防火墙双机热备配置实例Word文档下载推荐.docx
《防火墙双机热备配置实例Word文档下载推荐.docx》由会员分享,可在线阅读,更多相关《防火墙双机热备配置实例Word文档下载推荐.docx(12页珍藏版)》请在冰豆网上搜索。
10.100.30.2/24
GE1/0/2
10.100.50.2/24
EudemonB
10.100.20.2/24
10.100.40.2/24
10.100.50.3/24
操作步骤
1.在EudemonA上完成以下基本配置。
#配置GigabitEthernet1/0/0的IP地址。
<
Eudemon>
system-view
[Eudemon]interfaceGigabitEthernet1/0/0
[Eudemon-GigabitEthernet1/0/0]ipaddress10.100.10.224
[Eudemon-GigabitEthernet1/0/0]quit
#配置GigabitEthernet1/0/0加入Trust区域。
[Eudemon]firewallzonetrust
[Eudemon-zone-trust]addinterfaceGigabitEthernet1/0/0
[Eudemon-zone-trust]quit
#配置GigabitEthernet1/0/1的IP地址。
[Eudemon]interfaceGigabitEthernet1/0/1
[Eudemon-GigabitEthernet1/0/1]ipaddress10.100.30.224
[Eudemon-GigabitEthernet1/0/1]quit
#配置GigabitEthernet1/0/1加入Untrust区域。
[Eudemon]firewallzoneuntrust
[Eudemon-zone-untrust]addinterfaceGigabitEthernet1/0/1
[Eudemon-zone-untrust]quit
#配置GigabitEthernet1/0/2的IP地址。
[Eudemon]interfaceGigabitEthernet1/0/2
[Eudemon-GigabitEthernet1/0/2]ipaddress10.100.50.224
[Eudemon-GigabitEthernet1/0/2]quit
#配置GigabitEthernet1/0/2加入DMZ区域。
[Eudemon]firewallzonedmz
[Eudemon-zone-dmz]addinterfaceGigabitEthernet1/0/2
[Eudemon-zone-dmz]quit
#在EudemonA上配置运行OSPF动态路由协议。
注意:
配置OSPF动态路由协议的时候,请打开Trust域和Local域以及Untrust域和Local域的域间包过滤,避免阻塞正常的路由协议报文。
[Eudemon]ospf101
[Eudemon-ospf-101]area0
[Eudemon-ospf-101-area-0.0.0.0]network10.100.10.00.0.0.255
[Eudemon-ospf-101-area-0.0.0.0]network10.100.30.00.0.0.255
[Eudemon-ospf-101-area-0.0.0.0]quit
#配置根据HRP状态调整OSPF的相关COST值的功能。
Eudemon工作在路由模式下且部署于OSPF网络中做双机热备份时,必须配置该命令。
[Eudemon]hrpospf-costadjust-enable
#在接口视图下配置Master和Slave管理组监视接口状态。
[Eudemon-GigabitEthernet1/0/0]hrptrackmaster
[Eudemon-GigabitEthernet1/0/0]hrptrackslave
[Eudemon-GigabitEthernet1/0/1]hrptrackmaster
[Eudemon-GigabitEthernet1/0/1]hrptrackslave
#配置会话快速备份。
[Eudemon]hrpmirrorsessionenable
#配置HRP备份通道。
主备Eudemon的HRP备份通道接口必须直接相连,中间不能连接交换机。
[Eudemon]hrpinterfaceGigabitEthernet1/0/2
#启动HRP。
[Eudemon]hrpenable
2.配置EudemonB。
EudemonB和EudemonA的配置基本相同,不同之处在于:
∙EudemonB各接口的IP地址与EudemonA各接口的IP地址不相同,且EudemonB和EudemonA对应的业务接口的IP地址不能在同一网段。
∙在EudemonB上配置运行OSPF动态路由协议时,应该发布与EudemonB的业务接口直接相连的网段的路由。
3.在EudemonA上启动配置命令的自动备份、配置ACL,并配置Trust区域和Untrust区域的域间包过滤规则。
说明:
当EudemonA和EudemonB都启动HRP功能完成后,在EudemonA上开启配置命令的自动备份,这样在EudemonA上配置的ACL以及域间包过滤规则都将自动备份到EudemonB,不需要再在EudemonB上单独配置。
#启动配置命令的自动备份功能。
HRP_M[Eudemon]hrpauto-syncconfig
#创建基本ACL2000,配置源地址为192.168.1.0/24的规则。
HRP_M[Eudemon]acl2000
HRP_M[Eudemon-acl-basic-2000]rulepermitsource192.168.1.00.0.0.255
HRP_M[Eudemon-acl-basic-2000]quit
#配置Trust区域和Untrust区域的域间包过滤规则。
HRP_M[Eudemon]firewallinterzonetrustuntrust
HRP_M[Eudemon-interzone-trust-untrust]packet-filter2000outbound
HRP_M[Eudemon-interzone-trust-untrust]quit
4.配置路由器。
在路由器上配置OSPF,具体配置命令请参考路由器的相关文档。
结果验证
1.PC2作为HTTP服务器位于Untrust区域,对外提供HTTP服务。
在Trust区域的PC1端访问Untrust区域的HTTP服务器,并进行文件的下载操作。
分别在EudemonA和EudemonB上检查会话。
2.HRP_M[Eudemon]displayfirewallsessiontableverbose
3.12:
19:
432010/02/01
4.Currenttotalsessions:
1
5.http:
VPN:
public-->
public
6.Zone:
trust-->
untrustSlot:
4CPU:
0TTL:
00:
00:
10Left:
03
7.Interface:
GigabitEthernet1/0/1NextHop:
202.38.10.1
8.<
--packets:
908bytes:
7548-->
packets:
23bytes:
306
9.acl:
2000rule:
0
192.168.1.3:
2048-->
202.38.10.1:
80
HRP_S[Eudemon_B]displayfirewallsessiontableverbose
12:
Currenttotalsessions:
http:
public
Zone:
untrustRemoteSlot:
Interface:
<
acl:
可以看出EudemonB上存在带有Remote标记的会话,表示配置双机热备份功能后,会话备份成功。
常见问题
∙注意Eudemon的HRP备份通道接口不能对外发布OSPF路由。
∙组网设备发生故障时,OSPF收敛速度比较快,但故障再恢复时OSPF收敛速度比较慢。
配置路由模式下VRRP和OSPF结合的双机热备份举例
从组网需求、数据规划、操作步骤、结果验证以及常见问题几方面对路由模式下VRRP和OSPF结合的双机热备份进行了配置举例。
其中上行设备是路由器,下行设备是交换机,EudemonA、EudemonB以主备备份方式工作,且均工作在路由模式下。
∙两台Eudemon和路由器之间运行动态路由OSPF协议,和交换机之间运行VRRP协议。
∙Eudemon的双机热备份功能基于VRRP实现,在Eudemon的业务接口上配置一个VRRP备份组加入VGMP管理组的Master或Slave管理组,组成主备备份的组网。
其中,Trust区域对应的备份组虚拟IP地址分别为192.168.1.10。
图1路由模式下VRRP和OSPF结合的双机热备份配置举例组网图
192.168.1.5/24
192.168.1.6/24
[Eudemon-GigabitEthernet1/0/0]ipaddress192.168.1.524
#在接口GigabitEthernet1/0/0上配置VRRP备份组1,并配置备份组的虚拟IP地址。
[Eudemon-GigabitEthernet1/0/0]vrrpvrid1virtual-ip192.168.1.10master
∙配置OSPF动态路由协议的时候,请打开Untrust域和Local域的域间包过滤,避免阻塞正常的路由协议报文。
∙EudemonA运行OSPF协议对外发布路由时,不能发布与交换机相连的网段的路由。
#在EudemonA上配置引入与交换机相连的网段的直连路由。
引入直连路由时,不能引入HRP备份通道接口所在网段的路由。
因此必须通过配置路由策略只引入与交换机相连的网段的直连路由。
[Eudemon]acl2009
[Eudemon-acl-basic-2009]descriptionforRoutePolicyOnly
[Eudemon-acl-basic-2009]rulepermitsource192.168.1.00.0.255.255
[Eudemon-acl-basic-2009]quit
[Eudemon]route-policyr1permitnode1
[Eudemon-route-policy]if-matchacl2009
[Eudemon-route-policy]quit
[Eudemon-ospf-101]import-routedirectroute-policyr1
[Eudemon-ospf-101]quit
Eudemon工作在路由模式下且部署于OSPF网络中做双机热备份时,主备Eudemon上都必须配置该命令。
#配置VGMP管理组的抢占功能为开启状态,且抢占延迟大于故障恢复后OSPF协议的收敛时间。
根据实际组网情况分析故障恢复后OSPF协议的收敛时间,必须配置此抢占延迟大于OSPF的收敛时间。
[Eudemon]hrppreemptdelay60
#在接口视图下配置Master管理组监视接口状态。
∙EudemonB各接口的IP地址与EudemonA各接口的IP地址不相同。
∙在EudemonB的接口GigabitEthernet1/0/0上配置VRRP备份组时,与EudemonA的Master管理组对应的必须配置为Slave管理组。
∙在EudemonB上不需要配置VGMP管理组的抢占功能。
5.配置交换机。
#实际应用中,Switch与Eudemon相连的接口一般是二层接口,配置EudemonA、EudemonB连接到Switch的接口以及Switch连接到Trust区域的接口,将此三个接口加入同一个VLAN。
#在PC1上配置静态路由,将VRRP备份组2的虚拟IP地址作为到达其他网段的下一跳地址。
具体配置命令请参考交换机的相关文档。
1.在EudemonA上执行displayvrrp命令,检查VRRP备份组内接口的状态信息,显示以下信息表示VRRP备份组建立成功。
2.HRP_M[Eudemon]displayvrrp
3.GigabitEthernet1/0/0|VirtualRouter1
4.VRRPGroup:
Master
5.state:
6.VirtualIP:
192.168.1.10
7.VirtualMAC:
0000-5e00-0101
8.PrimaryIP:
192.168.1.5
9.PriorityRun:
120
10.PriorityConfig:
100
11.MasterPriority:
12.Preempt:
YESDelayTime:
13.Timer:
14.AuthType:
NONE
CheckTTL:
YES
15.在EudemonA上执行displayhrpstate命令,检查当前HRP的状态,显示以下信息表示HRP建立成功。
16.HRP_M[Eudemon]displayhrpstate
17.Thefirewall'
sconfigstateis:
MASTER
18.
19.Currentstateofvirtualroutersconfiguredasmaster:
20.GigabitEthernet1/0/0vrid1:
master
21.
22.Currentstateofinterfacestrackedbymaster:
GigabitEthernet1/0/1:
up
23.PC2作为HTTP服务器位于Untrust区域,对外提供HTTP服务