防火墙双机热备配置实例.docx
《防火墙双机热备配置实例.docx》由会员分享,可在线阅读,更多相关《防火墙双机热备配置实例.docx(12页珍藏版)》请在冰豆网上搜索。
防火墙双机热备配置实例
配置路由模式下负载分担方式的双机热备份举例
从组网需求、数据规划、操作步骤、结果验证以及常见问题几方面对路由模式下负载分担方式的双机热备份进行了配置举例。
组网需求
Eudemon作为安全设备被部署在业务节点上。
其中上下行设备均是路由器,EudemonA、EudemonB以负载分担方式工作,且均工作在路由模式下。
组网图如图1所示,具体描述如下:
两台Eudemon和路由器之间运行动态路由OSPF协议,由路由器根据路由计算结果,将业务报文分担发送到两台Eudemon上。
网络规划如下:
∙需要保护的网段地址为192.168.1.0/24,与Eudemon的GigabitEthernet1/0/0接口相连,部署在Trust区域。
∙外部网络与Eudemon的GigabitEthernet1/0/1接口相连,部署在Untrust区域。
∙两台Eudemon的HRP备份通道接口GigabitEthernet1/0/2部署在DMZ区域。
图1路由模式下负载分担方式的双机热备份配置举例组网图
数据规划
Eudemon
接口
IP地址
EudemonA
GE1/0/0
10.100.10.2/24
GE1/0/1
10.100.30.2/24
GE1/0/2
10.100.50.2/24
EudemonB
GE1/0/0
10.100.20.2/24
GE1/0/1
10.100.40.2/24
GE1/0/2
10.100.50.3/24
操作步骤
1.在EudemonA上完成以下基本配置。
#配置GigabitEthernet1/0/0的IP地址。
system-view
[Eudemon]interfaceGigabitEthernet1/0/0
[Eudemon-GigabitEthernet1/0/0]ipaddress10.100.10.224
[Eudemon-GigabitEthernet1/0/0]quit
#配置GigabitEthernet1/0/0加入Trust区域。
[Eudemon]firewallzonetrust
[Eudemon-zone-trust]addinterfaceGigabitEthernet1/0/0
[Eudemon-zone-trust]quit
#配置GigabitEthernet1/0/1的IP地址。
[Eudemon]interfaceGigabitEthernet1/0/1
[Eudemon-GigabitEthernet1/0/1]ipaddress10.100.30.224
[Eudemon-GigabitEthernet1/0/1]quit
#配置GigabitEthernet1/0/1加入Untrust区域。
[Eudemon]firewallzoneuntrust
[Eudemon-zone-untrust]addinterfaceGigabitEthernet1/0/1
[Eudemon-zone-untrust]quit
#配置GigabitEthernet1/0/2的IP地址。
[Eudemon]interfaceGigabitEthernet1/0/2
[Eudemon-GigabitEthernet1/0/2]ipaddress10.100.50.224
[Eudemon-GigabitEthernet1/0/2]quit
#配置GigabitEthernet1/0/2加入DMZ区域。
[Eudemon]firewallzonedmz
[Eudemon-zone-dmz]addinterfaceGigabitEthernet1/0/2
[Eudemon-zone-dmz]quit
#在EudemonA上配置运行OSPF动态路由协议。
注意:
配置OSPF动态路由协议的时候,请打开Trust域和Local域以及Untrust域和Local域的域间包过滤,避免阻塞正常的路由协议报文。
[Eudemon]ospf101
[Eudemon-ospf-101]area0
[Eudemon-ospf-101-area-0.0.0.0]network10.100.10.00.0.0.255
[Eudemon-ospf-101-area-0.0.0.0]network10.100.30.00.0.0.255
[Eudemon-ospf-101-area-0.0.0.0]quit
#配置根据HRP状态调整OSPF的相关COST值的功能。
注意:
Eudemon工作在路由模式下且部署于OSPF网络中做双机热备份时,必须配置该命令。
[Eudemon]hrpospf-costadjust-enable
#在接口视图下配置Master和Slave管理组监视接口状态。
[Eudemon]interfaceGigabitEthernet1/0/0
[Eudemon-GigabitEthernet1/0/0]hrptrackmaster
[Eudemon-GigabitEthernet1/0/0]hrptrackslave
[Eudemon-GigabitEthernet1/0/0]quit
[Eudemon]interfaceGigabitEthernet1/0/1
[Eudemon-GigabitEthernet1/0/1]hrptrackmaster
[Eudemon-GigabitEthernet1/0/1]hrptrackslave
[Eudemon-GigabitEthernet1/0/1]quit
#配置会话快速备份。
[Eudemon]hrpmirrorsessionenable
#配置HRP备份通道。
注意:
主备Eudemon的HRP备份通道接口必须直接相连,中间不能连接交换机。
[Eudemon]hrpinterfaceGigabitEthernet1/0/2
#启动HRP。
[Eudemon]hrpenable
2.配置EudemonB。
EudemonB和EudemonA的配置基本相同,不同之处在于:
∙EudemonB各接口的IP地址与EudemonA各接口的IP地址不相同,且EudemonB和EudemonA对应的业务接口的IP地址不能在同一网段。
∙在EudemonB上配置运行OSPF动态路由协议时,应该发布与EudemonB的业务接口直接相连的网段的路由。
3.在EudemonA上启动配置命令的自动备份、配置ACL,并配置Trust区域和Untrust区域的域间包过滤规则。
说明:
当EudemonA和EudemonB都启动HRP功能完成后,在EudemonA上开启配置命令的自动备份,这样在EudemonA上配置的ACL以及域间包过滤规则都将自动备份到EudemonB,不需要再在EudemonB上单独配置。
#启动配置命令的自动备份功能。
HRP_M[Eudemon]hrpauto-syncconfig
#创建基本ACL2000,配置源地址为192.168.1.0/24的规则。
HRP_M[Eudemon]acl2000
HRP_M[Eudemon-acl-basic-2000]rulepermitsource192.168.1.00.0.0.255
HRP_M[Eudemon-acl-basic-2000]quit
#配置Trust区域和Untrust区域的域间包过滤规则。
HRP_M[Eudemon]firewallinterzonetrustuntrust
HRP_M[Eudemon-interzone-trust-untrust]packet-filter2000outbound
HRP_M[Eudemon-interzone-trust-untrust]quit
4.配置路由器。
在路由器上配置OSPF,具体配置命令请参考路由器的相关文档。
结果验证
1.PC2作为HTTP服务器位于Untrust区域,对外提供HTTP服务。
在Trust区域的PC1端访问Untrust区域的HTTP服务器,并进行文件的下载操作。
分别在EudemonA和EudemonB上检查会话。
2.HRP_M[Eudemon]displayfirewallsessiontableverbose
3.12:
19:
432010/02/01
4.Currenttotalsessions:
1
5.http:
VPN:
public-->public
6.Zone:
trust-->untrustSlot:
4CPU:
0TTL:
00:
00:
10Left:
00:
00:
03
7.Interface:
GigabitEthernet1/0/1NextHop:
202.38.10.1
8.<--packets:
908bytes:
7548-->packets:
23bytes:
306
9.acl:
2000rule:
0
192.168.1.3:
2048-->202.38.10.1:
80
HRP_S[Eudemon_B]displayfirewallsessiontableverbose
12:
19:
432010/02/01
Currenttotalsessions:
1
http:
VPN:
public-->public
Zone:
trust-->untrustRemoteSlot:
4CPU:
0TTL:
00:
00:
10Left:
00:
00:
03
Interface:
GigabitEthernet1/0/1NextHop:
202.38.10.1
<--packets:
908bytes:
7548-->packets:
23bytes:
306
acl:
2000rule:
0
192.168.1.3:
2048-->202.38.10.1:
80
可以看出EudemonB上存在带有Remote标记的会话,表示配置双机热备份功能后,会话备份成功。
常见问题
∙注意Eudemon的HRP备份通道接口不能对外发布OSPF路由。
∙组网设备发生故障时,OSPF收敛速度比较快,但故障再恢复时OSPF收敛速度比较慢。
配置路由模式下VRRP和OSPF结合的双机热备份举例
从组网需求、数据规划、操作步骤、结果验证以及常见问题几方面对路由模式下VRRP和OSPF结合的双机热备份进行了配置举例。
组网需求
Eudemon作为安全设备被部署在业务节点上。
其中上行设备是路由器,下行设备是交换机,EudemonA、EudemonB以主备备份方式工作,且均工作在路由模式下。
组网图如图1所示,具体描述如下:
∙两台Eudemon和路由器之间运行动态路由OSPF协议,和交换机之间运行VRRP协议。
∙Eudemon的双机热备份功能基于VRRP实现,在Eudemon的业务接口上配置一个VRRP备份组加入VGMP管理组的Master或Slave管理组,组成主备备份的组网。
网络规划如下:
∙需要保护的网段地址为192.168.1.0/24,与Eudemon的GigabitEthernet1/0/0接口相连,部署在Trust区域。
∙外部网络与Eudemon的GigabitEthernet1/0/1接口相连,部署在Untrust区域。
∙两台Eudemon的HRP备份通道接口GigabitEthernet1/0/2部署在DMZ区域。
其中,Trust区域对应的备份组虚拟IP地址分别为192.168.1.10。
图1路由模式下VRRP和OSPF结合的双机热备份配置举例组网图
数据规划
Eudemon
接口
IP地址
EudemonA
GE1/0/0
192.168.1.5/24
GE1/0/1
10.100.30.2/24
GE1/0/2
10.100.50.2/24
EudemonB
GE1/0/0
192.168.1.6/24
GE1/0/1
10.100.40.2/24
GE1/0/2
10.100.50.3/24
操作步骤
1.在EudemonA上完成以下基本配置。
#配置GigabitEthernet1/0/0的IP地址。
system-view
[Eudemon]interfaceGigabitEthernet1/0/0
[Eudemon-GigabitEthernet1/0/0]ipaddress192.168.1.524
[Eudemon-GigabitEthernet1/0/0]quit
#配置GigabitEthernet1/0/0加入Trust区域。
[Eudemon]firewallzonetrust
[Eudemon-zone-trust]addinterfaceGigabitEthernet1/0/0
[Eudemon-zone-trust]quit
#配置GigabitEthernet1/0/1的IP地址。
[Eudemon]interfaceGigabitEthernet1/0/1
[Eudemon-GigabitEthernet1/0/1]ipaddress10.100.30.224
[Eudemon-GigabitEthernet1/0/1]quit
#配置GigabitEthernet1/0/1加入Untrust区域。
[Eudemon]firewallzoneuntrust
[Eudemon-zone-untrust]addinterfaceGigabitEthernet1/0/1
[Eudemon-zone-untrust]quit
#配置GigabitEthernet1/0/2的IP地址。
[Eudemon]interfaceGigabitEthernet1/0/2
[Eudemon-GigabitEthernet1/0/2]ipaddress10.100.50.224
[Eudemon-GigabitEthernet1/0/2]quit
#配置GigabitEthernet1/0/2加入DMZ区域。
[Eudemon]firewallzonedmz
[Eudemon-zone-dmz]addinterfaceGigabitEthernet1/0/2
[Eudemon-zone-dmz]quit
#在接口GigabitEthernet1/0/0上配置VRRP备份组1,并配置备份组的虚拟IP地址。
[Eudemon]interfaceGigabitEthernet1/0/0
[Eudemon-GigabitEthernet1/0/0]vrrpvrid1virtual-ip192.168.1.10master
[Eudemon-GigabitEthernet1/0/0]quit
#在EudemonA上配置运行OSPF动态路由协议。
注意:
∙配置OSPF动态路由协议的时候,请打开Untrust域和Local域的域间包过滤,避免阻塞正常的路由协议报文。
∙EudemonA运行OSPF协议对外发布路由时,不能发布与交换机相连的网段的路由。
[Eudemon]ospf101
[Eudemon-ospf-101]area0
[Eudemon-ospf-101-area-0.0.0.0]network10.100.30.00.0.0.255
[Eudemon-ospf-101-area-0.0.0.0]quit
#在EudemonA上配置引入与交换机相连的网段的直连路由。
注意:
引入直连路由时,不能引入HRP备份通道接口所在网段的路由。
因此必须通过配置路由策略只引入与交换机相连的网段的直连路由。
[Eudemon]acl2009
[Eudemon-acl-basic-2009]descriptionforRoutePolicyOnly
[Eudemon-acl-basic-2009]rulepermitsource192.168.1.00.0.255.255
[Eudemon-acl-basic-2009]quit
[Eudemon]route-policyr1permitnode1
[Eudemon-route-policy]if-matchacl2009
[Eudemon-route-policy]quit
[Eudemon]ospf101
[Eudemon-ospf-101]import-routedirectroute-policyr1
[Eudemon-ospf-101]quit
#配置根据HRP状态调整OSPF的相关COST值的功能。
注意:
Eudemon工作在路由模式下且部署于OSPF网络中做双机热备份时,主备Eudemon上都必须配置该命令。
[Eudemon]hrpospf-costadjust-enable
#配置VGMP管理组的抢占功能为开启状态,且抢占延迟大于故障恢复后OSPF协议的收敛时间。
说明:
根据实际组网情况分析故障恢复后OSPF协议的收敛时间,必须配置此抢占延迟大于OSPF的收敛时间。
[Eudemon]hrppreemptdelay60
#在接口视图下配置Master管理组监视接口状态。
[Eudemon]interfaceGigabitEthernet1/0/1
[Eudemon-GigabitEthernet1/0/1]hrptrackmaster
[Eudemon-GigabitEthernet1/0/1]quit
#配置会话快速备份。
[Eudemon]hrpmirrorsessionenable
#配置HRP备份通道。
注意:
主备Eudemon的HRP备份通道接口必须直接相连,中间不能连接交换机。
[Eudemon]hrpinterfaceGigabitEthernet1/0/2
#启动HRP。
[Eudemon]hrpenable
2.配置EudemonB。
EudemonB和EudemonA的配置基本相同,不同之处在于:
∙EudemonB各接口的IP地址与EudemonA各接口的IP地址不相同。
∙在EudemonB的接口GigabitEthernet1/0/0上配置VRRP备份组时,与EudemonA的Master管理组对应的必须配置为Slave管理组。
∙在EudemonB上不需要配置VGMP管理组的抢占功能。
3.在EudemonA上启动配置命令的自动备份、配置ACL,并配置Trust区域和Untrust区域的域间包过滤规则。
说明:
当EudemonA和EudemonB都启动HRP功能完成后,在EudemonA上开启配置命令的自动备份,这样在EudemonA上配置的ACL以及域间包过滤规则都将自动备份到EudemonB,不需要再在EudemonB上单独配置。
#启动配置命令的自动备份功能。
HRP_M[Eudemon]hrpauto-syncconfig
#创建基本ACL2000,配置源地址为192.168.1.0/24的规则。
HRP_M[Eudemon]acl2000
HRP_M[Eudemon-acl-basic-2000]rulepermitsource192.168.1.00.0.0.255
HRP_M[Eudemon-acl-basic-2000]quit
#配置Trust区域和Untrust区域的域间包过滤规则。
HRP_M[Eudemon]firewallinterzonetrustuntrust
HRP_M[Eudemon-interzone-trust-untrust]packet-filter2000outbound
HRP_M[Eudemon-interzone-trust-untrust]quit
4.配置路由器。
在路由器上配置OSPF,具体配置命令请参考路由器的相关文档。
5.配置交换机。
#实际应用中,Switch与Eudemon相连的接口一般是二层接口,配置EudemonA、EudemonB连接到Switch的接口以及Switch连接到Trust区域的接口,将此三个接口加入同一个VLAN。
#在PC1上配置静态路由,将VRRP备份组2的虚拟IP地址作为到达其他网段的下一跳地址。
具体配置命令请参考交换机的相关文档。
结果验证
1.在EudemonA上执行displayvrrp命令,检查VRRP备份组内接口的状态信息,显示以下信息表示VRRP备份组建立成功。
2.HRP_M[Eudemon]displayvrrp
3.GigabitEthernet1/0/0|VirtualRouter1
4.VRRPGroup:
Master
5.state:
Master
6.VirtualIP:
192.168.1.10
7.VirtualMAC:
0000-5e00-0101
8.PrimaryIP:
192.168.1.5
9.PriorityRun:
120
10.PriorityConfig:
100
11.MasterPriority:
120
12.Preempt:
YESDelayTime:
0
13.Timer:
1
14.AuthType:
NONE
CheckTTL:
YES
15.在EudemonA上执行displayhrpstate命令,检查当前HRP的状态,显示以下信息表示HRP建立成功。
16.HRP_M[Eudemon]displayhrpstate
17.Thefirewall'sconfigstateis:
MASTER
18.
19.Currentstateofvirtualroutersconfiguredasmaster:
20.GigabitEthernet1/0/0vrid1:
master
21.
22.Currentstateofinterfacestrackedbymaster:
GigabitEthernet1/0/1:
up
23.PC2作为HTTP服务器位于Untrust区域,对外提供HTTP服务
升级会员 