huawei 0125NGFW Module配置案例.docx

huawei 0125NGFW Module配置案例.docx

《huawei 0125NGFW Module配置案例.docx》由会员分享，可在线阅读，更多相关《huawei 0125NGFW Module配置案例.docx（100页珍藏版）》请在冰豆网上搜索。

huawei0125NGFWModule配置案例

25NGFWModule配置案例

25.1NGFWModule二层双机部署，交换机集群，重定向引流

25.2NGFWModule三层双机部署，交换机集群，静态路由引流

25.3NGFWModule三层双机部署，交换机集群，策略路由引流

25.4NGFWModule三层双机部署，交换机集群，VLAN引流

25  NGFWModule配置案例

NGFWModule是交换机上的业务单板。

NGFWModule与交换机之间通过2条20GE内部以太网链路连接。

这2条内部以太网链路两端的端口，一端位于交换机上，另一端位于NGFWModule上。

需要分别在交换机侧和NGFWModule侧进行业务配置，NGFWModule才能正常工作。

与交换机配套的NGFWModule单板的最低版本如表25-1所示，交换机支持的最低版本为V200R005C00。

业务单板与交换机之间没有强制的软件版本配套关系，只需要在最低支持的版本以上。

表25-1  NGFWModule业务单板配套交换机的最低版本

业务单板

支持的最低版本

NGFWModule

V100R001C10

25.1NGFWModule二层双机部署，交换机集群，重定向引流

25.2NGFWModule三层双机部署，交换机集群，静态路由引流

25.3NGFWModule三层双机部署，交换机集群，策略路由引流

25.4NGFWModule三层双机部署，交换机集群，VLAN引流

25.1  NGFWModule二层双机部署，交换机集群，重定向引流

业务需求

如图25-1所示，两台交换机集群组网，两块NGFWModule分别安装在两台交换机的1号槽位组成双机负载分担组网。

NGFWModule工作在二层，也就是透明接入网络。

NGFWModule对内网用户访问外网的流量进行安全检测，不同VLAN的内网流量互访不经过NGFWModule直接由交换机转发。

本案例中以NGFWModuleV100R001C30版本、交换机V200R008C00版本为例。

NGFWModule其他版本的配置案例请参见对应版本的部署指南（可以直接在搜索栏中搜索“部署指南”）。

图25-1  NGFWModule二层双机部署，交换机集群组网 

 说明：

在NGFWModule侧，两个内部以太网接口的编号固定为GE1/0/0～GE1/0/1。

在交换机侧，内部以太网接口的编号由NGFWModule安装的槽位号决定。

例如，当NGFWModule安装在交换机的1号槽位时，交换机侧的两个内部以太网接口编号为XGE1/1/0/0～XGE1/1/0/1。

Eth-Trunk2和Eth-Trunk3是CSS内交换机下的接口。

部署方案

总体部署方案为在交换机上将其与两块NGFWModule相连的4个接口捆绑为一个Eth-Trunk接口，然后将流量分担到两块NGFWModule上。

两块NGFWModule组成二层负载分担双机热备组网。

将两台交换机上的4个接口都加入Eth-Trunk10，分别将两块NGFWModule上的4个接口加入Eth-Trunk1。

交换机配置重定向将内网用户和外网之间的流量引导至NGFWModule，NGFWModule的Eth-Trunk1组成同进同出接口对将流量会送回交换机。

 说明：

当NGFWModule工作在接口对模式时，交换机不能开启loop-detection功能。

交换机上开启了loop-detection功能后，会在接口上外发广播包。

NGFWModule配置了接口对模式，从接口收到的所有报文又从这个接口发出去。

这样就导致交换机检测到流量成环，会把接口关闭。

两块NGFWModule组成二层负载分担方式的双机热备组网，因此需要配置监控上下行接口所属VLAN。

图25-2给出了逻辑组网图，便于理解。

图25-2  NGFWModule配置双机热备 

 说明：

图25-2中仅给出交换机与NGFWModule有关的接口信息。

将NGFWModule面板上的GE0/0/1和GE0/0/2接口捆绑为Eth-Trunk0接口，作为心跳口和备份通道，并启用双机热备功能。

双机热备功能配置完成后，需要在NGFWModule_A上配置安全策略、IPS安全功能。

NGFWModule_A的配置会自动备份到NGFWModule_B。

操作步骤

配置NGFWModule接口，完成网络基本配置。

#在NGFWModule_A上配置设备名称。

system-view

[sysname]sysnameModule_A

#在NGFWModule_A上创建VLAN。

[Module_A]vlanbatch200301to302

[Module_A-vlan-302]quit

#在NGFWModule_A上创建二层Eth-Trunk1接口，允许上下行VLAN通过。

[Module_A]interfaceEth-Trunk1

[Module_A-Eth-Trunk1]descriptionTo_SwitchA_trunk10

[Module_A-Eth-Trunk1]portswitch

[Module_A-Eth-Trunk1]portlink-typetrunk

[Module_A-Eth-Trunk1]porttrunkpermitvlan200301to302

[Module_A-Eth-Trunk1]quit

#在NGFWModule_A上将内联物理接口加入Eth-Trunk1。

[Module_A]interfaceGigabitEthernet1/0/0

[Module_A-GigabitEthernet1/0/0]portswitch

[Module_A-GigabitEthernet1/0/0]Eth-Trunk1

[Module_A-GigabitEthernet1/0/0]quit

[Module_A]interfaceGigabitEthernet1/0/1

[Module_A-GigabitEthernet1/0/1]portswitch

[Module_A-GigabitEthernet1/0/1]Eth-Trunk1

[Module_A-GigabitEthernet1/0/1]quit

#在NGFWModule_A上创建Eth-Trunk1接口对。

[Module_A]pair-interfaceEth-Trunk1Eth-Trunk1

#在NGFWModule_A上将面板上的两个接口加入Eth-Trunk0。

[Module_A]interfaceEth-Trunk0

[Module_A-Eth-Trunk0]descriptionhrp_interface

[Module_A-Eth-Trunk0]ipaddress10.10.0.124

[Module_A-Eth-Trunk0]quit

[Module_A]interfaceGigabitEthernet0/0/1

[Module_A-GigabitEthernet0/0/1]Eth-Trunk0

[Module_A-GigabitEthernet0/0/1]quit

[Module_A]interfaceGigabitEthernet0/0/2

[Module_A-GigabitEthernet0/0/2]Eth-Trunk0

[Module_A-GigabitEthernet0/0/2]quit

#在NGFWModule_A上配置接口加入安全区域。

[Module_A]firewallzonetrust

[Module_A-zone-trust]addinterfaceEth-Trunk1

[Module_A-zone-trust]quit

[Module_A]firewallzonenamehrp

[Module_A-zone-hrp]setpriority75

[Module_A-zone-hrp]addinterfaceEth-Trunk0

[Module_A-zone-hrp]quit

#在NGFWModule_B上配置设备名称。

system-view

[sysname]sysnameModule_B

#在NGFWModule_B上创建VLAN。

[Module_B]vlanbatch200301to302

[Module_B-vlan-302]quit

#在NGFWModule_B上创建二层Eth-Trunk1接口，允许上下行VLAN通过。

[Module_B]interfaceEth-Trunk1

[Module_B-Eth-Trunk1]descriptionTo_SwitchB_trunk10

[Module_B-Eth-Trunk1]portswitch

[Module_B-Eth-Trunk1]portlink-typetrunk

[Module_B-Eth-Trunk1]porttrunkpermitvlan200301to302

[Module_B-Eth-Trunk1]quit

#在NGFWModule_B上将内联物理接口加入Eth-Trunk1。

[Module_B]interfaceGigabitEthernet1/0/0

[Module_B-GigabitEthernet1/0/0]portswitch

[Module_B-GigabitEthernet1/0/0]Eth-Trunk1

[Module_B-GigabitEthernet1/0/0]quit

[Module_B]interfaceGigabitEthernet1/0/1

[Module_B-GigabitEthernet1/0/1]portswitch

[Module_B-GigabitEthernet1/0/1]Eth-Trunk1

[Module_B-GigabitEthernet1/0/1]quit

#在NGFWModule_B上创建Eth-Trunk1接口对。

[Module_B]pair-interfaceEth-Trunk1Eth-Trunk1

#在NGFWModule_B上将面板上的两个接口加入Eth-Trunk0。

[Module_B]interfaceEth-Trunk0

[Module_B-Eth-Trunk0]descriptionhrp_interface

[Module_B-Eth-Trunk0]ipaddress10.10.0.224

[Module_B-Eth-Trunk0]quit

[Module_B]interfaceGigabitEthernet0/0/1

[Module_B-GigabitEthernet0/0/1]Eth-Trunk0

[Module_B-GigabitEthernet0/0/1]quit

[Module_B]interfaceGigabitEthernet0/0/2

[Module_B-GigabitEthernet0/0/2]Eth-Trunk0

[Module_B-GigabitEthernet0/0/2]quit

#在NGFWModule_B上配置接口加入安全区域。

[Module_B]firewallzonetrust

[Module_B-zone-trust]addinterfaceEth-Trunk1

[Module_B-zone-trust]quit

[Module_B]firewallzonenamehrp

[Module_B-zone-hrp]setpriority75

[Module_B-zone-hrp]addinterfaceEth-Trunk0

[Module_B-zone-hrp]quit

配置NGFWModule双机热备功能。

#在NGFWModule_A上启用会话快速备份功能。

[Module_A]hrpmirrorsessionenable

#在NGFWModule_A上指定心跳接口，启用双机热备。

[Module_A]hrpinterfaceEth-Trunk0

[Module_A]hrpenable

[Module_A]hrploadbalance-device//V100R001C30SPC300之前版本需要配置该命令，V100R001C30SPC300及之后版本不需要配置该命令

#在NGFWModule_B上启用会话快速备份功能。

[Module_B]hrpmirrorsessionenable

#在NGFWModule_B上指定心跳接口，启用双机热备。

[Module_B]hrpinterfaceEth-Trunk0

[Module_B]hrpenable

[Module_B]hrploadbalance-device//V100R001C30SPC300之前版本需要配置该命令，V100R001C30SPC300及之后版本不需要配置该命令

 说明：

双机热备功能配置完成后，主用设备的配置和会话会自动备份到备用设备上，因此以下功能只需在NGFWModule_A上配置即可。

配置入侵防御功能前，需要保证已经加载License、入侵防御特征库已升级至最新的版本。

配置入侵防御功能时，通常使用默认存在的入侵防御配置文件default即可。

配置NGFWModule安全业务。

#在NGFWModule_A上配置安全策略，允许内网用户访问外网并进行入侵防御。

HRP_A[Module_A]security-policy

HRP_A[Module_A-policy-security]rulenamepolicy_to_wan

HRP_A[Module_A-policy-security-rule-policy_to_wan]source-address10.1.0.024

HRP_A[Module_A-policy-security-rule-policy_to_wan]source-address10.2.0.024

HRP_A[Module_A-policy-security-rule-policy_to_wan]profileipsdefault

HRP_A[Module_A-policy-security-rule-policy_to_wan]actionpermit

HRP_A[Module_A-policy-security-rule-policy_to_wan]quit

HRP_A[Module_A-policy-security]quit

 说明：

本文以内网用户访问外网为例配置安全策略，如果有外网主动访问内网需求，需要再配置一条目的地址是内网地址的规则rule。

#在NGFWModule_A上配置ASPF，此处以FTP协议为例。

HRP_A[Module_A]firewallzonetrust

HRP_A[Module_A-zone-trust]detectftp

HRP_A[Module_A-zone-trust]quit

#分别在NGFWModule_A和NGFWModule_B上保存配置。

HRP_Asave

Thecurrentconfigurationswillbewrittentothedevice.

Areyousure?

[Y/N]y

Nowsavingthecurrentconfigurationtothedevice......

Info:

TheCurrentConfigurationwassavedtothedevicesuccessfully

HRP_Ssave

Thecurrentconfigurationswillbewrittentothedevice.

Areyousure?

[Y/N]y

Nowsavingthecurrentconfigurationtothedevice......

Info:

TheCurrentConfigurationwassavedtothedevicesuccessfully

配置核心层交换机组成CSS。

安装硬件，连接集群线缆，请参考“交换机集群安装指导”。

配置集群连接方式（此处以集群卡集群为例）、集群ID及集群优先级

#在SwitchA上配置集群。

集群连接方式为集群卡集群，集群ID为1，集群优先级为100。

system-view

[HUAWEI]sysnameSwitchA

[SwitchA]setcssmodecss-card//配置集群卡集群，缺省为集群卡集群

[SwitchA]setcssid1//配置集群ID，缺省值为1

[SwitchA]setcsspriority100//配置集群优先级，缺省值为1

#在SwitchB上配置集群。

集群连接方式为集群卡集群，集群ID为2，集群优先级为10。

system-view

[HUAWEI]sysnameSwitchB

[SwitchB]setcssmodecss-card

[SwitchB]setcssid2

[SwitchB]setcsspriority10

使能集群功能

#为使SwitchA成为主交换机，先使能SwitchA的集群功能并重新启动SwitchA。

[SwitchA]cssenable

Warning:

TheCSSconfigurationwilltakeeffectonlyafterthesystemisrebooted.T

henextCSSmodeisCSScard.Rebootnow?

[Y/N]:

y

#再使能SwitchB的集群功能并重新启动SwitchB。

[SwitchB]cssenable

Warning:

TheCSSconfigurationwilltakeeffectonlyafterthesystemisrebooted.T

henextCSSmodeisCSScard.Rebootnow?

[Y/N]:

y

检查集群组建是否成功

#通过任意主控板上的Console口本地登录集群，使用命令行查看集群系统的状态。

displaycssstatus

CSSEnableswitchOn

ChassisIdCSSEnableCSSStatusCSSModePriorityMasterForce

------------------------------------------------------------------------------

1OnMasterCSScard100Off

2OnStandbyCSScard10Off

以上显示信息中，能够查看到两台成员交换机的集群ID、集群优先级、集群使能状态和集群状态，此处表明集群已建立成功。

为了防止集群系统分裂导致出现多主，建议给集群系统配置多主检测，此处略。

集群系统重命名为CSS

system-view

[SwitchA]sysnameCSS

[CSS]

配置交换机接口和VLAN。

此处仅介绍了交换机和NGFWModule对接部分的配置。

创建VLAN

[CSS]vlanbatch200301to302

配置上下行接口，并将上下行接口与Eth-Trunk1单向隔离。

将物理接口加入Eth-Trunk接口的步骤略。

[CSS]interfaceeth-trunk2

[CSS-Eth-Trunk2]portlink-typetrunk

[CSS-Eth-Trunk2]undoporttrunkallow-passvlan1

[CSS-Eth-Trunk2]porttrunkallow-passvlan301

[CSS-Eth-Trunk2]amisolateEth-Trunk1

[CSS-Eth-Trunk2]quit

[CSS]interfaceeth-trunk3

[CSS-Eth-Trunk3]portlink-typetrunk

[CSS-Eth-Trunk3]undoporttrunkallow-passvlan1

[CSS-Eth-Trunk3]porttrunkallow-passvlan302

[CSS-Eth-Trunk3]amisolateEth-Trunk1

[CSS-Eth-Trunk3]quit

[CSS]interfaceeth-trunk5

[CSS-Eth-Trunk5]portlink-typeaccess

[CSS-Eth-Trunk5]portdefaultvlan200

[CSS-Eth-Trunk5]amisolateEth-Trunk1

[CSS-Eth-Trunk5]quit

配置VLANIF接口分别作为上下行网关。

[CSS]interfacevlanif301

[CSS-Vlanif301]ipaddress10.1.0.124

[CSS-Vlanif301]quit

[CSS]interfacevlanif302

[CSS-Vlanif302]ipaddress10.2.0.124

[CSS-Vlanif302]quit

[CSS]interfacevlanif200

[CSS-Vlanif200]ipaddress10.3.0.124

[CSS-Vlanif200]quit

将与NGFWModule连接的4个接口加入Eth-Trunk10。

[CSS]interfaceeth-trunk10

[CSS-Eth-Trunk10]descriptionTo_Module

[CSS-Eth-Trunk10]portlink-typetrunk

[CSS-Eth-Trunk10]trunkportxgigabitethernet1/1/0/0to1/1/0/1

[CSS-Eth-Trunk10]trunkportxgigabitethernet2/1/0/0to2/1/