系统集成论坛
标题:
CLI 举例:业务接口工作在三层,上下行连接交换机的主
[打印本页]
作者:
胡振宇
时间:
2015-11-26 14:38
标题:
CLI 举例:业务接口工作在三层,上下行连接交换机的主
# 配置各接口的IP地址。
<NGFW_A> system-view
[NGFW_A] interface GigabitEthernet 1/0/1
[NGFW_A-GigabitEthernet1/0/1] ip address 10.2.0.1 24
[NGFW_A-GigabitEthernet1/0/1] quit
[NGFW_A] interface GigabitEthernet 1/0/3
[NGFW_A-GigabitEthernet1/0/3] ip address 10.3.0.1 24
[NGFW_A-GigabitEthernet1/0/3] quit
[NGFW_A] interface GigabitEthernet 1/0/7
[NGFW_A-GigabitEthernet1/0/7] ip address 10.10.0.1 24
[NGFW_A-GigabitEthernet1/0/7] quit
# 将各接口加入相应的安全区域。
[NGFW_A] firewall zone trust
[NGFW_A-zone-trust] add interface GigabitEthernet 1/0/3
[NGFW_A-zone-trust] quit
[NGFW_A] firewall zone dmz
[NGFW_A-zone- dmz] add interface GigabitEthernet 1/0/7
[NGFW_A-zone- dmz] quit
[NGFW_A] firewall zone untrust
[NGFW_A-zone- untrust] add interface GigabitEthernet 1/0/1
[NGFW_A-zone- untrust] quit
# 配置一条缺省路由,下一跳为1.1.1.10。
[NGFW_A] ip route-static 0.0.0.0 0.0.0.0 1.1.1.10
步骤2 在NGFW_A上配置VRRP备份组。
# 在上行业务接口GE1/0/1上配置VRRP备份组1,并将其加入状态为Active的VGMP组。
需要注意的是如果接口的IP地址与VRRP备份组地址不在同一网段,则配置VRRP备份组
地址时需要指定掩码。
[NGFW_A] interface GigabitEthernet 1/0/1
[NGFW_A-GigabitEthernet1/0/1] vrrp vrid 1 virtual-ip 1.1.1.1 24 active
[NGFW_A-GigabitEthernet1/0/1] quit
# 在下行业务接口GE1/0/3上配置VRRP备份组2,并将其加入状态为Active的VGMP组。
[NGFW_A] interface GigabitEthernet 1/0/3
[NGFW_A-GigabitEthernet1/0/3] vrrp vrid 2 virtual-ip 10.3.0.3 active
[NGFW_A-GigabitEthernet1/0/3] quit
步骤3 在NGFW_A上指定心跳口并启用双机热备功能。
[NGFW_A] hrp interface GigabitEthernet 1/0/7
[NGFW_A] hrp enable
[NGFW_A] hrp mirror session enable
步骤4 完成NGFW_B的配置,建立双机热备状态。
# NGFW_B和上述NGFW_A的配置基本相同,不同之处在于:
1. NGFW_B各接口的IP地址与NGFW_A各接口的IP地址不相同。
2. NGFW_B的业务接口GigabitEthernet1/0/1和GigabitEthernet1/0/3的VRRP备份组需要
加入状态为Standby的VGMP组。
步骤5 在NGFW_A上配置安全策略。双机热备状态成功建立后,NGFW_A的安全策略配置会
自动备份到NGFW_B上。
# 配置安全策略,允许内网用户访问Internet。
HRP_A[NGFW_A] security-policy
HRP_A[NGFW_A-policy-security] rule name trust_to_untrust
HUAWEI USG6000 系列 & NGFW Module
典型配置案例4 可靠性部署
文档版本 04 (2015-07-30) 华为专有和保密信息
版权所有 © 华为技术有限公司
237
HRP_A[NGFW_A-policy-security-rule-trust_to_untrust] source-zone trust
HRP_A[NGFW_A-policy-security-rule-trust_to_untrust] destination-zone untrust
HRP_A[NGFW_A-policy-security-rule-trust_to_untrust] action permit
HRP_A[NGFW_A-policy-security-rule-trust_to_untrust] quit
HRP_A[NGFW_A-policy-security] quit
步骤6 在NGFW_A上配置NAT策略。双机热备状态成功建立后,NGFW_A的NAT策略配置会
自动备份到NGFW_B上。
# 配置NAT策略,当内网用户访问Internet时,将源地址由10.3.0.0/16网段转换为地址池
中的地址(1.1.1.2-1.1.1.5)。
HRP_A[NGFW_A] nat address-group group1
HRP_A[NGFW_A-address-group-group1] section 0 1.1.1.2 1.1.1.5
HRP_A[NGFW_A-address-group-group1] quit
HRP_A[NGFW_A] nat-policy
HRP_A[NGFW_A-policy-nat] rule name policy_nat1
HRP_A[NGFW_A-policy-nat-rule-policy_nat1] source-zone trust
HRP_A[NGFW_A-policy-nat-rule-policy_nat1] destination-zone untrust
HRP_A[NGFW_A-policy-nat-rule-policy_nat1] source-address 10.3.0.0 16
HRP_A[NGFW_A-policy-nat-rule-policy_nat1] action nat address-group group1
----结束
结果验证
1. 在NGFW_A上执行display vrrp命令,检查VRRP组内接口的状态信息,显示以下信
息表示VRRP组建立成功。
HRP_A<NGFW_A> display vrrp
GigabitEthernet1/0/1 | Virtual Router 1
VRRP Group : Active
state : Active
Virtual IP : 1.1.1.1
Virtual MAC : 0000-5e00-0101
Primary IP : 10.2.0.1
PriorityRun : 120
PriorityConfig : 100
ActivePriority : 120
Preempt : YES Delay Time : 0
Advertisement Timer : 1
Auth Type : NONE
Check TTL : YES
GigabitEthernet1/0/3 | Virtual Router 2
VRRP Group : Active
state : Active
Virtual IP : 10.3.0.3
Virtual MAC : 0000-5e00-0102
Primary IP : 10.3.0.1
PriorityRun : 120
PriorityConfig : 100
ActivePriority : 120
Preempt : YES Delay Time : 0
Advertisement Timer : 1
Auth Type : NONE
Check TTL : YES
2. 在NGFW_A上执行display hrp state命令,检查当前VGMP组的状态,显示以下信息
表示双机热备建立成功。
HRP_A<NGFW_A> display hrp state
The firewall's config state is:
HUAWEI USG6000 系列 & NGFW Module
典型配置案例4 可靠性部署
文档版本 04 (2015-07-30) 华为专有和保密信息
版权所有 © 华为技术有限公司
238
ACTIVE
Backup channel usage:
0.01%
Time elapsed after the last switchover: 0 days, 0 hours, 36
minutes
Current state of virtual routers configured as
active:
GigabitEthernet1/0/3 vrid 2 :
active
GigabitEthernet1/0/1 vrid 1 : active
3. Router位于Untrust区域。在Trust区域的PC端能够ping通Untrust区域的Router。分别
在NGFW_A和NGFW_B上检查会话。
HRP_A<NGFW_A> display firewall session table
Current Total Sessions : 1
icmp VPN: public --> public 10.3.0.10:0[1.1.1.2:10298] --> 1.1.1.10:2048
HRP_A<NGFW_B> display firewall session table
Current Total Sessions : 1
icmp VPN:public --> public Remote 10.3.0.10:0[1.1.1.2:10298] --> 1.1.1.10:2048
可以看出NGFW_B上存在带有Remote标记的会话,表示配置双机热备功能后,会话
备份成功。
4. 在PC上执行ping 1.1.1.10 –t,然后将NGFW_A防火墙GE1/0/1接口网线拨出,观察
防火墙状态切换及ping包丢包情况;再将NGFW_A防火墙GE1/0/1接口网线恢复,
观察防火墙状态切换及ping包丢包情况。
HUAWEI USG6000 系列 & NGFW Module
典型配置案例4 可靠性部署
文档版本 04 (2015-07-30) 华为专有和保密信息
版权
欢迎光临 系统集成论坛 (http://bbs.xtjc.com/)
Powered by Discuz! X3.1