/-b H3C RootA FTP服等Telnet啟用FTP療芻 囹啟用伽邂務(wù)L配置冋導(dǎo)T設(shè)備管理SSHjR 務(wù)宕用SSHK務(wù)運(yùn)基本配置日期和時(shí)間SFTP服務(wù)啟用SFTP巌務(wù)接口管理 HTTP服務(wù)回啟用

6、HTTPJK餐安全域F虛擬設(shè)備管理卜HTTPS服務(wù)啟用H TTPS巌務(wù)一配置管理曰口 /扁 4.=存6單擊“用戶(hù)管理本地用戶(hù)”新建、修改管理防火墻用戶(hù)和用戶(hù)密碼;d H3C RootAV |設(shè)備慨覽 -配置向?qū)гO(shè)備管理 舊資謂管理 心網(wǎng)絡(luò)管理 T用尸昔理 卜本地用戶(hù) -在蜒用戶(hù)用戶(hù)名：訪冋等級(jí)： 服務(wù)類(lèi)型：IZI餌林密碼;確認(rèn)密碼:Management FTP DSSH ETelnet Terminal DPPF1-63?)2.1配置接口地址i單擊“設(shè)備管理接口管理”，單擊“修改”按鈕，配置防火墻接口地址;設(shè)備昔理 接口営理筆畀 v 別11高奴査詢(xún)iPKtt明ff瑪妥全毆IXOOOOa3O*n

7、H3C RuS配吉聞導(dǎo)一叢耆営理Tfl蕊本配釐一日期和時(shí)間-安全或ti唸摑掘備昔：u*0iC3bilFtfinnii 住.1百 ic：3tjitEtriwrriE 垃 UGi品bilE山打怔 f2配置接口 G2/0，接口 ip地址為53/24，配置完成后單擊“確定”按鈕;設(shè)備普理 H3基擬金 一日期和時(shí)閭-推口昔饉_安全域哺虛擬設(shè)備昔理配置菩理 服務(wù)菩理 歐件升錶1-歸里啟 一丘整蹄理 Y3網(wǎng)館苦査 T用尸昔趕3肪火H-si礙擊訪范4甫田Sail接口爲(wèi)輯3配置接口 G2/2，接口 ip地址為/24，配置完成后單擊“確定”按鈕;接名騎：Gig3bitEtha

8、mt2r2按伏査：己連接關(guān)常接口菜型：畑tnMTU :|1MO| C 48-1 SOO,皺省值=1500TCPMSS；(滋-204齊址嚼值=w(n工柞樓式：O二屋稠式三屋覆式iO無(wú)配容地址Odhcp ObootpFHUt：122.US.2.2礴俺叩 24 (255 255 255 of ”4配置接口 G2/3，接口 ip地址為/24，配置完成后單擊“確定”按鈕;設(shè)晶吉遲TB BSK-日期利時(shí)間L霍口営理-安納3虛擬設(shè)備皆理配魚(yú)譽(yù)理砲等理-較件升逓I邊備重啟-U用戶(hù)曾理IS肪火埸-面攻擊防范-e3 EJ田梅掃I畫(huà)口名擰：賽口-磴口類(lèi)星：VID：MTU ：TCPMSS :工作

9、屢式；IPKS：IP地址:利絡(luò)柢碼：GigabitEthenwt2/3已理接關(guān)陽(yáng)(46- 1500 r佰=1500)C 126-2048, WtfflS=1460 o-gflj式0三層樓式O無(wú)if配萱評(píng)窸地址Odhcp Obootp1921683-224 (255 255 255 oF *配進(jìn)向?qū)咧M務(wù)管理糕KftCicabilE(hemet20-日期間GiaabilElhemei2.iGia3blElhemet2一安全踐Gia35iiEihmet2 3Si席砌說(shuō)備它7刁：:？汕 Et吟 EEtZ ；IF地址10.1.1J53255 255 2E 5 019216832255 25S.2RrJ

10、192164322S5.255.2f-5 0設(shè)備曽理勞口言遅-n1 VE3L. 1儒仃刑期1i H3C Root* 卜名瑋V 查聞|飆查詢(xún)2配置G2/2和G2/3接口加入Trust區(qū)域，配置完成后單擊“確定”按鈕;設(shè)備管理 安全域V H3C RootF基本配匱 一日朗和時(shí)間 播口昔豐L安全蟻-a虔迫設(shè)備管理2.2配置安全區(qū)域1單擊“設(shè)備管理安全域”，單擊“修改”按鈕，配置防火墻接口加入安全區(qū)域;A翌全秋ID優(yōu)先辺共孚日期和吋間ManagemeiYt100noLocal100Root1no一線口昔迎Trust祐Reel3Dm；50noRooi配置音煙4Unmjst5noRootg寸安全域ID安全

11、域名憂(yōu)先融2Trustes接口Gig3bitEthemet2 2Gkgabrtthemet2/3c3配置G2/0接口加入U(xiǎn)n trust區(qū)域，配置完成后單擊“確定”按鈕;t H3C Root修改安全磚【D：tt：優(yōu)超K：共事：虛擬設(shè)務(wù)：(1-1D0接口 v | 接口 AuxO0| GigabKEthemet2 0-設(shè)備療菟-配置話 亠謖番音理 嚴(yán) sTeei 呂明閭 按口営理-安全絃Q虛姒喪備管理配萱管理JK務(wù)替理-軟件升級(jí)L iftil啟七貴酣豐十網(wǎng)ta昔理t H3C Root修改安全磚t H3C Root修改安全磚設(shè)備管理 安全黴* H3C Root一設(shè)備接菟配置向?qū)稍O(shè)備昔理一基本配置

12、日期和時(shí)間 接口背理一安全域安全域ID安全域名4Untrust接口GigabitEthemet2 0t H3C Root修改安全磚t H3C Root修改安全磚2.3配置雙機(jī)熱備配置 VRRP1單擊“高可靠性 VRRP”，單擊接口 G2/0 “修改”按鈕配置接口VRRP ;詛葩 VRRF接名需1咖止備碼操柞GigabitEttiernet.O10.1 1 253：55 255 2!50GrgabitEttiernel白g萌咗甘iwmgl2論192 168 2 2255 255 255 0GigabilEfriemet2-3192.158.3 2255J55.255.0禹即靠性I- VRRP攝口

13、 tfiftsf -&負(fù)程均後 丘日志訓(xùn)2單擊“新建”按鈕，配置“ vrid ”為101，配置“虛擬ip”為;高可靠性VFEFH3C Root-設(shè)備擔(dān)覽 配置向?qū)дf(shuō)設(shè)備昔理S3資凋曹理73阿絡(luò)管理七用戶(hù)営理Q肪火嘴接口容稱(chēng)GigabitEthernet2/0VRO虛扌UF接口 VRRP配置新建花回高可靠性 vhm保存I幫助I HJ FWl LootJ設(shè)備僭盟 配置聞導(dǎo) 一盒設(shè)備管理 一査資薄管理 F網(wǎng)絡(luò)晉理 用尸晉理TSS防火墻 一3攻擊肪疤 血應(yīng)用揑制VRID101*添加L Wr1刪陳新逹VRRP備份爼Sc *為必頸埴宥頂險(xiǎn)定職港3單擊“修改”按鈕配置 VRID 101監(jiān)視接

14、口;高可釜性 VKRF保存I幫I 1FW1 Hoot一設(shè)營(yíng)櫃覽配置向?qū)ФO(shè)備普理 TS責(zé)源管理 TH岡館普理 F用尸管理砂貼火幡iti曲#4濟(jì)茹按口 VRRP配宜VFID虛擬F運(yùn)行憂(yōu)先級(jí)操件10111 0-1.1.5100initializea 接口名稱(chēng)QigabitE1hernet2AJ新淫 遞回4單擊“顯示監(jiān)視配置”，配置接口 G2/0監(jiān)視接口 G2/2和接口 G2/3 ;ZW1 Ftoct 一設(shè)備擴(kuò)覽配登向?qū)б蛔裨O(shè)備管理 資誘背理iH何餡彗理-S3用尸管理 垃防火墻於攻擊肪牯 -S3礙缽 -ni VPN高可靠性-VRRP 敦機(jī)熱備-接口組聯(lián)動(dòng)負(fù)載均衡同SiS1理修KVRRP備份組VRID

15、虛擬IF憂(yōu)先皺搶占方式認(rèn)證方式101-虛擬IP成員-1D.1.1.5協(xié) mirs防丸墻吃 vprj理高可靠性L VRRP雙機(jī)熱簽 接口 is稅功 血負(fù)靈的銜100(1Preemptive1-254,缺省值=100搶占延遲認(rèn)證字1- 255,缺省值二 1 )逋告時(shí)間間隅確定取消對(duì)康加卜對(duì)裁，降低優(yōu)先級(jí)切劄1024)障低憂(yōu)先壤10( 1-255/ 缺省值=100切擬權(quán)式刪除隔藏監(jiān)視配直盤(pán)視對(duì)獄接口Gigabit Ethernet2/2v肅加1二接口，降低優(yōu)先級(jí)“GigabitEthern6t2-2 10障低優(yōu)制IGiqabitEthemet2/3 10|i0.（ 2世，醱耆位二10）刪険監(jiān)視接口配

16、置雙機(jī)熱備1單擊“高可靠性雙機(jī)熱備”配置“使能雙機(jī)熱備功能”，備份類(lèi)型為“不支持非對(duì)稱(chēng)路徑”，備份接口為默認(rèn)接口 inn er-ethernet0/1，配置完成后單擊“確定”按鈕；同時(shí)使用一根以太網(wǎng)線連接兩臺(tái)防火墻 的“ HA接口”（“HA接口”在防火墻的主控面板上）；2.4配置接口聯(lián)動(dòng)1單擊“高可靠性接口聯(lián)動(dòng)組”單擊聯(lián)動(dòng)組1 “修改”按鈕配置接口聯(lián)動(dòng)：高可毎性一 VRRP裁機(jī)熱備-損口姐聯(lián)訪聯(lián)動(dòng)盥序號(hào)InitialInitial2配置“聯(lián)動(dòng)組1”成員G2/0、G2/2、G2/3，配置完成后單擊“確定”按鈕；當(dāng)聯(lián)動(dòng)組中其中之一的接 口狀態(tài)為DOWN，其它接口也被置為 DOWN狀態(tài)，保證聯(lián)動(dòng)組中

17、所有接口狀態(tài)一致。保存I幫助IE鬲可皐性一 VRRP職機(jī)熱備 接口組聯(lián)動(dòng) 一疋負(fù)載均裔 3日志管理 SyslogH一 Usertog日志 3會(huì)話日志HB 日蔽動(dòng)殂配置聯(lián)動(dòng)組1（融多玄持8個(gè)接口）： 接口名稱(chēng)接口狀態(tài)叵 GigabitEthemet2/OUp Gigab itEthemet2/1Dowjn(2 Gigabitthemet2/2Up? Q f GigabitEthemet2/3Up GigabitEthemet2/4Down川離可竈性一 VRRP一雙機(jī)熱備 搔口爼聯(lián)動(dòng)聯(lián)動(dòng)爼厚號(hào)聯(lián)動(dòng)S3扶態(tài)1UP2Initial2.5配置NAT配置NAT策略1單擊“防火墻ACL ”配置NAT策略，單

18、擊“新建”按鈕;-Ufci-rr E O J； ： 曰Ut WJ * :幅W a m丘 iLM2配置“策略ID ”為3001，配置完成后單擊“確定”按鈕;ACLH HAT- AfL詁日的列雨心：|W1F匹配規(guī)削：用戶(hù)配蚩聊崖MXjjjp-f? JE 本訪 HEmiSlS 3帕&虻筠高飆訪R翻列耳 J DDD4朝P二層訪問(wèn)拎割?1）裏.3單擊“策略3001” “修改”按鈕，添加策略規(guī)則;戲火墻于ACL保薦幫助I退*肪火墻幾乂功確棧態(tài)國(guó)標(biāo)1述：已加連a未加速部分加速一剛安全策略S3 NATgi-應(yīng)用層協(xié)迎檢測(cè) 一 ACLF ARP筲理2訪問(wèn)左制列表ID 莞型規(guī)創(chuàng)數(shù)量匹配版序 YLUll速管理操作3

19、001高級(jí)1用戶(hù)配置am g |新逹4單擊“新建”按鈕，添加策略規(guī)則;ACL5配置NAT策略規(guī)則，配置完成后單擊“確定”按鈕；此規(guī)則用于NAT，決定是否對(duì)網(wǎng)絡(luò)流量做 NAT轉(zhuǎn)換；萌玄墻FaCL陸火墻 4受全藁藥 kn HAT-ACLU ARPtfF ARP肪攻擊QoS-田潼凰皚営L（目今話営理 攻擊訪蒂 図JS用揑制lVJi l ma AGL=3CO1新逹葡還規(guī)則r ojid :回睡IF比址：匚目旳Ipift址:林片擢立IF唱址過(guò)瀝如棗不（ftAfflBJID.累娠痛皆目動(dòng)搭定一平.6單擊“新建”按鈕，配置第二條策略規(guī)則，配置完成后單擊“確定”按鈕；此規(guī)則仍然用于NAT,與NQA配合使用，即將

20、 NQA的檢測(cè)報(bào)文做 NAT轉(zhuǎn)換;保存【帶朋I還-a肪火墻 ixi安全策略-ni NAT-應(yīng)用層協(xié)諫檢i- ACL-S3占RP管理目二尺礦攻擊 於0口規(guī)則D操作描述時(shí)間屋操作0permitIp source 15 203.0 D 0.0.255 25=無(wú)服制1高 ACL30014ACL=3001駆建彌捉則n安全沁 卜泣NATU應(yīng)用層啊富檢i 卜AO.-H ARP理曲ARP胡取擊 迥QoS 一曲諒墾盤(pán)莒 G會(huì)話宵理 ii取擊陵矩如果不輸入規(guī)則ID*茶蛭越會(huì)自瑚鑿定一個(gè)J7配置完成后，單擊“返回”按鈕;防火墻 JCL*防火墻聲安全廉瞄垃NAT應(yīng)用廉悔議檢一 ACLARP理r-& ARPKiIi?A

21、-規(guī)跡D0MCH1Wip source 15 203.0 0 0 0 255 25510permiticmp source 192.15B.2.2 0ftUlACL3D01時(shí)間段無(wú)眼制無(wú)服制播作0配置NAT地址池1單擊“防火墻NAT動(dòng)態(tài)地址轉(zhuǎn)換”，單擊“地址池新建”按鈕配置NAT地址池;防犬諸 甌 動(dòng)態(tài)地址轉(zhuǎn)換一防火墻佃安全策略丘 rjAT地址池-動(dòng)悲地址技塞 卜靜惑地址轉(zhuǎn)換 -內(nèi)部服務(wù)器 應(yīng)用層協(xié)議檢測(cè)地址池索引開(kāi)始IF地址結(jié)束IF地址ACL 卜si ARP理 -fii A.RP防攻擊S3 QoSQ會(huì)話管理 心攻擊胡范 2應(yīng)用控制地址轉(zhuǎn)換關(guān)聯(lián)新逹接口 ACL地址池索引地址報(bào)曲方式外網(wǎng)PN實(shí)例

22、新崖2配置“地址池索引”為1,開(kāi)始ip地址01，結(jié)束ip地址00;配置完成后單擊“確定”按鈕；一應(yīng)用層協(xié)餃檢測(cè)新建地址池地址池素引：1結(jié)束IP地址：pio.1.1200(卜低憂(yōu)先級(jí)（用于取機(jī)熱備）星號(hào)（水）為必須埴寫(xiě)項(xiàng)確定取消開(kāi)娼F地址：10/1/1/101防火塩TS安全策略 k* （IAT動(dòng)態(tài)地址轉(zhuǎn)換 靜態(tài)地址轉(zhuǎn)換 內(nèi)部服雰器-應(yīng)用層協(xié)改樓測(cè) ACLQ丄尺臨理一由ARP肪攻擊Q Qo5a疏量茜曾徙合話音理攻擊防荊Q應(yīng)用疑制 VPN由爲(wèi)可靠性地址池索引開(kāi)始尸堆址菇束IF地址憂(yōu)先頓1 000新逹損口ACL地址池索引地址轉(zhuǎn)換方式外網(wǎng)

23、円陜例關(guān)聯(lián)的RRPta防火墻5 KAT 3動(dòng)態(tài)地址鞘攙防火墻T安全策略-Hfi NAT動(dòng)態(tài)地址轉(zhuǎn)換靜態(tài)地址轉(zhuǎn)換 內(nèi)部服務(wù)器-ACLQ ARP胃理於ARP防攻擊配置NAT與接口關(guān)聯(lián)1單擊“地址轉(zhuǎn)換關(guān)聯(lián)新建”按鈕配置NAT與接口關(guān)聯(lián);陸火墻 FAT 就感地址轉(zhuǎn)換2配置“接口”為 G2/0, “ACL ”為3001, “地址轉(zhuǎn)換方式”為 PAT, “地址池索引”為1, “使能VRRP 關(guān)聯(lián)”為101，配置完成后單擊“確定”按鈕；注意：接口配置VRRP后，必須配置“使能VRRP關(guān)聯(lián)”；高可靠性 VKET保存【幫肋I UFWl LRootJ設(shè)備慨寛配置向?qū)設(shè)備首理i回資瀝吉理S3網(wǎng)絡(luò)営理S3用戶(hù)昔理

24、-a防火魅攻擊陸范 一問(wèn)應(yīng)用控制 isa vpn 高可靠性修改VRRP備份爼VRID虛擬滬-虛擬IP咸員-VRRP孜機(jī)熱備游口絹聯(lián)動(dòng)Tsa負(fù)莪均衢冃舌首理憂(yōu)先皺搶占力式100顯示船視配養(yǎng)星號(hào)（為必頷填罵頂聰消防兒圏 NAT 動(dòng)態(tài)戰(zhàn)址時(shí)煮保存 1 WSh | iflFW1 rKoot謖備悟蜒 一酉己養(yǎng)向?qū)?65設(shè)&営理 13赍遞昔理 iS阿貉育理i用戶(hù)音理地址池親弓1汗鳩IP地址結(jié)束IP地址101110.1 1.200毎3地址訥前建 陸iV詔安至策昭NAT動(dòng)壽HL址蒔撫 靜老血址軸換地址磚換關(guān)聯(lián)I 1-內(nèi)謙服勞器 庇用層 tJOiiRiJ ATI接口ACL地址池

25、親引地址轉(zhuǎn)換方式外網(wǎng)VFIN實(shí)例關(guān)聯(lián) 0OVRRPSS慄作OigabitEthernet2jro30011PAT101制建2.6配置0SPF動(dòng)態(tài)路由協(xié)議1單擊“網(wǎng)絡(luò)管理路由管理0SPF”配置“啟用 0SPF協(xié)議”，單擊“確定”按鈕;網(wǎng)絡(luò)智理 SS由管理OSPF3 VIAN 於MAC ltd MSTP 曲 DHCP id DNS 賂由曽理 卜路由信鼠-靜悉路由 一 RIPP OSPF I-BGP113啟用gw協(xié)議IIMIBIMr*引入評(píng)態(tài)路由確運(yùn)2單擊“區(qū)域配置新建”按鈕配置0SPF區(qū)域ID和網(wǎng)段地址;網(wǎng)絡(luò)菩理 曙由管理OSFF傑存|霜助J網(wǎng)絡(luò)營(yíng)建-11VLTIMSTPDHCP衛(wèi)DNS 盧站由譽(yù)

26、理-雷由信息 薛態(tài)路由 _ RIP0卿-BGP腿播豁由 第路S&由 IGMPJ PIML叮逼量疑汁 J用戶(hù)莒遅 h訪火增全局配這叵啟用OSP師俄引入靜態(tài)略由接口倚息：確免査看接口查看綁居區(qū)犧ID梗能網(wǎng)駅協(xié)惟區(qū)感配*3配置“全局配置 OSPF區(qū)域配置” “區(qū)域ID ”為0, “網(wǎng)段地址”為192.168 20心0.0.255和192.16830/55 ;配置完成后單擊“確定”按鈕；4單擊“區(qū)域配置更多選項(xiàng)”按鈕配置“接口配置”，修改OSFP HELLO和DEAD間隔時(shí)間;網(wǎng)貉苛淮 路由管理 OSPF噪存1幫助I-I窩由管理卜賂由信息薛態(tài)歸由-RIP一 OSPF-BGP爼蓿路由芹略路

27、由 卜KMP *-PIMLa疏量統(tǒng)計(jì)ii用戶(hù)管理肪火墻Y攻擊訪藕應(yīng)用控制區(qū)域配養(yǎng)區(qū)域ID區(qū)域類(lèi)型使能網(wǎng)段0晉逋l92ieaL2.aO.00.2S5.192.163. a O-W.O.O.255皋ii新建捲口名稱(chēng)D的晌隔雅證At式t*作GlgsbitElhemetZ1040Gigab itEthemet231040a5配置接口 2/2 “HELLO間隔”為1秒，“DEAD間隔”為4秒；配置完成后單擊“確定”按鈕;七七七-fiaTMAC1STPDHCPDNS 路由管理 蹄由信角 詳態(tài)賂由RIPOSPF e5p 規(guī)鑫胃由 第略路由asppg 口配苣連口老需：Hel忙崗鎬:鮭證朿式:籃證字;標(biāo)識(shí)？f

28、：秒6配置接口 2/2 “HELLO間隔”為1秒，“DEAD間隔”為4秒；配置完成后單擊“確定”按鈕;-丘路由昔理 粘由佶恵 靜右路由-RIP-O5PF-BGP塑竝茸由 -策昭歸由 -IGMP1- PIM一迂流醱計(jì)應(yīng)用尸首遅O攻擊防范接口名喬: H即洞焉: DeaalRI:聖證牌式；崟證芋】2.7配置NQA通過(guò)CONSOLE或者TELNET登錄到設(shè)備命令行界面，默認(rèn)的用戶(hù)名 /密碼：h3c/h3c；*太*哽*七*哽*七*哽*去七* 七*囁:七*快*哽*吉*玄七*七*七* 七*七*狀* 七*七七*去七吉* Copyri ght (c) 2004-2010 Hangzhou H3C Tech 匚。

29、Lt d r All rights reserved* ITithout the owner1 s prior written consentf* no deG0m.pi.lihg O r reverse-engines ring shall be allowed,* 良氓* * * 士* 去聯(lián)* * * 鐵雖* 條興*A- + -st A 衣興士h 衣士* *去矢* 余 士 * * 缶務(wù)* A + +h 七* * 頭* * * 糕 * 條聯(lián)* * 雖Login authenticationUsername:h3cPassword: |配置NQA1配置NQA entry ;用于檢測(cè)防火墻 G2

30、/0接口的VRRP狀態(tài)，當(dāng)VRRP狀態(tài)為主時(shí)，NQA檢測(cè)成功； 當(dāng)VRRP狀態(tài)為備時(shí)，NQA檢測(cè)失??；NQA與靜態(tài)缺省路由、TRACK1配合使用，當(dāng)NQA檢測(cè)成功, 靜態(tài)缺省路由有效；反之，靜態(tài)缺省路由無(wú)效；# -ent ey Jnonit-r_vrrp 1type icmp-chcides匸im日tion ip frequency 1000ftxt-hop ID.1B11profes1000reaction 1 c h*ck * d- 1 * nt probe-fail t h r* s ho Id -1 y p* conss*eutiv* 3 action-typt t r

31、iggi*r-&nly eou匸總?cè)齩ption bypass-rout* source interface Gigab it Ethernet2/2FW1 nqa en try moni tor_vrrp 1FW1- nqa-mo ni tor_vrrp-1-icmp-echodisplay this#type icmp-echodesti nation ip freque ncy 1000n ext-hop probe count 1probe timeout 1000/配置檢測(cè)的目的地址/配置檢測(cè)的間隔時(shí)間1000ms/配置檢測(cè)的下一跳地址/配置一次NQ

32、A測(cè)試中探測(cè)的次數(shù)/配置檢測(cè)的超時(shí)時(shí)間reaction 1 checked-element probe-fail threshold-type consecutive 3 action-type trigger-only /配置nqa檢測(cè)失敗觸發(fā)條件，三次檢測(cè)失敗觸發(fā)nqa檢測(cè)失敗route-option bypass-route /配置檢測(cè)不經(jīng)過(guò)路由表轉(zhuǎn)發(fā)source in terface GigabitEthernet2/2.10/ 配置檢測(cè)的源接口# returnFW1- nqa-m on itor_vrrp-1-icmp-echo配置 NQA schedule 配置 TRACK NQA

33、trsick 1 nqa Entry monit-or_vrrp 1 reaction. 1# 一nqa scrhedule monitor_vrrp 1-tima now lifetime forever#track 1 nqa entry monitor_vrrp 1 reaction 1/配置 NQA 與 TRACK 1 綁定#nqa schedule monitor_vrrp 1 start-time now lifetime forever/配置NQA測(cè)試的啟動(dòng)時(shí)間和持續(xù)時(shí)間#2.8配置靜態(tài)缺省路由與 TRACK 1綁定當(dāng)NQA檢測(cè)成功，此路由有效；當(dāng) NQA檢測(cè)失敗，此路由無(wú)效；i

34、p route-static 0,0.0,0 0.0.0-0 track 1 #ip route-static track 12.9配置OSPF發(fā)布缺省路由ospf 1default-rout皀一sdve rtisearea 0 00.0network 192.168.2-0 D0,0255network 192,168.3.0 0,0.0,255#ospf 1default-route-advertisearea n etwork 55n etwork 192.168.3.

35、0 55#配置保存 單擊“設(shè)備管理配置管理配置保存”單擊“確定”按鈕保存配置;強(qiáng)備普理本次Uft作妾格當(dāng)苗配置保存剎設(shè)備中確tz叢保存當(dāng)前配置嗎號(hào)加密配瓷文件.Q基本配 aiflWiaj 接口琶理寰全域Q虐擬設(shè)備背理軟件升額 設(shè)備重啟3備防火墻配置步驟:1通過(guò)CONSOLE 口登錄防火墻，修改防火墻管理接口ip地址為/24;system-viewSystem View： return to User View with Ctrl + Z,(H3CintH3Cinterface mH3C interface M-Gigabit Et he met 0/ 0H3

36、C-M-GigabitEthernetD/dlip add 192,168*0,2 24(H3c-M-GigabitEthernet0/0h3c，2通過(guò)IE瀏覽器打開(kāi)防火墻 WEB管理界面，防火墻的管理IP地址為,默認(rèn)的用戶(hù)名 默認(rèn)密碼：h3c。Wib tiiw%*葉.頁(yè)面吃工員虹4單擊“設(shè)備管理服務(wù)管理”啟用防火墻TELNET服務(wù)，用于遠(yuǎn)程命令行配置管理;4單擊“設(shè)備管理服務(wù)管理”啟用防火墻TELNET服務(wù)，用于遠(yuǎn)程命令行配置管理;H3C網(wǎng)管用戶(hù)登錄7 J73單擊設(shè)備管理基本配置設(shè)備基本信息”修改防火墻名稱(chēng)為FW2，默認(rèn)的防火墻名稱(chēng)是H3C ”;設(shè)備昔耀 基本配置 設(shè)備

37、基本信息保存一設(shè)備管理卜基本配置卜設(shè)備基本信息 W注理-日期和時(shí)冋接口首理I-安全域系城名稱(chēng)|iF;V21芋符 1-30)星號(hào)為必圾II寫(xiě)項(xiàng)4單擊“設(shè)備管理服務(wù)管理”啟用防火墻TELNET服務(wù)，用于遠(yuǎn)程命令行配置管理; 服H3C RootJ*卜FTP服命啟用FTPJR務(wù)設(shè)備嗚覽配置向?qū)elnetflft#3啟用臨皿囉務(wù)曲設(shè)備管理SSH|g 務(wù)啟用SSHJR務(wù)T基本配置-日期和時(shí)間SF1PK#啟用SFTP眼務(wù)一接口晉理 HTTP服務(wù)回啟用HnFJE務(wù)卜安全域F虛擬設(shè)備管理 HTTPSffi 務(wù)啟用HT1FS服務(wù)配置管理PK除：V星號(hào)尚必齊埴眉同5單擊“用戶(hù)管理本地用戶(hù)”新建、修改管理防火墻用戶(hù)

38、和用戶(hù)密碼;T用戶(hù)管理事 靈匍硏15-在銭用戶(hù)UJ RADIU：Tii HWTA v匚弼戶(hù)客訪問(wèn)等級(jí)服務(wù)類(lèi)型h3cUansmentTelnet耶 Q戶(hù)営理 本地用戶(hù)7 H3C Root “用戶(hù)名：訪問(wèn)等級(jí)：服養(yǎng)類(lèi)型：畫(huà)碼：確認(rèn)密碼：h3c-設(shè)備概覽配置向?qū)設(shè)備管理TQ資頑管理同網(wǎng)絡(luò)管理用尸琶理卜本地用戶(hù)| 在蜒用戶(hù) y 創(chuàng) L I 2.1配置接口地址1單擊“設(shè)備管理接口管理”，單擊“修改”按鈕，配置防火墻接口地址;4 H3C Root；_設(shè)硼覽配置向?qū)?設(shè)備管理蓋本配置日期和時(shí)間搖舉趣安全燼名粽IPiW網(wǎng)谿掩碼安全蝕狀譽(yù)-O35!GiaabilElhernetZ/O-10.11 2 號(hào)325

39、 O於nGiaabilElhernet2/l-O國(guó)0GiobttEthernit2Z2aK il-Ctih*G怕9All若稱(chēng)“查詢(xún)I |高級(jí)直謂2配置接口 G2/0，接口 ip地址為52/24，配置完成后單擊“確定”按鈕;殺備首趕 播口菅趙-丘設(shè)備營(yíng)理日期和訶間L犧口営理-窒全劇 耳虛擬設(shè)備營(yíng)理-H己置管理-軟用也設(shè)備重啟3費(fèi)兩莒理3網(wǎng)貉管理用戶(hù)管理T3防火喘一$攻擊防范-e3 IbTSKiM按口蒯a搖口名裔:掛口 tt：接口矣樂(lè)；常bitEth met2.D已淫搭關(guān)閉jlV1D：1MTU :TCPMSS：1500|l460(4- 150D 按省値=150

40、0 JC 12-2043,=1460工件植式：O二蜃樓式三民fit式ipks :OSip 配量國(guó)靜態(tài) tt 址Odhcp OboctiiPMtt=|l0.1.1 252I網(wǎng)審紙碼：24 (255 255 255 0)V3配置接口 G2/2，接口 ip地址為/24，配置完成后單擊“確定”按鈕;設(shè)備昔理接口營(yíng)理i H3C Root卜設(shè)寄槪覽 -配置向?qū)鹪O(shè)備管理皿碁本配置日期和時(shí)閭接口管理一安全域ii虛擬設(shè)番昔理服務(wù)管理軟件升級(jí)1-設(shè)備重啟圧査源管理a理I田口巻裡接口名稱(chēng):GigabitEthEmel2.2桂口狀嘉：聲口矣型：已連接|關(guān)閉VID：MTU :TCP MSS： 工

41、作模式：15001460O二層按式(-：-1同叭 按省值二1500) l2B-2048fi=l450)模式|哽置：O無(wú)1喝置評(píng)態(tài)覽址Odhcp O 0OOTPIF地址:(192 158 2 勺|網(wǎng)賂 If碼：2452550H4配置接口 G2/3，接口 ip地址為/24，配置完成后單擊“確定”按鈕;i H3C Root-設(shè)備槪菟-配置向?qū)設(shè)備昔理藍(lán)著本配苣-日期和時(shí)間-播口営理-安全域TU慮擬設(shè)備昔遲配置管理-服務(wù)音理-歎件升翅L設(shè)備董啟n資源莒理 th網(wǎng)踣昔理 注田Q軫祁接口編輯綾口名輛： 接口狀臺(tái)： 接口類(lèi)型：V1D：niu:TCPMSS：Iff 式：Glgab IE

42、thamet2/3空接關(guān)閉不設(shè)羞 安全試5 H3C Rootq聶k配置日朗蝕間授口替理L安全蟻Y虔憩設(shè)備営理安全域Q安全域名憂(yōu)先融l2Trust65授口Gig3bilElhemet2 2Gig3bitErrremet2 33配置G2/0接口加入U(xiǎn)n trust區(qū)域，配置完成后單擊確定按鈕; H3C Root -設(shè)備懂監(jiān) -配置冑導(dǎo)修改安盤(pán)姣日明和的聞 報(bào)口苦躍-理一軟枠升飆ID：憂(yōu)先鑲;共事:虛獨(dú)設(shè)備:擁: 接口 .AuxO|0|Gi53CitEmemet2O-設(shè)備棗啟 T3資陶理 蟲(chóng)網(wǎng)谿習(xí)理安全域ID安全域名4Un trust接口GigabitEthemet2 0設(shè)備管理 安全威M H3C Root 一設(shè)備槻菟 配青向?qū)?-設(shè)備管理H基本配置 日期和時(shí)間 接口