FW1和FW2的業務接口都工作在三層,上行連接二層交換機。上行交換機連接運營商的接入點,運營商為企業分配的IP地址為100.100.100.2。現在希望FW1和FW2以主備備份方式工作。正常情況下,流量通過FW1轉發;當FW1出現故障時,流量通過FW2轉發,保證業務不中斷。
思考:
1、客戶項目只有一根互聯網線路、這種情況怎么接防火墻?
使用一臺擴展交換機計入互聯線路、也可以使用核心交換機復用
2、客戶互聯網只有一個公網ip、這種情況防火墻上公網ip地址怎么配置
這種情況防火墻接口ip只能配置一個私網ip、VRRP虛擬出公網對接ip
3、防火墻模式選擇、主備模式還是負載分擔模式
因為只有一條公網這種模式只能選擇主備模式
| ?1. 完成網絡基本配置。 | |
| FW1 | FW2 |
| # 配置FW1和FW2的接口地址 | |
| interface GigabitEthernet1/0/2 ?undo shutdown ?ip address 1.1.1.1 255.255.255.252 ?service-manage ping permit # interface GigabitEthernet1/0/3 ?undo shutdown ?ip address 172.16.1.3 255.255.255.0 ?service-manage ping permit # interface Eth-Trunk1 ?ip address 10.1.1.1 255.255.255.252 | interface GigabitEthernet1/0/2 ?undo shutdown ?ip address 1.1.1.2 255.255.255.252 ?service-manage ping permit # interface GigabitEthernet1/0/3 ?undo shutdown ?ip address 172.16.1.4 255.255.255.0 ?service-manage ping permit # interface Eth-Trunk1 ?ip address 10.1.1.2 255.255.255.252 |
| 各接口加入相應的安全區域。 | |
| firewall zone trust ?set priority 85 ?add interface GigabitEthernet0/0/0 ?add interface GigabitEthernet1/0/3 # firewall zone name HA ?set priority 60 ?add interface Eth-Trunk1 | firewall zone trust ?set priority 85 ?add interface GigabitEthernet0/0/0 ?add interface GigabitEthernet1/0/3 # firewall zone name HA ?set priority 60 ?add interface Eth-Trunk1 |
| ?在fw1和FW2上配置缺省路由,下一跳為100.100.100.1,使內網用戶的流量可以正常轉發至Router。 | |
| ip route-static 0.0.0.0 0.0.0.0 100.100.100.1 | ip route-static 0.0.0.0 0.0.0.0 100.100.100.1 |
| 配置VRRP備份組 | |
| interface GigabitEthernet1/0/2 ?vrrp vrid 1 virtual-ip 100.100.100.2 255.255.255.0 active # interface GigabitEthernet1/0/3 ?vrrp vrid 2 virtual-ip 172.16.1.1 active | interface GigabitEthernet1/0/2 ?vrrp vrid 1 virtual-ip 100.100.100.2 255.255.255.0 standby # interface GigabitEthernet1/0/3 ?vrrp vrid 2 virtual-ip 172.16.1.1 standby |
| 指定心跳接口,配置認證密鑰,并啟用雙機熱備功能 | |
| ?hrp enable ?hrp interface Eth-Trunk1 remote 10.1.1.2 | ?hrp enable ?hrp interface Eth-Trunk1 remote 10.1.1.1 |
| 在fw1主上配置安全策略。雙機熱備狀態成功建立后,FW1的安全策略配置會自動備份到FW2備上。 | |
| # 配置安全策略,允許內網用戶訪問Internet。 | |
| security-policy ?rule name local_to_YD ? source-zone local ? action permit ?rule name TRUST_TO_YD ? source-zone trust ? destination-zone YD ? action permit nat-policy ?rule name TO_INTERNET ? source-zone trust ? destination-zone YD ? action source-nat address-group GW nat address-group GW 0 ?mode pat ?section 0 100.100.100.2 100.100.100.2 | |
| OSPF 配置 | |
| ospf 1 ?default-route-advertise cost 500 type 1 ?area 0.0.0.0 ? network 172.16.1.3 0.0.0.0 # | ospf 1 ?default-route-advertise cost 500 type 1 ?area 0.0.0.0 ? network 172.16.1.4 0.0.0.0 # |
| 核心交換機ospf配置 | |
| ospf 1 ?area 0.0.0.0 ? network 172.16.20.1 0.0.0.0 ? network 172.16.1.2 0.0.0.0 |
驗證:
客戶端PC可以訪問互聯網
?
故障演練:
在核心上關閉連接FW1的接口g0/0/1、流量自動切換到備FW2防火墻上
防火FW1由mastet變為stadby
?
?
?
)
)
