建议使用以下浏览器,以获得最佳体验。 IE 9.0+以上版本 Chrome 31+ 谷歌浏览器 Firefox 30+ 火狐浏览器
设置昵称

在此一键设置昵称,即可参与社区互动!

确定
我再想想
选择版块
云园区网络 主题:65帖子:218

【技术干货】

华为防火墙直路部署

sangjunke 2020/11/22 843

image.png


操作步骤

1.  完成网络基本配置。

FW_A

FW_B

# 配置FW各接口的IP地址。

<FW_A> system-view
[FW_A] interface GigabitEthernet 1/0/1
[FW_A-GigabitEthernet1/0/1] ip address 10.2.0.1 24
[FW_A-GigabitEthernet1/0/1] quit
[FW_A] interface GigabitEthernet 1/0/3
[FW_A-GigabitEthernet1/0/3] ip address 10.3.0.1 24
[FW_A-GigabitEthernet1/0/3] quit
[FW_A] interface GigabitEthernet 1/0/7
[FW_A-GigabitEthernet1/0/7] ip address 10.10.0.1 24
[FW_A-GigabitEthernet1/0/7] quit
<FW_B> system-view
[FW_B] interface GigabitEthernet 1/0/1
[FW_B-GigabitEthernet1/0/1] ip address 10.2.0.2 24
[FW_B-GigabitEthernet1/0/1] quit
[FW_B] interface GigabitEthernet 1/0/3
[FW_B-GigabitEthernet1/0/3] ip address 10.3.0.2 24
[FW_B-GigabitEthernet1/0/3] quit
[FW_B] interface GigabitEthernet 1/0/7
[FW_B-GigabitEthernet1/0/7] ip address 10.10.0.2 24
[FW_B-GigabitEthernet1/0/7] quit

# 将FW各接口加入相应的安全区域。

[FW_A] firewall zone trust
[FW_A-zone-trust] add interface GigabitEthernet 1/0/3
[FW_A-zone-trust] quit
[FW_A] firewall zone dmz
[FW_A-zone-dmz] add interface GigabitEthernet 1/0/7
[FW_A-zone-dmz] quit
[FW_A] firewall zone untrust
[FW_A-zone-untrust] add interface GigabitEthernet 1/0/1
[FW_A-zone-untrust] quit
[FW_B] firewall zone trust
[FW_B-zone-trust] add interface GigabitEthernet 1/0/3
[FW_B-zone-trust] quit
[FW_B] firewall zone dmz
[FW_B-zone-dmz] add interface GigabitEthernet 1/0/7
[FW_B-zone-dmz] quit
[FW_B] firewall zone untrust
[FW_B-zone-untrust] add interface GigabitEthernet 1/0/1
[FW_B-zone-untrust] quit

# 在FW上配置缺省路由,下一跳为1.1.1.10,使内网用户的流量可以正常转发至Router。

[FW_A] ip route-static 0.0.0.0 0.0.0.0 1.1.1.10
[FW_B] ip route-static 0.0.0.0 0.0.0.0 1.1.1.10

2.  配置VRRP备份组。

FW_A

FW_B

# 在FW_A上行业务接口GE1/0/1上配置VRRP备份组1,并设置其状态为Active。在FW_B上行业务接口GE1/0/1上配置VRRP备份组1,并设置其状态为Standby。需要注意的是,如果接口的IP地址与VRRP备份组地址不在同一网段,则配置VRRP备份组地址时需要指定掩码。

[FW_A] interface GigabitEthernet 1/0/1
[FW_A-GigabitEthernet1/0/1] vrrp vrid 1 virtual-ip 1.1.1.1 24 active
[FW_A-GigabitEthernet1/0/1] quit
[FW_B] interface GigabitEthernet 1/0/1
[FW_B-GigabitEthernet1/0/1] vrrp vrid 1 virtual-ip 1.1.1.1 24 standby
[FW_B-GigabitEthernet1/0/1] quit

# 在FW_A下行业务接口GE1/0/3上配置VRRP备份组2,并设置其状态为Active。在FW_B下行业务接口GE1/0/3上配置VRRP备份组2,并设置其状态为Standby。

[FW_A] interface GigabitEthernet 1/0/3
[FW_A-GigabitEthernet1/0/3] vrrp vrid 2 virtual-ip 10.3.0.3 active
[FW_A-GigabitEthernet1/0/3] quit
[FW_B] interface GigabitEthernet 1/0/3
[FW_B-GigabitEthernet1/0/3] vrrp vrid 2 virtual-ip 10.3.0.3 standby
[FW_B-GigabitEthernet1/0/3] quit

3.  指定心跳口并启用双机热备功能。

FW_A

FW_B

[FW_A] hrp interface GigabitEthernet 1/0/7 remote 10.10.0.2
[FW_A] hrp enable
[FW_B] hrp interface GigabitEthernet 1/0/7 remote 10.10.0.1
[FW_B] hrp enable

4.  在FW_A上配置安全策略。双机热备状态成功建立后,FW_A的安全策略配置会自动备份到FW_B上。

# 配置安全策略,允许内网用户访问Internet。

HRP_M[FW_A] security-policy
HRP_M[FW_A-policy-security] rule name trust_to_untrust
HRP_M[FW_A-policy-security-rule-trust_to_untrust] source-zone trust
HRP_M[FW_A-policy-security-rule-trust_to_untrust] destination-zone untrust
HRP_M[FW_A-policy-security-rule-trust_to_untrust] source-address 10.3.0.0 24
HRP_M[FW_A-policy-security-rule-trust_to_untrust] action permit
HRP_M[FW_A-policy-security-rule-trust_to_untrust] quit
HRP_M[FW_A-policy-security] quit

5.  在FW_A上配置NAT策略。双机热备状态成功建立后,FW_A的NAT策略配置会自动备份到FW_B上。

# 配置NAT策略,当内网用户访问Internet时,将源地址由10.3.0.0/16网段转换为地址池中的地址(1.1.1.2-1.1.1.5)。

HRP_M[FW_A] nat address-group group1
HRP_M[FW_A-address-group-group1] section 0 1.1.1.2 1.1.1.5
HRP_M[FW_A-address-group-group1] quit
HRP_M[FW_A] nat-policy
HRP_M[FW_A-policy-nat] rule name policy_nat1
HRP_M[FW_A-policy-nat-rule-policy_nat1] source-zone trust
HRP_M[FW_A-policy-nat-rule-policy_nat1] destination-zone untrust
HRP_M[FW_A-policy-nat-rule-policy_nat1] source-address 10.3.0.0 16
HRP_M[FW_A-policy-nat-rule-policy_nat1] action source-nat address-group group1

6.  配置Switch和内网PC。

a.  分别将两台Switch的三个接口加入同一个VLAN,具体配置命令请参考交换机的相关文档。

b.  将内网PC的默认网关设置为VRRP备份组2的虚拟IP地址,具体步骤略。

7.  配置Router。

在Router上配置到FW的等价路由,路由下一跳指向VRRP备份组1的虚拟IP地址。

结果验证

1.  在FW_A和FW_B上执行display vrrp命令,检查VRRP组内接口的状态信息,显示以下信息表示VRRP组建立成功。

FW_A

FW_B

HRP_M<FW_A> display vrrp
 GigabitEthernet1/0/1 | Virtual Router 1
    State : Master
    Virtual IP : 1.1.1.1
    Master IP : 10.2.0.1
    PriorityRun : 120
    PriorityConfig : 100
    MasterPriority : 120
    Preempt : YES   Delay Time : 0 s
    TimerRun : 60 s
    TimerConfig : 60 s
    Auth type : NONE
    Virtual MAC : 0000-5e00-0101
    Check TTL : YES
    Config type : vgmp-vrrp
    Backup-forward : disabled
    Create time : 2018-03-17 17:35:54 UTC+08:00
    Last change time : 2018-03-22 16:01:56 UTC+08:00
 
 GigabitEthernet1/0/3 | Virtual Router 2
    State : Master
    Virtual IP : 10.3.0.3
    Master IP : 10.3.0.1
    PriorityRun : 120
    PriorityConfig : 100
    MasterPriority : 120
    Preempt : YES   Delay Time : 0 s
    TimerRun : 60 s
    TimerConfig : 60 s
    Auth type : NONE
    Virtual MAC : 0000-5e00-0102
    Check TTL : YES
    Config type : vgmp-vrrp
    Backup-forward : disabled
    Create time : 2018-03-17 17:35:54 UTC+08:01
    Last change time : 2018-03-22 16:01:56 UTC+08:01
HRP_S<FW_B> display vrrp
 GigabitEthernet1/0/1 | Virtual Router 1
    State : Backup
    Virtual IP : 1.1.1.1
    Master IP : 10.2.0.1
    PriorityRun : 120
    PriorityConfig : 100
    MasterPriority : 120
    Preempt : YES   Delay Time : 0 s
    TimerRun : 60 s
    TimerConfig : 60 s
    Auth type : NONE
    Virtual MAC : 0000-5e00-0101
    Check TTL : YES
    Config type : vgmp-vrrp
    Backup-forward : disabled
    Create time : 2018-03-17 17:37:54 UTC+08:00
    Last change time : 2018-03-22 16:03:56 UTC+08:00
 
 GigabitEthernet1/0/3 | Virtual Router 2
    State : Backup
    Virtual IP : 10.3.0.3
    Master IP : 10.3.0.1
    PriorityRun : 120
    PriorityConfig : 100
    MasterPriority : 120
    Preempt : YES   Delay Time : 0 s
    TimerRun : 60 s
    TimerConfig : 60 s
    Auth type : NONE
    Virtual MAC : 0000-5e00-0102
    Check TTL : YES
    Config type : vgmp-vrrp
    Backup-forward : disabled
    Create time : 2018-03-17 17:37:54 UTC+08:01
    Last change time : 2018-03-22 16:03:56 UTC+08:01

2.  在FW_A和FW_B上执行display hrp state verbose命令,检查当前VGMP组的状态,显示以下信息表示双机热备建立成功。

FW_A

FW_B

HRP_M<FW_A> display hrp state verbose
 Role: active, peer: standby
 Running priority: 45000, peer: 45000
 Backup channel usage: 30%
 Stable time: 1 days, 13 hours, 35 minutes
 Last state change information: 2018-03-22 16:01:56 HRP core state changed, old_
state = normal(standby), new_state = normal(active), local_priority = 45000,
 peer_priority = 45000.
                             
 Configuration:
 hello interval:              1000ms
 preempt:                     60s
 mirror configuration:        off
 mirror session:              off
 track trunk member:          on
 auto-sync configuration:     on
 auto-sync connection-status: on
 adjust ospf-cost:            on
 adjust ospfv3-cost:          on
 adjust bgp-cost:             on
 nat resource:                off
                                    
 Detail information:
           GigabitEthernet1/0/1 vrrp vrid 1: active
           GigabitEthernet1/0/3 vrrp vrid 2: active
HRP_S<FW_B> display hrp state verbose
 Role: standby, peer: active
 Running priority: 45000, peer: 45000
 Backup channel usage: 30%
 Stable time: 1 days, 13 hours, 35 minutes
 Last state change information: 2018-03-22 16:03:56 HRP core state changed, old_
state = normal(standby), new_state = normal(standby), local_priority = 45000,
 peer_priority = 45000.
                             
 Configuration:
 hello interval:              1000ms
 preempt:                     60s
 mirror configuration:        off
 mirror session:              off
 track trunk member:          on
 auto-sync configuration:     on
 auto-sync connection-status: on
 adjust ospf-cost:            on
 adjust ospfv3-cost:          on
 adjust bgp-cost:             on
 nat resource:                off
                                    
 Detail information:
           GigabitEthernet1/0/1 vrrp vrid 1: standby
           GigabitEthernet1/0/3 vrrp vrid 2: standby

3.  Router位于Untrust区域。在Trust区域的PC端能够ping通Untrust区域的Router。分别在FW_A和FW_B上检查会话。

FW_A

FW_B

HRP_M<FW_A> display firewall session table
 
 Current Total Sessions : 1
  icmp  VPN: public --> public 10.3.0.10:0[1.1.1.2:10298] --> 1.1.1.10:2048
HRP_S<FW_B> display firewall session table
 
 Current Total Sessions : 1
  icmp  VPN:public --> public  Remote 10.3.0.10:0[1.1.1.2:10298] --> 1.1.1.10:2048

4.  可以看出FW_B上存在带有Remote标记的会话,表示配置双机热备功能后,会话备份成功。

5.  在PC上执行ping 1.1.1.10 -t,然后将FW_A GE1/0/1接口网线拨出,观察防火墙状态切换及ping包丢包情况;再将FW_A GE1/0/1接口网线恢复,观察防火墙状态切换及ping包丢包情况。

配置脚本

FW_A

FW_B

#
 hrp enable
 hrp interface GigabitEthernet 1/0/7 remote 10.10.0.2
#
interface GigabitEthernet 1/0/1
 ip address 10.2.0.1 255.255.255.0
 vrrp vrid 1 virtual-ip 1.1.1.1 255.255.255.0 active
#
interface GigabitEthernet 1/0/3
 ip address 10.3.0.1 255.255.255.0
 vrrp vrid 2 virtual-ip 10.3.0.3 active
#
interface GigabitEthernet 1/0/7
 ip address 10.10.0.1 255.255.255.0
#
firewall zone trust
 set priority 85
 add interface GigabitEthernet 1/0/3
#
firewall zone untrust
 set priority 5
 add interface GigabitEthernet 1/0/1
#
firewall zone dmz
 set priority 50
 add interface GigabitEthernet 1/0/7
#
 ip route-static 0.0.0.0 0.0.0.0 1.1.1.10
#
 nat address-group group1
 section 0 1.1.1.2 1.1.1.5
#
security-policy
 rule name trust_to_untrust
  source-zone trust
  destination-zone untrust
  source-address 10.3.0.0 24
  action permit
#
nat-policy
 rule name policy_nat1
  source-zone trust
  destination-zone untrust
  source-address 10.3.0.0 16
  action source-nat address-group group1
#
 hrp enable
 hrp interface GigabitEthernet 1/0/7 remote 10.10.0.1
#
interface GigabitEthernet 1/0/1
 ip address 10.2.0.2 255.255.255.0
 vrrp vrid 1 virtual-ip 1.1.1.1 255.255.255.0 standby
#
interface GigabitEthernet 1/0/3
 ip address 10.3.0.2 255.255.255.0
 vrrp vrid 2 virtual-ip 10.3.0.3 standby
#
interface GigabitEthernet 1/0/7
 ip address 10.10.0.2 255.255.255.0
#
firewall zone trust
 set priority 85
 add interface GigabitEthernet 1/0/3
#
firewall zone untrust
 set priority 5
 add interface GigabitEthernet 1/0/1
#
firewall zone dmz
 set priority 50
 add interface GigabitEthernet1/0/7
#
 ip route-static 0.0.0.0 0.0.0.0 1.1.1.10
#
 nat address-group group1
 section 0 1.1.1.2 1.1.1.5
#
security-policy
 rule name trust_to_untrust
  source-zone trust
  destination-zone untrust
  source-address 10.3.0.0 24
  action permit
#
nat-policy
 rule name policy_nat1
  source-zone trust
  destination-zone untrust
  source-address 10.3.0.0 16
  action source-nat address-group group1


回复1

2020/11/23 09:22

鼓励大家积极发帖,

上划加载中
直达楼层
标签
您还可以添加5个标签
  • 没有搜索到和“关键字”相关的标签
  • 云产品
  • 解决方案
  • 技术领域
  • 通用技术
  • 平台功能
取消

采纳成功

您已采纳当前回复为最佳回复

sangjunke

发帖: 237粉丝: 4

发消息 + 关注

发表于2020年11月22日 19:01:49 843 1
直达本楼层的链接
楼主
显示全部楼层
[技术干货] 华为防火墙直路部署

image.png


操作步骤

1.  完成网络基本配置。

FW_A

FW_B

# 配置FW各接口的IP地址。

<FW_A> system-view
[FW_A] interface GigabitEthernet 1/0/1
[FW_A-GigabitEthernet1/0/1] ip address 10.2.0.1 24
[FW_A-GigabitEthernet1/0/1] quit
[FW_A] interface GigabitEthernet 1/0/3
[FW_A-GigabitEthernet1/0/3] ip address 10.3.0.1 24
[FW_A-GigabitEthernet1/0/3] quit
[FW_A] interface GigabitEthernet 1/0/7
[FW_A-GigabitEthernet1/0/7] ip address 10.10.0.1 24
[FW_A-GigabitEthernet1/0/7] quit
<FW_B> system-view
[FW_B] interface GigabitEthernet 1/0/1
[FW_B-GigabitEthernet1/0/1] ip address 10.2.0.2 24
[FW_B-GigabitEthernet1/0/1] quit
[FW_B] interface GigabitEthernet 1/0/3
[FW_B-GigabitEthernet1/0/3] ip address 10.3.0.2 24
[FW_B-GigabitEthernet1/0/3] quit
[FW_B] interface GigabitEthernet 1/0/7
[FW_B-GigabitEthernet1/0/7] ip address 10.10.0.2 24
[FW_B-GigabitEthernet1/0/7] quit

# 将FW各接口加入相应的安全区域。

[FW_A] firewall zone trust
[FW_A-zone-trust] add interface GigabitEthernet 1/0/3
[FW_A-zone-trust] quit
[FW_A] firewall zone dmz
[FW_A-zone-dmz] add interface GigabitEthernet 1/0/7
[FW_A-zone-dmz] quit
[FW_A] firewall zone untrust
[FW_A-zone-untrust] add interface GigabitEthernet 1/0/1
[FW_A-zone-untrust] quit
[FW_B] firewall zone trust
[FW_B-zone-trust] add interface GigabitEthernet 1/0/3
[FW_B-zone-trust] quit
[FW_B] firewall zone dmz
[FW_B-zone-dmz] add interface GigabitEthernet 1/0/7
[FW_B-zone-dmz] quit
[FW_B] firewall zone untrust
[FW_B-zone-untrust] add interface GigabitEthernet 1/0/1
[FW_B-zone-untrust] quit

# 在FW上配置缺省路由,下一跳为1.1.1.10,使内网用户的流量可以正常转发至Router。

[FW_A] ip route-static 0.0.0.0 0.0.0.0 1.1.1.10
[FW_B] ip route-static 0.0.0.0 0.0.0.0 1.1.1.10

2.  配置VRRP备份组。

FW_A

FW_B

# 在FW_A上行业务接口GE1/0/1上配置VRRP备份组1,并设置其状态为Active。在FW_B上行业务接口GE1/0/1上配置VRRP备份组1,并设置其状态为Standby。需要注意的是,如果接口的IP地址与VRRP备份组地址不在同一网段,则配置VRRP备份组地址时需要指定掩码。

[FW_A] interface GigabitEthernet 1/0/1
[FW_A-GigabitEthernet1/0/1] vrrp vrid 1 virtual-ip 1.1.1.1 24 active
[FW_A-GigabitEthernet1/0/1] quit
[FW_B] interface GigabitEthernet 1/0/1
[FW_B-GigabitEthernet1/0/1] vrrp vrid 1 virtual-ip 1.1.1.1 24 standby
[FW_B-GigabitEthernet1/0/1] quit

# 在FW_A下行业务接口GE1/0/3上配置VRRP备份组2,并设置其状态为Active。在FW_B下行业务接口GE1/0/3上配置VRRP备份组2,并设置其状态为Standby。

[FW_A] interface GigabitEthernet 1/0/3
[FW_A-GigabitEthernet1/0/3] vrrp vrid 2 virtual-ip 10.3.0.3 active
[FW_A-GigabitEthernet1/0/3] quit
[FW_B] interface GigabitEthernet 1/0/3
[FW_B-GigabitEthernet1/0/3] vrrp vrid 2 virtual-ip 10.3.0.3 standby
[FW_B-GigabitEthernet1/0/3] quit

3.  指定心跳口并启用双机热备功能。

FW_A

FW_B

[FW_A] hrp interface GigabitEthernet 1/0/7 remote 10.10.0.2
[FW_A] hrp enable
[FW_B] hrp interface GigabitEthernet 1/0/7 remote 10.10.0.1
[FW_B] hrp enable

4.  在FW_A上配置安全策略。双机热备状态成功建立后,FW_A的安全策略配置会自动备份到FW_B上。

# 配置安全策略,允许内网用户访问Internet。

HRP_M[FW_A] security-policy
HRP_M[FW_A-policy-security] rule name trust_to_untrust
HRP_M[FW_A-policy-security-rule-trust_to_untrust] source-zone trust
HRP_M[FW_A-policy-security-rule-trust_to_untrust] destination-zone untrust
HRP_M[FW_A-policy-security-rule-trust_to_untrust] source-address 10.3.0.0 24
HRP_M[FW_A-policy-security-rule-trust_to_untrust] action permit
HRP_M[FW_A-policy-security-rule-trust_to_untrust] quit
HRP_M[FW_A-policy-security] quit

5.  在FW_A上配置NAT策略。双机热备状态成功建立后,FW_A的NAT策略配置会自动备份到FW_B上。

# 配置NAT策略,当内网用户访问Internet时,将源地址由10.3.0.0/16网段转换为地址池中的地址(1.1.1.2-1.1.1.5)。

HRP_M[FW_A] nat address-group group1
HRP_M[FW_A-address-group-group1] section 0 1.1.1.2 1.1.1.5
HRP_M[FW_A-address-group-group1] quit
HRP_M[FW_A] nat-policy
HRP_M[FW_A-policy-nat] rule name policy_nat1
HRP_M[FW_A-policy-nat-rule-policy_nat1] source-zone trust
HRP_M[FW_A-policy-nat-rule-policy_nat1] destination-zone untrust
HRP_M[FW_A-policy-nat-rule-policy_nat1] source-address 10.3.0.0 16
HRP_M[FW_A-policy-nat-rule-policy_nat1] action source-nat address-group group1

6.  配置Switch和内网PC。

a.  分别将两台Switch的三个接口加入同一个VLAN,具体配置命令请参考交换机的相关文档。

b.  将内网PC的默认网关设置为VRRP备份组2的虚拟IP地址,具体步骤略。

7.  配置Router。

在Router上配置到FW的等价路由,路由下一跳指向VRRP备份组1的虚拟IP地址。

结果验证

1.  在FW_A和FW_B上执行display vrrp命令,检查VRRP组内接口的状态信息,显示以下信息表示VRRP组建立成功。

FW_A

FW_B

HRP_M<FW_A> display vrrp
 GigabitEthernet1/0/1 | Virtual Router 1
    State : Master
    Virtual IP : 1.1.1.1
    Master IP : 10.2.0.1
    PriorityRun : 120
    PriorityConfig : 100
    MasterPriority : 120
    Preempt : YES   Delay Time : 0 s
    TimerRun : 60 s
    TimerConfig : 60 s
    Auth type : NONE
    Virtual MAC : 0000-5e00-0101
    Check TTL : YES
    Config type : vgmp-vrrp
    Backup-forward : disabled
    Create time : 2018-03-17 17:35:54 UTC+08:00
    Last change time : 2018-03-22 16:01:56 UTC+08:00
 
 GigabitEthernet1/0/3 | Virtual Router 2
    State : Master
    Virtual IP : 10.3.0.3
    Master IP : 10.3.0.1
    PriorityRun : 120
    PriorityConfig : 100
    MasterPriority : 120
    Preempt : YES   Delay Time : 0 s
    TimerRun : 60 s
    TimerConfig : 60 s
    Auth type : NONE
    Virtual MAC : 0000-5e00-0102
    Check TTL : YES
    Config type : vgmp-vrrp
    Backup-forward : disabled
    Create time : 2018-03-17 17:35:54 UTC+08:01
    Last change time : 2018-03-22 16:01:56 UTC+08:01
HRP_S<FW_B> display vrrp
 GigabitEthernet1/0/1 | Virtual Router 1
    State : Backup
    Virtual IP : 1.1.1.1
    Master IP : 10.2.0.1
    PriorityRun : 120
    PriorityConfig : 100
    MasterPriority : 120
    Preempt : YES   Delay Time : 0 s
    TimerRun : 60 s
    TimerConfig : 60 s
    Auth type : NONE
    Virtual MAC : 0000-5e00-0101
    Check TTL : YES
    Config type : vgmp-vrrp
    Backup-forward : disabled
    Create time : 2018-03-17 17:37:54 UTC+08:00
    Last change time : 2018-03-22 16:03:56 UTC+08:00
 
 GigabitEthernet1/0/3 | Virtual Router 2
    State : Backup
    Virtual IP : 10.3.0.3
    Master IP : 10.3.0.1
    PriorityRun : 120
    PriorityConfig : 100
    MasterPriority : 120
    Preempt : YES   Delay Time : 0 s
    TimerRun : 60 s
    TimerConfig : 60 s
    Auth type : NONE
    Virtual MAC : 0000-5e00-0102
    Check TTL : YES
    Config type : vgmp-vrrp
    Backup-forward : disabled
    Create time : 2018-03-17 17:37:54 UTC+08:01
    Last change time : 2018-03-22 16:03:56 UTC+08:01

2.  在FW_A和FW_B上执行display hrp state verbose命令,检查当前VGMP组的状态,显示以下信息表示双机热备建立成功。

FW_A

FW_B

HRP_M<FW_A> display hrp state verbose
 Role: active, peer: standby
 Running priority: 45000, peer: 45000
 Backup channel usage: 30%
 Stable time: 1 days, 13 hours, 35 minutes
 Last state change information: 2018-03-22 16:01:56 HRP core state changed, old_
state = normal(standby), new_state = normal(active), local_priority = 45000,
 peer_priority = 45000.
                             
 Configuration:
 hello interval:              1000ms
 preempt:                     60s
 mirror configuration:        off
 mirror session:              off
 track trunk member:          on
 auto-sync configuration:     on
 auto-sync connection-status: on
 adjust ospf-cost:            on
 adjust ospfv3-cost:          on
 adjust bgp-cost:             on
 nat resource:                off
                                    
 Detail information:
           GigabitEthernet1/0/1 vrrp vrid 1: active
           GigabitEthernet1/0/3 vrrp vrid 2: active
HRP_S<FW_B> display hrp state verbose
 Role: standby, peer: active
 Running priority: 45000, peer: 45000
 Backup channel usage: 30%
 Stable time: 1 days, 13 hours, 35 minutes
 Last state change information: 2018-03-22 16:03:56 HRP core state changed, old_
state = normal(standby), new_state = normal(standby), local_priority = 45000,
 peer_priority = 45000.
                             
 Configuration:
 hello interval:              1000ms
 preempt:                     60s
 mirror configuration:        off
 mirror session:              off
 track trunk member:          on
 auto-sync configuration:     on
 auto-sync connection-status: on
 adjust ospf-cost:            on
 adjust ospfv3-cost:          on
 adjust bgp-cost:             on
 nat resource:                off
                                    
 Detail information:
           GigabitEthernet1/0/1 vrrp vrid 1: standby
           GigabitEthernet1/0/3 vrrp vrid 2: standby

3.  Router位于Untrust区域。在Trust区域的PC端能够ping通Untrust区域的Router。分别在FW_A和FW_B上检查会话。

FW_A

FW_B

HRP_M<FW_A> display firewall session table
 
 Current Total Sessions : 1
  icmp  VPN: public --> public 10.3.0.10:0[1.1.1.2:10298] --> 1.1.1.10:2048
HRP_S<FW_B> display firewall session table
 
 Current Total Sessions : 1
  icmp  VPN:public --> public  Remote 10.3.0.10:0[1.1.1.2:10298] --> 1.1.1.10:2048

4.  可以看出FW_B上存在带有Remote标记的会话,表示配置双机热备功能后,会话备份成功。

5.  在PC上执行ping 1.1.1.10 -t,然后将FW_A GE1/0/1接口网线拨出,观察防火墙状态切换及ping包丢包情况;再将FW_A GE1/0/1接口网线恢复,观察防火墙状态切换及ping包丢包情况。

配置脚本

FW_A

FW_B

#
 hrp enable
 hrp interface GigabitEthernet 1/0/7 remote 10.10.0.2
#
interface GigabitEthernet 1/0/1
 ip address 10.2.0.1 255.255.255.0
 vrrp vrid 1 virtual-ip 1.1.1.1 255.255.255.0 active
#
interface GigabitEthernet 1/0/3
 ip address 10.3.0.1 255.255.255.0
 vrrp vrid 2 virtual-ip 10.3.0.3 active
#
interface GigabitEthernet 1/0/7
 ip address 10.10.0.1 255.255.255.0
#
firewall zone trust
 set priority 85
 add interface GigabitEthernet 1/0/3
#
firewall zone untrust
 set priority 5
 add interface GigabitEthernet 1/0/1
#
firewall zone dmz
 set priority 50
 add interface GigabitEthernet 1/0/7
#
 ip route-static 0.0.0.0 0.0.0.0 1.1.1.10
#
 nat address-group group1
 section 0 1.1.1.2 1.1.1.5
#
security-policy
 rule name trust_to_untrust
  source-zone trust
  destination-zone untrust
  source-address 10.3.0.0 24
  action permit
#
nat-policy
 rule name policy_nat1
  source-zone trust
  destination-zone untrust
  source-address 10.3.0.0 16
  action source-nat address-group group1
#
 hrp enable
 hrp interface GigabitEthernet 1/0/7 remote 10.10.0.1
#
interface GigabitEthernet 1/0/1
 ip address 10.2.0.2 255.255.255.0
 vrrp vrid 1 virtual-ip 1.1.1.1 255.255.255.0 standby
#
interface GigabitEthernet 1/0/3
 ip address 10.3.0.2 255.255.255.0
 vrrp vrid 2 virtual-ip 10.3.0.3 standby
#
interface GigabitEthernet 1/0/7
 ip address 10.10.0.2 255.255.255.0
#
firewall zone trust
 set priority 85
 add interface GigabitEthernet 1/0/3
#
firewall zone untrust
 set priority 5
 add interface GigabitEthernet 1/0/1
#
firewall zone dmz
 set priority 50
 add interface GigabitEthernet1/0/7
#
 ip route-static 0.0.0.0 0.0.0.0 1.1.1.10
#
 nat address-group group1
 section 0 1.1.1.2 1.1.1.5
#
security-policy
 rule name trust_to_untrust
  source-zone trust
  destination-zone untrust
  source-address 10.3.0.0 24
  action permit
#
nat-policy
 rule name policy_nat1
  source-zone trust
  destination-zone untrust
  source-address 10.3.0.0 16
  action source-nat address-group group1


举报
分享

分享文章到朋友圈

分享文章到微博

采纳成功

您已采纳当前回复为最佳回复

长期飘在公有云上

发帖: 13粉丝: 8

级别 : 版主

发消息 + 关注

发表于2020年11月23日 09:22:32
直达本楼层的链接
沙发
显示全部楼层

鼓励大家积极发帖,

点赞 评论 引用 举报

游客

您需要登录后才可以回帖 登录 | 立即注册

结贴

您对问题的回复是否满意?
满意度
非常满意 满意 一般 不满意
我要反馈
0/200