|
全冗余网络防火墙热备配置 需求说明: FW1和FW2工作在路由模式。现要求实现Firewall 1能正常工作的情况下,SW2- A通过FW1访问SW1区域。当FW1故障时, SW2-B通过FW2访问SW1区域。当FW-A与SW2-B同时发现故障时,SW2-A可以通过FWB访问SW1区域。现实双机热备模式下的多线路热备。 图1 配置双冗余方式下的双机热备组网图 相关基础配置 1. 在USG_A上完成以下基本配置。 # 配置GigabitEthernet 0/0/0的IP地址。 <USG_A> system-view [USG_A] interface GigabitEthernet 0/0/0 [USG_A-GigabitEthernet0/0/0] ip address 100.100.100.1 24 [USG_A-GigabitEthernet0/0/0] quit # 配置GigabitEthernet 0/0/1的IP地址及虚拟IP地址。 请确保虚拟IP地址和任何接口的实际IP地址不同。 [USG_A] interface GigabitEthernet 0/0/1 [USG_A-GigabitEthernet0/0/1] ip address 172.168.1.1 24 [USG_A-GigabitEthernet0/0/2] vrrp vrid 1 virtual-ip 172.168.1.3 master [USG_A-GigabitEthernet0/0/1] quit # 配置GigabitEthernet 0/0/2的IP地址及虚拟IP地址。。 [USG_A] interface GigabitEthernet 0/0/2 [USG_A-GigabitEthernet0/0/2] ip address 172.168.2.1 24 [USG_A-GigabitEthernet0/0/2] vrrp vrid 1 virtual-ip 172.168.2.3 master [USG_A-GigabitEthernet0/0/2] quit # 配置GigabitEthernet 0/0/1的IP地址及虚拟IP地址。。 [USG_A] interface GigabitEthernet 0/0/3 [USG_A-GigabitEthernet0/0/3] ip address 172.168.3.1 24 [USG_A-GigabitEthernet0/0/3] vrrp vrid 1 virtual-ip 172.168.3.3 master [USG_A-GigabitEthernet0/0/3] quit # 配置GigabitEthernet 0/0/2的IP地址。 [USG_A] interface GigabitEthernet 0/0/4 [USG_A-GigabitEthernet0/0/4] ip address 172.168.4.1 24 [USG_A-GigabitEthernet0/0/4] vrrp vrid 1 virtual-ip 172.168.4.3 master [USG_A-GigabitEthernet0/0/4] quit # 配置GigabitEthernet 0/0/1、GigabitEthernet 0/0/2加入Trust区域。 [USG_A] firewall zone trust [USG_A-zone-trust] add interface GigabitEthernet 0/0/1 [USG_A-zone-trust] add interface GigabitEthernet 0/0/2 [USG_A-zone-trust] quit # 配置GigabitEthernet 0/0/0加入DMZ区域。 [USG_A] firewall zone dmz [USG_A-zone-dmz] add interface GigabitEthernet 0/0/0 [USG_A-zone-dmz] quit # 配置GigabitEthernet 0/0/3、 GigabitEthernet 0/0/4加入Untrust区域。 [USG_A] firewall zone untrust [USG_A-zone-untrust] add interface GigabitEthernet 0/0/3 [USG_A-zone-untrust] add interface GigabitEthernet 0/0/4 [USG_A-zone-untrust] quit # 配置HRP备份通道。 file:///C:\Users\71202\AppData\Local\Temp\ksohtml38096\wps4.png注意: 主备USG的HRP备份通道接口必须直接相连,中间不能连接交换机。 [USG_A] hrp interface GigabitEthernet 0/0/0 # 启动HRP。 [USG_A] hrp enable 2. 配置USG_B。 USG_B和上述USG_A的配置基本相同,不同之处在于: o USG_B各接口的IP地址与USG_A各接口的IP地址不相同。 o USG_B的VRRP指定的管理组应该设为Slave。 3. 在USG_A上启动配置命令的自动备份、配置Trust区域和Untrust区域的域间包过滤规则。 说明: 当USG_A和USG_B都启动HRP功能完成后,在USG_A上开启配置命令的自动备份,这样在USG_A上配置的域间包过滤规则都将自动备份到USG_B。 # 启动配置命令的自动备份功能。 HRP_M[USG_A] hrp auto-sync config # 配置域间包过滤规则,默认允许。 HRP_M[USG_A] firewall packet-filter default permit all # 请根据网络情况,在开放了必要的访问策略后,再逐个关闭不需要开放的域间缺省包过滤。在逐个关闭期间,请关注网络是否能够正常通信。如果在关闭某个域间后影响正常业务,请重新打开该域间的缺省包过滤并检查和修改包过滤的配置。 HRP_M[USG_A] firewall packet-filter default deny interzone local dmz HRP_M[USG_A] firewall packet-filter default deny interzone local untrust HRP_M[USG_A] firewall packet-filter default deny interzone trust dmz HRP_M[USG_A] firewall packet-filter default deny interzone trust untrust HRP_M[USG_A] firewall packet-filter default deny interzone dmz untrust 4. 配置路由表 [USG_A] ip route-static 192.168.0.0 16 172.168.1.254 [USG_A] ip route-static 192.168.0.0 16 172.168.2.254 100 [USG_A] ip route-static 10.0.0.0 8 172.168.3.254 [USG_A] ip route-static 10.0.0.0 8 172.168.4.254 100 5. 配置Switch。 # 实际应用中,Switch与USG相连的接口一般是二层接口,配置Switch连接到USG_A、Switch连接到USG_B的接口,将此两个接口加入同一个VLAN。 具体配置命令请参考交换机的相关文档。 # 在处于Trust区域的PC1和Untrust区域的PC2上配置网关地址为各自核心交换的VRRP备份组的虚拟IP地址。 #在Trust区域的核心交换和Untrust区域的核心交换上,通过路由选择主备线路。
| 
简体中文
英语
日语
韩语
法语
西班牙语
越南语
泰语
阿拉伯语
俄语
葡萄牙语
德语
意大利语
希腊语
荷兰语
波兰语
保加利亚语
爱沙尼亚语
丹麦语
芬兰语
捷克语
罗马尼亚语
斯洛文尼亚语
瑞典语
匈牙利语
繁体中文
文言文
成长值: 63715
发表于 2020-7-9 14:30:52
置顶卡
喧嚣卡
变色卡
千斤顶
发表于 2020-7-9 15:00:33
