多平台统一管理软件接口,如何实现多平台统一管理软件接口
453
2022-10-21
华为防火墙USG6000V;防火墙直路部署,上下行连接交换机
华为防火墙USG6000V;防火墙直路部署,上下行连接交换机
拓扑如下:
企业的两台FW的业务接口都工作在三层,上下行分别连接二层交换机。上行交换机连接运营商的接入点,运营商为企业分配的IP地址为1.1.1.1。现在希望两台FW以主备备份方式工作。正常情况下,流量通过FW_A转发。当FW_A出现故障时,流量通过FW_B转发,保证业务不中断。
- 完成网络基本配置:
<FW_A> system-view
[FW_A] interface GigabitEthernet 1/0/1
[FW_A-GigabitEthernet1/0/1] ip address 10.2.0.1 24
[FW_A-GigabitEthernet1/0/1] quit
[FW_A] interface GigabitEthernet 1/0/3
[FW_A-GigabitEthernet1/0/3] ip address 10.3.0.1 24
[FW_A-GigabitEthernet1/0/3] quit
[FW_A] interface GigabitEthernet 1/0/7
[FW_A-GigabitEthernet1/0/7] ip address 10.10.0.1 24
[FW_A-GigabitEthernet1/0/7] quit<FW_B> system-view
[FW_B] interface GigabitEthernet 1/0/1
[FW_B-GigabitEthernet1/0/1] ip address 10.2.0.2 24
[FW_B-GigabitEthernet1/0/1] quit
[FW_B] interface GigabitEthernet 1/0/3
[FW_B-GigabitEthernet1/0/3] ip address 10.3.0.2 24
[FW_B-GigabitEthernet1/0/3] quit
[FW_B] interface GigabitEthernet 1/0/7
[FW_B-GigabitEthernet1/0/7] ip address 10.10.0.2 24
[FW_B-GigabitEthernet1/0/7] quit# 将FW各接口加入相应的安全区域。
[FW_A] firewall zone trust
[FW_A-zone-trust] add interface GigabitEthernet 1/0/3
[FW_A-zone-trust] quit
[FW_A] firewall zone dmz
[FW_A-zone-dmz] add interface GigabitEthernet 1/0/7
[FW_A-zone-dmz] quit
[FW_A] firewall zone untrust
[FW_A-zone-untrust] add interface GigabitEthernet 1/0/1
[FW_A-zone-untrust] quit[FW_B] firewall zone trust
[FW_B-zone-trust] add interface GigabitEthernet 1/0/3
[FW_B-zone-trust] quit
[FW_B] firewall zone dmz
[FW_B-zone-dmz] add interface GigabitEthernet 1/0/7
[FW_B-zone-dmz] quit
[FW_B] firewall zone untrust
[FW_B-zone-untrust] add interface GigabitEthernet 1/0/1
[FW_B-zone-untrust] quit在FW上配置缺省路由,下一跳为1.1.1.10,使内网用户的流量可以正常转发至Router
[FW_A] ip route-static 0.0.0.0 0.0.0.0 1.1.1.10
[FW_B] ip route-static 0.0.0.0 0.0.0.0 1.1.1.10
- 配置VRRP备份组。
- 指定心跳口并启用双机热备功能。
- 在FW_A上配置安全策略。双机热备状态成功建立后,FW_A的安全策略配置会自动备份到FW_B上。
# 配置安全策略,允许内网用户访问Internet。
FW_A | FW_B |
# 在FW_A上行业务接口GE1/0/1上配置VRRP备份组1,并设置其状态为Active。在FW_B上行业务接口GE1/0/1上配置VRRP备份组1,并设置其状态为Standby。需要注意的是如果接口的IP地址与VRRP备份组地址不在同一网段,则配置VRRP备份组地址时需要指定掩码。 | |
[FW_A] interface GigabitEthernet 1/0/1 | [FW_B] interface GigabitEthernet 1/0/1 |
# 在FW_A下行业务接口GE1/0/3上配置VRRP备份组2,并设置其状态为Active。在FW_B下行业务接口GE1/0/3上配置VRRP备份组2,并设置其状态为Standby。 | |
[FW_A] interface GigabitEthernet 1/0/3 | [FW_B] interface GigabitEthernet 1/0/3 |
FW_A | FW_B |
[FW_A] hrp interface GigabitEthernet 1/0/7 remote 10.10.0.2 | [FW_B] hrp interface GigabitEthernet 1/0/7 remote 10.10.0.1 |
HRP_M[FW_A] security-policyHRP_M[FW_A-policy-security] rule name trust_to_untrust HRP_M[FW_A-policy-security-rule-trust_to_untrust] source-zone trustHRP_M[FW_A-policy-security-rule-trust_to_untrust] destination-zone untrustHRP_M[FW_A-policy-security-rule-trust_to_untrust] source-address 10.3.0.0 24HRP_M[FW_A-policy-security-rule-trust_to_untrust] action permitHRP_M[FW_A-policy-security-rule-trust_to_untrust] quitHRP_M[FW_A-policy-security] quit
在FW_A上配置NAT策略。双机热备状态成功建立后,FW_A的NAT策略配置会自动备份到FW_B上。# 配置NAT策略,当内网用户访问Internet时,将源地址由10.3.0.0/16网段转换为地址池中的地址(1.1.1.2-1.1.1.5)。
HRP_M[FW_A] nat address-group group1HRP_M[FW_A-address-group-group1] section 0 1.1.1.2 1.1.1.5HRP_M[FW_A-address-group-group1] quitHRP_M[FW_A] nat-policyHRP_M[FW_A-policy-nat] rule name policy_nat1 HRP_M[FW_A-policy-nat-rule-policy_nat1] source-zone trustHRP_M[FW_A-policy-nat-rule-policy_nat1] destination-zone untrustHRP_M[FW_A-policy-nat-rule-policy_nat1] source-address 10.3.0.0 16 HRP_M[FW_A-policy-nat-rule-policy_nat1] action source-nat address-group group1
配置Switch和内网PC。
分别将两台Switch的三个接口加入同一个VLAN,具体配置命令请参考交换机的相关文档。将内网PC的默认网关设置为VRRP备份组2的虚拟IP地址,具体步骤略。
配置Router。在Router上配置到FW的等价路由,路由下一跳指向VRRP备份组1的虚拟IP地址。
验证结果:
FW1 display 结果
FW2 displey结果
版权声明:本文内容由网络用户投稿,版权归原作者所有,本站不拥有其著作权,亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容,请联系我们jiasou666@gmail.com 处理,核实后本网站将在24小时内删除侵权内容。
相关文章
发表评论
暂时没有评论,来抢沙发吧~