华为防火墙USG6000V:防火墙直路部署,上下行连接交换机,双机热备之负载均衡。

网友投稿 1093 2022-10-21


华为防火墙USG6000V:防火墙直路部署,上下行连接交换机,双机热备之负载均衡。

如图所示,两台FW的业务接口都工作在三层,上下行分别连接二层交换机。现在希望两台FW以负载分担方式工作。正常情况下,FW_A和FW_B共同转发流量。当其中一台FW出现故障时,另外一台FW转发全部业务,保证业务不中断。

操作步骤

完成网络基本配置。

配置FW各个接口的ip地址

FW_A

system-view [FW_A] interface GigabitEthernet 1/0/1[FW_A-GigabitEthernet1/0/1] ip address 1.1.1.1 24[FW_A-GigabitEthernet1/0/1] quit [FW_A] interface GigabitEthernet 1/0/3[FW_A-GigabitEthernet1/0/3] ip address 10.3.0.1 24[FW_A-GigabitEthernet1/0/3] quit [FW_A] interface GigabitEthernet 1/0/6[FW_A-GigabitEthernet1/0/6] ip address 10.10.0.1 24[FW_A-GigabitEthernet1/0/6] quit

FW_B

system-view [FW_B] interface GigabitEthernet 1/0/1[FW_B-GigabitEthernet1/0/1] ip address 1.1.1.2 24[FW_B-GigabitEthernet1/0/1] quit [FW_B] interface GigabitEthernet 1/0/3[FW_B-GigabitEthernet1/0/3] ip address 10.3.0.2 24[FW_B-GigabitEthernet1/0/3] quit [FW_B] interface GigabitEthernet 1/0/6[FW_B-GigabitEthernet1/0/6] ip address 10.10.0.2 24[FW_B-GigabitEthernet1/0/6] quit

b. 将FW各接口加入相应的安全区域。

FW_A

[FW_A] firewall zone trust[FW_A-zone-trust] add interface GigabitEthernet 1/0/3[FW_A-zone-trust] quit [FW_A] firewall zone dmz[FW_A-zone-dmz] add interface GigabitEthernet 1/0/6[FW_A-zone-dmz] quit [FW_A] firewall zone untrust[FW_A-zone-untrust] add interface GigabitEthernet 1/0/1[FW_A-zone-untrust] quit

FW_B

[FW_B] firewall zone trust[FW_B-zone-trust] add interface GigabitEthernet 1/0/3[FW_B-zone-trust] quit [FW_B] firewall zone dmz[FW_B-zone-dmz] add interface GigabitEthernet 1/0/6[FW_B-zone-dmz] quit [FW_B] firewall zone untrust[FW_B-zone-untrust] add interface GigabitEthernet 1/0/1[FW_B-zone-untrust] quit

c.在FW上配置一条缺省路由,下一跳为1.1.1.10。

[FW_A] ip route-static 0.0.0.0 0.0.0.0 1.1.1.10

[FW_B] ip route-static 0.0.0.0 0.0.0.0 1.1.1.10

2.配置VRRP备份组。

a.为了实现负载分担组网需要在每个业务接口上配置两个VRRP备份组,一个设置状态为Active,另一个设置状态为Standby。

b.在FW_A上行业务接口GE1/0/1上配置VRRP备份组1,并将其状态设置为Active;配置VRRP备份组2,并将其状态设置为Standby。在FW_B上行业务接口GE1/0/1上配置VRRP备份组1,并将其状态设置为Standby;配置VRRP备份组2,并将其状态设置为Active

FW_A

[FW_A] interface GigabitEthernet 1/0/1[FW_A-GigabitEthernet1/0/1] vrrp vrid 1 virtual-ip 1.1.1.3 24 active[FW_A-GigabitEthernet1/0/1] vrrp vrid 2 virtual-ip 1.1.1.4 24 standby[FW_A-GigabitEthernet1/0/1] quit

FW_B

[FW_B] interface GigabitEthernet 1/0/1[FW_B-GigabitEthernet1/0/1] vrrp vrid 1 virtual-ip 1.1.1.3 24 standby[FW_B-GigabitEthernet1/0/1] vrrp vrid 2 virtual-ip 1.1.1.4 24 active[FW_B-GigabitEthernet1/0/1] quit

c.在FW_A下行业务接口GE1/0/3上配置VRRP备份组3,并将其状态设置为Active;配置VRRP备份组4,并将其状态设置为Standby。在FW_B下行业务接口GE1/0/3上配置VRRP备份组3,并将其状态设置为Standby;配置VRRP备份组4,并将其状态设置为Active。

FW_A

[FW_A] interface GigabitEthernet 1/0/3[FW_A-GigabitEthernet1/0/3] vrrp vrid 3 virtual-ip 10.3.0.3 active[FW_A-GigabitEthernet1/0/3] vrrp vrid 4 virtual-ip 10.3.0.4 standby[FW_A-GigabitEthernet1/0/3] quit

FW_B

[FW_B] interface GigabitEthernet 1/0/3[FW_B-GigabitEthernet1/0/3] vrrp vrid 3 virtual-ip 10.3.0.3 standby[FW_B-GigabitEthernet1/0/3] vrrp vrid 4 virtual-ip 10.3.0.4 active[FW_B-GigabitEthernet1/0/3] quit

3.配置会话快速备份功能,指定心跳口并启用双机热备功能。

负载分担组网下,两台FW都转发流量,为了防止来回路径不一致,需要在两台FW上都配置会话快速备份功能。

[FW_A] hrp mirror session enable

[FW_B] hrp mirror session enable

在FW上指定心跳口并启用双机热备功能。

[FW_A] hrp interface GigabitEthernet 1/0/6 remote 10.10.0.2 [FW_A] hrp enable

[FW_B] hrp interface GigabitEthernet 1/0/6 remote 10.10.0.1 [FW_B] hrp enable

4.在FW_A上配置安全策略。双机热备状态成功建立后,FW_A的安全策略配置会自动备份到FW_B上。

HRP_M[FW_A] security-policyHRP_M[FW_A-policy-security] rule name trust_to_untrust HRP_M[FW_A-policy-security-rule-trust_to_untrust] source-zone trustHRP_M[FW_A-policy-security-rule-trust_to_untrust] destination-zone untrustHRP_M[FW_A-policy-security-rule-trust_to_untrust] action permitHRP_M[FW_A-policy-security-rule-trust_to_untrust] source-address 10.3.0.0 24HRP_M[FW_A-policy-security-rule-trust_to_untrust] quitHRP_M[FW_A-policy-security] quit

5.在FW_A上配置NAT策略。双机热备状态成功建立后,FW_A的NAT策略配置会自动备份到FW_B上。

配置NAT策略,当内网用户访问Internet时,将源地址由10.3.0.0/16网段转换为地址池中的地址(1.1.2.5-1.1.2.8)。

HRP_M[FW_A] nat address-group group1HRP_M[FW_A-address-group-group1] section 0 1.1.2.5 1.1.2.8HRP_M[FW_A-address-group-group1] quitHRP_M[FW_A] nat-policyHRP_M[FW_A-policy-nat] rule name policy_nat1 HRP_M[FW_A-policy-nat-rule-policy_nat1] source-zone trustHRP_M[FW_A-policy-nat-rule-policy_nat1] destination-zone untrustHRP_M[FW_A-policy-nat-rule-policy_nat1] source-address 10.3.0.0 16 HRP_M[FW_A-policy-nat-rule-policy_nat1] action source-nat address-group group1HRP_M[FW_A-policy-nat-rule-policy_nat1] quitHRP_M[FW_A-policy-nat] quit

对于双机热备的负载分担组网,为了防止两台设备进行NAT转换时端口冲突,需要在FW_A和FW_B上分别配置可用的端口范围。在FW_A上进行如下配置:

HRP_M[FW_A] hrp nat resource primary-group

结果验证

在FW_A和FW_B上执行display vrrp命令,检查VRRP组内接口的状态信息,显示以下信息表示VRRP组建立成功。

2.在FW_A和FW_B上执行display hrp state verbose命令,检查当前VGMP组的状态,显示以下信息表示双机热备建立成功。


版权声明:本文内容由网络用户投稿,版权归原作者所有,本站不拥有其著作权,亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容,请联系我们jiasou666@gmail.com 处理,核实后本网站将在24小时内删除侵权内容。

标签:接口 安全 配置
上一篇:华为防火墙USG6000V;防火墙直路部署,上下行连接交换机
下一篇:SpringBoot随机数设置及参数间引用的操作步骤
相关文章

 发表评论

暂时没有评论,来抢沙发吧~