一文学会配置IP-Link与双机热备联动（双机热备ip设置）

一文学会配置IP-Link与双机热备联动（双机热备ip设置）

以主备备份方式的双机热备为例，介绍双机热备与IP-Link联动。

​​组网需求

​FW作为安全设备被部署在业务节点上。其中上下行设备均是路由器，FW_A、FW_B以主备备份方式工作。组网图如图1所示，具体描述如下：两台FW和路由器之间运行动态路由OSPF协议，由路由器根据路由计算结果，将业务流量发送到主用FW上。将FW的上下行业务端口加入同一Link-group管理组，在链路故障时能够加快路由收敛速度。FW通过双机热备与IP-Link联动功能监控网络的出接口。当FW_A所在链路的网络出接口故障时，FW_B切换成主用设备，业务流量通过FW_B转发。图1 双机热备与IP-Link联动举例组网图

操作步骤​

1.在FW_A上完成以下基本配置。

配置GigabitEthernet 1/0/1的IP地址。

system-view[FW_A] interface GigabitEthernet 1/0/1[FW_A-GigabitEthernet1/0/1] ip address 10.100.10.2 24[FW_A-GigabitEthernet1/0/1] quit

配置GigabitEthernet 1/0/1加入Trust区域。

[FW_A] firewall zone trust[FW_A-zone-trust] add interface GigabitEthernet 1/0/1[FW_A-zone-trust] quit

配置GigabitEthernet 1/0/3的IP地址。

[FW_A] interface GigabitEthernet 1/0/3[FW_A-GigabitEthernet1/0/3] ip address 10.100.30.2 24[FW_A-GigabitEthernet1/0/3] quit

配置GigabitEthernet 1/0/3加入Untrust区域。

[FW_A] firewall zone untrust[FW_A-zone-untrust] add interface GigabitEthernet 1/0/3[FW_A-zone-untrust] quit

配置GigabitEthernet 1/0/1和GigabitEthernet 1/0/3加入同一Link-group管理组。

[FW_A] interface GigabitEthernet 1/0/1[FW_A-GigabitEthernet1/0/1] link-group 1[FW_A-GigabitEthernet1/0/1] quit[FW_A] interface GigabitEthernet 1/0/3[FW_A-GigabitEthernet1/0/3] link-group 1[FW_A-GigabitEthernet1/0/3] quit

配置GigabitEthernet 1/0/2的IP地址。

[FW_A] interface GigabitEthernet 1/0/2[FW_A-GigabitEthernet1/0/2] ip address 10.100.50.2 24[FW_A-GigabitEthernet1/0/2] quit

配置GigabitEthernet 1/0/2加入DMZ区域。

[FW_A] firewall zone dmz[FW_A-zone-dmz] add interface GigabitEthernet 1/0/2[FW_A-zone-dmz] quit

在FW_A上配置运行OSPF动态路由协议。

[FW_A] ospf 101[FW_A-ospf-101] area 0[FW_A-ospf-101-area-0.0.0.0] network 10.100.10.0 0.0.0.255[FW_A-ospf-101-area-0.0.0.0] network 10.100.30.0 0.0.0.255[FW_A-ospf-101-area-0.0.0.0] quit[FW_A-ospf-101] quit

配置根据HRP状态调整OSPF的相关COST值的功能。

FW部署于OSPF网络中做双机热备份时，必须配置该命令。[FW] hrp adjust ospf-cost enable

配置VGMP组监控业务接口。

[FW_A] hrp track interface GigabitEthernet 1/0/1[FW_A] hrp track interface GigabitEthernet 1/0/3

配置IP-Link，监控网络出接口。

[FW_A] ip-link check enable[FW_A] ip-link name test[FW_A-iplink-test] destination 1.1.1.1 interface GigabitEthernet 1/0/3[FW_A-iplink-test] quit

配置双机热备与IP-Link联动，由VGMP管理组监控IP-Link。当网络出接口故障时，IP-Link状态变为Down，VGMP管理组优先级降低2。

[FW_A] hrp track ip-link test

配置HRP备份通道。

[FW_A] hrp interface GigabitEthernet 1/0/2 remote 10.100.50.3

启动HRP。

[FW_A] hrp enable2.在FW_B上完成双机热备配置。FW_B和FW_A的配置基本相同，不同之处在于：FW_B各接口的IP地址与FW_A各接口的IP地址不相同，且FW_B和FW_A对应的业务接口的IP地址不能在同一网段。在FW_B上配置运行OSPF动态路由协议时，应该发布与FW_B的业务接口直接相连的网段的路由。需要在FW_B上执行命令hrp standby-device，指定FW_B为备用设备。3.在FW_B上配置双机热备与IP-Link联动。4.[FW_B] ip-link check enable5.[FW_B] ip-link name test6.[FW_B-iplink-test] destination 2.2.2.2 interface GigabitEthernet 1/0/37.[FW_B-iplink-test] quit[FW_B] hrp track ip-link test8.在FW_A上启动配置命令的自动备份、并配置安全策略。当FW_A和FW_B都启动HRP功能完成后，在FW_A上开启配置命令的自动备份，这样在FW_A上配置的安全策略都将自动备份到FW_B。

启动配置命令的自动备份功能。

HRP_M[FW_A] hrp auto-sync config

配置安全策略，使192.168.1.0/24网段用户可以访问Untrust区域。

HRP_M[FW_A] security-policyHRP_M[FW_A-policy-security] rule name haHRP_M[FW_A-policy-security-rule-ha] source-zone trustHRP_M[FW_A-policy-security-rule-ha] destination-zone untrustHRP_M[FW_A-policy-security-rule-ha] source-address 192.168.1.0 24HRP_M[FW_A-policy-security-rule-ha] action permit

配置安全策略，允许FW发送IP-Link探测报文。

HRP_M[FW_A-policy-security] rule name ip_linkHRP_M[FW_A-policy-security-rule-ip_link] source-zone localHRP_M[FW_A-policy-security-rule-ip_link] destination-zone untrustHRP_M[FW_A-policy-security-rule-ip_link] action permit9.配置路由器。在路由器上配置OSPF，具体配置命令请参考路由器的相关文档。配置脚本FW_A配置脚本：

sysname FW_A

hrp enable hrp interface GigabitEthernet 1/0/2 remote 10.100.50.3 hrp track interface GigabitEthernet 1/0/1 hrp track interface GigabitEthernet 1/0/3 hrp track ip-link test

ip-link check enableip-link name test destination 1.1.1.1 interface GigabitEthernet1/0/3

interface GigabitEthernet 1/0/1 ip address 10.100.10.2 255.255.255.0 link-group 1

interface GigabitEthernet 1/0/2 ip address 10.100.50.2 255.255.255.0

interface GigabitEthernet 1/0/3 ip address 10.100.30.2 255.255.255.0 link-group 1

firewall zone trust add interface GigabitEthernet 1/0/1

firewall zone dmz add interface GigabitEthernet 1/0/2

firewall zone untrust add interface GigabitEthernet 1/0/3

ospf 101 area 0.0.0.0 network 10.100.10.0 0.0.0.255 network 10.100.30.0 0.0.0.255

security-policy rule name ha source-zone trust destination-zone untrust source-address 192.168.1.0 24 action permit rule name ip_link source-zone local destination-zone untrust action permit

returnFW_B配置脚本：

sysname FW_B

hrp enable hrp standby-device hrp interface GigabitEthernet 1/0/2 remote 10.100.50.2 hrp track interface GigabitEthernet 1/0/1 hrp track interface GigabitEthernet 1/0/2 hrp track ip-link test

ip-link check enableip-link name test destination 2.2.2.2 interface GigabitEthernet1/0/3

interface GigabitEthernet 1/0/1 ip address 10.100.20.2 255.255.255.0 link-group 1

interface GigabitEthernet 1/0/2 ip address 10.100.50.3 255.255.255.0

interface GigabitEthernet 1/0/3 ip address 10.100.40.2 255.255.255.0 link-group 1

firewall zone trust add interface GigabitEthernet 1/0/1

firewall zone dmz add interface GigabitEthernet 1/0/2

firewall zone untrust add interface GigabitEthernet 1/0/3

ospf 101 area 0.0.0.0 network 10.100.20.0 0.0.0.255 network 10.100.40.0 0.0.0.255

security-policy rule name ha source-zone trust destination-zone untrust source-address 192.168.1.0 24 action permit rule name ip_link source-zone local destination-zone untrust action permit

return

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。