以主备备份方式的双机热备为例,介绍双机热备与IP-Link联动。
组网需求
FW作为安全设备被部署在业务节点上。其中上下行设备均是路由器,FW_A、FW_B以主备备份方式工作。
组网图如图1所示,具体描述如下:
两台FW和路由器之间运行动态路由OSPF协议,由路由器根据路由计算结果,将业务流量发送到主用FW上。
将FW的上下行业务端口加入同一Link-group管理组,在链路故障时能够加快路由收敛速度。
FW通过双机热备与IP-Link联动功能监控网络的出接口。当FW_A所在链路的网络出接口故障时,FW_B切换成主用设备,业务流量通过FW_B转发。
图1 双机热备与IP-Link联动举例组网图
操作步骤
1.在FW_A上完成以下基本配置。
配置GigabitEthernet 1/0/1的IP地址。
<FW_A> system-view
[FW_A] interface GigabitEthernet 1/0/1
[FW_A-GigabitEthernet1/0/1] ip address 10.100.10.2 24
[FW_A-GigabitEthernet1/0/1] quit
配置GigabitEthernet 1/0/1加入Trust区域。
[FW_A] firewall zone trust
[FW_A-zone-trust] add interface GigabitEthernet 1/0/1
[FW_A-zone-trust] quit
配置GigabitEthernet 1/0/3的IP地址。
[FW_A] interface GigabitEthernet 1/0/3
[FW_A-GigabitEthernet1/0/3] ip address 10.100.30.2 24
[FW_A-GigabitEthernet1/0/3] quit
配置GigabitEthernet 1/0/3加入Untrust区域。
[FW_A] firewall zone untrust
[FW_A-zone-untrust] add interface GigabitEthernet 1/0/3
[FW_A-zone-untrust] quit
配置GigabitEthernet 1/0/1和GigabitEthernet 1/0/3加入同一Link-group管理组。
[FW_A] interface GigabitEthernet 1/0/1
[FW_A-GigabitEthernet1/0/1] link-group 1
[FW_A-GigabitEthernet1/0/1] quit
[FW_A] interface GigabitEthernet 1/0/3
[FW_A-GigabitEthernet1/0/3] link-group 1
[FW_A-GigabitEthernet1/0/3] quit
配置GigabitEthernet 1/0/2的IP地址。
[FW_A] interface GigabitEthernet 1/0/2
[FW_A-GigabitEthernet1/0/2] ip address 10.100.50.2 24
[FW_A-GigabitEthernet1/0/2] quit
配置GigabitEthernet 1/0/2加入DMZ区域。
[FW_A] firewall zone dmz
[FW_A-zone-dmz] add interface GigabitEthernet 1/0/2
[FW_A-zone-dmz] quit
在FW_A上配置运行OSPF动态路由协议。
[FW_A] ospf 101
[FW_A-ospf-101] area 0
[FW_A-ospf-101-area-0.0.0.0] network 10.100.10.0 0.0.0.255
[FW_A-ospf-101-area-0.0.0.0] network 10.100.30.0 0.0.0.255
[FW_A-ospf-101-area-0.0.0.0] quit
[FW_A-ospf-101] quit
配置根据HRP状态调整OSPF的相关COST值的功能。
须知
FW部署于OSPF网络中做双机热备份时,必须配置该命令。
[FW] hrp adjust ospf-cost enable
配置VGMP组监控业务接口。
[FW_A] hrp track interface GigabitEthernet 1/0/1
[FW_A] hrp track interface GigabitEthernet 1/0/3
配置IP-Link,监控网络出接口。
[FW_A] ip-link check enable
[FW_A] ip-link name test
[FW_A-iplink-test] destination 1.1.1.1 interface GigabitEthernet 1/0/3
[FW_A-iplink-test] quit
配置双机热备与IP-Link联动,由VGMP管理组监控IP-Link。当网络出接口故障时,IP-Link状态变为Down,VGMP管理组优先级降低2。
[FW_A] hrp track ip-link test
配置HRP备份通道。
[FW_A] hrp interface GigabitEthernet 1/0/2 remote 10.100.50.3
启动HRP。
[FW_A] hrp enable
2.在FW_B上完成双机热备配置。
FW_B和FW_A的配置基本相同,不同之处在于:
FW_B各接口的IP地址与FW_A各接口的IP地址不相同,且FW_B和FW_A对应的业务接口的IP地址不能在同一网段。
在FW_B上配置运行OSPF动态路由协议时,应该发布与FW_B的业务接口直接相连的网段的路由。
需要在FW_B上执行命令hrp standby-device,指定FW_B为备用设备。
3.在FW_B上配置双机热备与IP-Link联动。
4.[FW_B] ip-link check enable
5.[FW_B] ip-link name test
6.[FW_B-iplink-test] destination 2.2.2.2 interface GigabitEthernet 1/0/3
7.[FW_B-iplink-test] quit
[FW_B] hrp track ip-link test
8.在FW_A上启动配置命令的自动备份、并配置安全策略。
图片
当FW_A和FW_B都启动HRP功能完成后,在FW_A上开启配置命令的自动备份,这样在FW_A上配置的安全策略都将自动备份到FW_B。
启动配置命令的自动备份功能。
HRP_M[FW_A] hrp auto-sync config
配置安全策略,使192.168.1.0/24网段用户可以访问Untrust区域。
HRP_M[FW_A] security-policy
HRP_M[FW_A-policy-security] rule name ha
HRP_M[FW_A-policy-security-rule-ha] source-zone trust
HRP_M[FW_A-policy-security-rule-ha] destination-zone untrust
HRP_M[FW_A-policy-security-rule-ha] source-address 192.168.1.0 24
HRP_M[FW_A-policy-security-rule-ha] action permit
配置安全策略,允许FW发送IP-Link探测报文。
HRP_M[FW_A-policy-security] rule name ip_link
HRP_M[FW_A-policy-security-rule-ip_link] source-zone local
HRP_M[FW_A-policy-security-rule-ip_link] destination-zone untrust
HRP_M[FW_A-policy-security-rule-ip_link] action permit
9.配置路由器。
在路由器上配置OSPF,具体配置命令请参考路由器的相关文档。
配置脚本
FW_A配置脚本:
sysname FW_A
hrp enable
hrp interface GigabitEthernet 1/0/2 remote 10.100.50.3
hrp track interface GigabitEthernet 1/0/1
hrp track interface GigabitEthernet 1/0/3
hrp track ip-link test
ip-link check enable
ip-link name test
destination 1.1.1.1 interface GigabitEthernet1/0/3
interface GigabitEthernet 1/0/1
ip address 10.100.10.2 255.255.255.0
link-group 1
interface GigabitEthernet 1/0/2
ip address 10.100.50.2 255.255.255.0
interface GigabitEthernet 1/0/3
ip address 10.100.30.2 255.255.255.0
link-group 1
firewall zone trust
add interface GigabitEthernet 1/0/1
firewall zone dmz
add interface GigabitEthernet 1/0/2
firewall zone untrust
add interface GigabitEthernet 1/0/3
ospf 101
area 0.0.0.0
network 10.100.10.0 0.0.0.255
network 10.100.30.0 0.0.0.255
security-policy
rule name ha
source-zone trust
destination-zone untrust
source-address 192.168.1.0 24
action permit
rule name ip_link
source-zone local
destination-zone untrust
action permit
return
FW_B配置脚本:
sysname FW_B
hrp enable
hrp standby-device
hrp interface GigabitEthernet 1/0/2 remote 10.100.50.2
hrp track interface GigabitEthernet 1/0/1
hrp track interface GigabitEthernet 1/0/2
hrp track ip-link test
ip-link check enable
ip-link name test
destination 2.2.2.2 interface GigabitEthernet1/0/3
interface GigabitEthernet 1/0/1
ip address 10.100.20.2 255.255.255.0
link-group 1
interface GigabitEthernet 1/0/2
ip address 10.100.50.3 255.255.255.0
interface GigabitEthernet 1/0/3
ip address 10.100.40.2 255.255.255.0
link-group 1
firewall zone trust
add interface GigabitEthernet 1/0/1
firewall zone dmz
add interface GigabitEthernet 1/0/2
firewall zone untrust
add interface GigabitEthernet 1/0/3
ospf 101
area 0.0.0.0
network 10.100.20.0 0.0.0.255
network 10.100.40.0 0.0.0.255
security-policy
rule name ha
source-zone trust
destination-zone untrust
source-address 192.168.1.0 24
action permit
rule name ip_link
source-zone local
destination-zone untrust
action permit
return
2801
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
