备注:本人学习华为防火墙的笔记记录方式,如有错误,请指出。
目录
1.路由器AR5配置(此处AR5客户换成支持3层功能的交换机)
一、组网需求
如下图所示,两台FW旁挂在数据中心的核心交换机侧,保证数据中心网络安全。通过核心交换机的流量都会被引流到旁挂的FW上进行安全检测,引流的方式为静态路由方式。企业希望两台FW以主备备份方式工作。正常情况下,流量通过FW1转发。当FW1出现故障时,流量通过FW2转发,保证业务不中断。
二、组网拓扑
双机热备旁挂(静态路由引流)组网图
可以将上述图片理解成下述组网架构:
实际实验拓扑图以及地址规划如下所示:
三、配置思路
1.完成核心交换机SW1、SW2左侧(即内网)配置,运行OSPF协议;
2.完成核心交换机SW1、SW2右侧配置,运行OSPF协议;
3.配置vrrp组(由于FW与上下行交换机(Public和VRF)之间运行静态路由,因此需要在FW和交换机上分别配置VRRP备份组,使他们能够通过VRRP备份组的虚拟地址进行通信。在FW上需要配置静态路由,下一跳分别为VRRP备份组3和VRRP备份组2的地址。在Public上配置静态路由,下一跳为VRRP备份组4的地址。在VRF上配置静态路由,下一跳为VRRP备份组1的地址)
4.在SW1和SW2上面创建vpn-instance(如果希望通过静态路由方式将经过核心交换机的流量引导到FW,则需要在核心交换机上配置静态路由,下一跳为防火墙接口的地址。但是由于核心交换机与上行路由器和下行汇聚交换机之间运行OSPF,因此流量到达核心交换机后会直接被转发到上行或下行设备,而不会被引流到FW上。
所以如果希望通过静态路由引流,就必须在核心交换机上配置VRF功能,将一台交换机虚拟成连接上行的交换机(根交换机Public)和连接下行的交换机(虚拟交换机VRF)。由于虚拟出的两个交换机完全隔离开来,流量就会被送到FW上。)
四、具体配置步骤(命令)
1.路由器AR5配置(此处AR5客户换成支持3层功能的交换机)
2.AR6配置(此处AR6客户换成支持3层功能的交换机)
3.R1配置
4.R2配置
5.R3配置
6.SW1配置
7.SW2配置
8.FW1IP地址以及vrrp配置
9.FW2ip地址以及vrrp配置
10.hrp配置以及安全策略配置
五、状态查看
首先查看VGMP状态
查看VRRP状态:
六、PCping测试并抓包查看以及主备切换
1.首先在FW1为主时ping测试并抓包分析
在FW1的接口抓包分析
2.将FW1的g1/0/0接口shutdown后,分别在FW1和FW2的1/0/1接口抓包查看流量是否已经切换
FW1的抓包结果:(只有vrrp心跳报文)
FW2的抓包结果:(存在PC访问8.8.8.8的流量)
从上述抓包结果分析,当FW1出现故障时候,VGMP状态切换,FW2称为主用设备,并且流量也从FW2经过。