多平台统一管理软件接口,如何实现多平台统一管理软件接口
498
2022-10-12
华为防火墙:双机热备,上下行连接交换机(华为交换机双机热备实例)
网络需求:
两台FW的业务接口都工作在二层,上下行分别连接交换机。FW的上下行业务接口都加入到VLAN10和VLAN20中。现在希望两台FW以主备备份方式工作。正常情况下,流量通过FW_A转发。当FW_A出现故障时,流量通过FW_B转发,保证业务不中断。
1.完成网络基本配置。
FW_A | FW_B |
# 将FW_A上下行业务接口都切换成二层接口,并加入VLAN10和VLAN20。将FW_B上下行业务接口都切换成二层接口,并加入VLAN10和VLAN20。 | |
[FW_A] vlan batch 10 20 | [FW_B] vlan batch 10 20 |
# 配置FW心跳口的IP地址。 | |
[FW_A] interface GigabitEthernet 1/0/2 | [FW_B] interface GigabitEthernet 1/0/2 |
# 将FW各接口加入相应的安全区域。 | |
[FW_A] firewall zone trust | [FW_B] firewall zone trust |
2.配置双机热备功能。
FW_A | FW_B |
# 在FW_A上配置VGMP组监控VLAN。在FW_B上配置VGMP组监控VLAN,并配置本设备为备用设备。 | |
[FW_A] hrp track vlan 10 | [FW_B] hrp track vlan 10 |
# 在FW上指定心跳口并启用双机热备功能。 | |
[FW_A] hrp interface GigabitEthernet 1/0/2 remote 10.10.0.2 | [FW_B] hrp interface GigabitEthernet 1/0/2 remote 10.10.0.1 |
3.在FW_A上配置安全策略。双机热备状态成功建立后,FW_A的安全策略配置会自动备份到FW_B上。
HRP_M[FW_A] security-policyHRP_M[FW_A-policy-security] rule name policy_sec1 HRP_M[FW_A-policy-security-rule-policy_sec1] source-zone trustHRP_M[FW_A-policy-security-rule-policy_sec1] destination-zone untrustHRP_M[FW_A-policy-security-rule-policy_sec1] action permit
4.在FW1上配置安全策略。双机热备状态成功建立后,FW1的安全策略配置会自动备份到FW2上。
# 配置安全策略,允许内网用户访问Internet。
HRP_M[FW_A] security-policyHRP_M[FW_A-policy-security] rule name policy_sec1 HRP_M[FW_A-policy-security-rule-policy_sec1] source-zone trustHRP_M[FW_A-policy-security-rule-policy_sec1] destination-zone untrustHRP_M[FW_A-policy-security-rule-policy_sec1] action permit
5.在FW1上配置NAT策略。双机热备状态成功建立后,FW1的NAT策略配置会自动备份到FW2上。
# 配置NAT策略,当内网用户访问Internet时,将源地址由10.3.0.0/16网段转换为地址池中的地址(1.1.1.2-1.1.1.5)。
HRP_M[FW1] nat address-group group1HRP_M[FW1-address-group-group1] section 0 1.1.1.2 1.1.1.5HRP_M[FW1-address-group-group1] quitHRP_M[FW1] nat-policyHRP_M[FW1-policy-nat] rule name policy_nat1 HRP_M[FW1-policy-nat-rule-policy_nat1] source-zone trustHRP_M[FW1-policy-nat-rule-policy_nat1] destination-zone untrustHRP_M[FW1-policy-nat-rule-policy_nat1] source-address 10.3.0.0 16 HRP_M[FW1-policy-nat-rule-policy_nat1] action source-nat address-group group1
完成效果
版权声明:本文内容由网络用户投稿,版权归原作者所有,本站不拥有其著作权,亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容,请联系我们jiasou666@gmail.com 处理,核实后本网站将在24小时内删除侵权内容。
发表评论
暂时没有评论,来抢沙发吧~