華為新墻通過多ISP接入Internet(雙機(jī)熱備多出口)
組網(wǎng)需求
如圖1所示��,兩臺(tái)NGFW的業(yè)務(wù)接口都工作在三層���,上下行分別連接二層交換機(jī)����。
上行的兩臺(tái)交換機(jī)分別連接到不同的運(yùn)營商�����,其中ISP1分配給企業(yè)的IP地址為1.1.1.1�����、1.1.1.2����、1.1.1.3,ISP2分配給企業(yè)的IP地址為2.2.2.1�、2.2.2.2、2.2.2.3����。
現(xiàn)在希望兩臺(tái)NGFW以負(fù)載分擔(dān)方式工作,部門A的用戶(10.3.0.51~10.3.0.100)的流量去往ISP1����,部門B(10.3.0.101~10.3.0.150)的流量去往ISP2。正常情況下�,NGFW_A和NGFW_B共同轉(zhuǎn)發(fā)流量。當(dāng)其中一臺(tái)NGFW出現(xiàn)故障時(shí)����,另外一臺(tái)NGFW轉(zhuǎn)發(fā)全部業(yè)務(wù),保證業(yè)務(wù)不中斷�����。
圖1 業(yè)務(wù)接口工作在三層��,上下行連接交換機(jī)的負(fù)載分擔(dān)組網(wǎng)
操作步驟
配置接口,完成網(wǎng)絡(luò)基本配置���。
選擇“網(wǎng)絡(luò) > 接口”��。
單擊GE1/0/1����,按如下參數(shù)配置��。
安全區(qū)域 | isp1 |
|---|
IPv4 |
|---|
IP地址 | 1.1.1.2/24 |
|---|
單擊“確定”��。
參考上述步驟按如下參數(shù)配置GE1/0/2接口�����。
安全區(qū)域 | isp2 |
|---|
IPv4 |
|---|
IP地址 | 2.2.2.2/24 |
|---|
參考上述步驟按如下參數(shù)配置GE1/0/3接口���。
安全區(qū)域 | trust |
|---|
IPv4 |
|---|
IP地址 | 10.3.0.2/24 |
|---|
參考上述步驟按如下參數(shù)配置GE1/0/7接口�����。
安全區(qū)域 | dmz |
|---|
IPv4 |
|---|
IP地址 | 10.10.0.2/24 |
|---|
選擇“網(wǎng)絡(luò) > 接口”��。
單擊GE1/0/1����,按如下參數(shù)配置����。
安全區(qū)域 | isp1 |
|---|
IPv4 |
|---|
IP地址 | 1.1.1.1/24 |
|---|
單擊“確定”。
參考上述步驟按如下參數(shù)配置GE1/0/2接口��。
安全區(qū)域 | isp2 |
|---|
IPv4 |
|---|
IP地址 | 2.2.2.1/24 |
|---|
參考上述步驟按如下參數(shù)配置GE1/0/3接口��。
安全區(qū)域 | trust |
|---|
IPv4 |
|---|
IP地址 | 10.3.0.1/24 |
|---|
參考上述步驟按如下參數(shù)配置GE1/0/7接口��。
安全區(qū)域 | dmz |
|---|
IPv4 |
|---|
IP地址 | 10.10.0.1/24 |
|---|
在NGFW_A上配置接口�。
說明:
isp1和isp2為已經(jīng)創(chuàng)建好的安全區(qū)域。
在NGFW_B上配置接口��。
配置路由功能��,保證路由可達(dá)���。
NGFW_A與NGFW_B的路由配置相同���。
選擇“策略 > 策略路由”。
單擊“新建”�����。
按如下參數(shù)配置到ISP1的策略路由。
名稱 | route_policy_isp1 |
|---|
類型 | 源安全區(qū)域 |
|---|
源安全區(qū)域 | trust |
|---|
源地址 | 10.3.0.51-10.3.0.100 |
|---|
動(dòng)作 | 轉(zhuǎn)發(fā) |
|---|
下一跳 | 1.1.1.254 |
|---|
單擊“確定”�。
參考上述步驟,配置到ISP2的策略路由����。
名稱 | route_policy_isp2 |
|---|
類型 | 源安全區(qū)域 |
|---|
源安全區(qū)域 | trust |
|---|
源地址 | 10.3.0.101-10.3.0.150 |
|---|
動(dòng)作 | 轉(zhuǎn)發(fā) |
|---|
下一跳 | 2.2.2.254 |
|---|
配置雙機(jī)熱備功能。
選擇“系統(tǒng) > 高可靠性 > 雙機(jī)熱備”�����。
單擊“配置”�。
選中“啟用”前的復(fù)選框后,按如下參數(shù)配置���。
單擊“確定”���。
選擇“系統(tǒng) > 高可靠性 > 雙機(jī)熱備”。
單擊“配置”����。
選中“啟用”前的復(fù)選框后,按如下參數(shù)配置�����。
單擊“確定”。
在NGFW_A上配置雙機(jī)熱備功能��。
在NGFW_B上配置雙機(jī)熱備功能�。
在內(nèi)網(wǎng)的設(shè)備上配置缺省路由,將部門A用戶的下一跳設(shè)置為VRRP備份組3的虛擬IP地址10.3.0.3���,部門B用戶的下一跳設(shè)置為VRRP備份組4的虛擬IP地址10.3.0.4。
配置安全策略�����。
在NGFW_A上配置的安全策略會(huì)自動(dòng)備份到NGFW_B上���。
選擇“策略 > 安全策略 > 安全策略”����。
單擊“新建”����。
按照如下參數(shù)配置安全策略。
名稱 | policy_sec |
|---|
源安全區(qū)域 | trust |
|---|
目的安全區(qū)域 | isp1,isp2 |
|---|
動(dòng)作 | 允許 |
|---|
單擊“確定”����。
配置NAT策略���,使內(nèi)網(wǎng)用戶通過轉(zhuǎn)換后的公網(wǎng)IP地址訪問Internet。
在NGFW_A上配置的NAT策略會(huì)自動(dòng)備份到NGFW_B上�。
選擇“策略 > NAT策略 > 源NAT”。
選擇“NAT地址池”頁簽����。
單擊“新建”。
按照如下參數(shù)配置NAT地址池1�。
單擊“確定”。
參考上述步驟按如下參數(shù)配置NAT地址池2����。
選擇“源NAT”頁簽。
單擊“新建”��。
按照如下參數(shù)配置trust與isp1間的NAT策略�����。
名稱 | policy_nat_1 |
|---|
源安全區(qū)域 | trust |
|---|
目的安全區(qū)域 | isp1 |
|---|
動(dòng)作 | NAT轉(zhuǎn)換 |
|---|
轉(zhuǎn)換后 |
|---|
源地址 | 地址池中的地址 |
|---|
地址池 | 1 |
|---|
單擊“確定”����。
參考上述步驟按如下參數(shù)配置trust與isp2間的NAT策略�����。
名稱 | policy_nat_2 |
|---|
源安全區(qū)域 | trust |
|---|
目的安全區(qū)域 | isp2 |
|---|
動(dòng)作 | NAT轉(zhuǎn)換 |
|---|
轉(zhuǎn)換后 |
|---|
源地址 | 地址池中的地址 |
|---|
地址池 | 2 |
|---|
結(jié)果驗(yàn)證
選擇“系統(tǒng) > 高可靠性 > 雙機(jī)熱備”�,查看雙機(jī)熱備的運(yùn)行情況��。
正常情況下�����,NGFW_A的“當(dāng)前運(yùn)行模式”為“負(fù)載分擔(dān)”����,“當(dāng)前運(yùn)行角色”為“主用”����;NGFW_B的“當(dāng)前運(yùn)行模式”為“負(fù)載分擔(dān)”,“當(dāng)前運(yùn)行角色”為“備用”���。這說明流量通過兩臺(tái)NGFW共同轉(zhuǎn)發(fā)����。
當(dāng)NGFW_A出現(xiàn)故障時(shí)��,NGFW_A的“當(dāng)前運(yùn)行模式”為“主備備份”,“當(dāng)前運(yùn)行角色”為“備用”�;NGFW_B的“當(dāng)前運(yùn)行模式”為“主備備份”,“當(dāng)前運(yùn)行角色”為“主用”�����。這說明流量通過NGFW_B轉(zhuǎn)發(fā)����。
配置腳本
| NGFW_A | NGFW_B |
|---|
#
hrp mirror session enable
hrp enable
hrp loadbalance-device
hrp interface GigabitEthernet 1/0/7
#
interface GigabitEthernet 1/0/1
ip address 1.1.1.1 255.255.255.0
vrrp vrid 1 virtual-ip 1.1.1.3 active#
interface GigabitEthernet 1/0/2
ip address 2.2.2.1 255.255.255.0
vrrp vrid 2 virtual-ip 2.2.2.3 standby#
interface GigabitEthernet 1/0/3
ip address 10.3.0.1 255.255.255.0
vrrp vrid 3 virtual-ip 10.3.0.3 active
vrrp vrid 4 virtual-ip 10.3.0.4 standby#
interface GigabitEthernet 1/0/7
ip address 10.10.0.1 255.255.255.0
#
firewall zone trust
set priority 85
add interface GigabitEthernet 1/0/3
#
firewall zone dmz
set priority 50
add interface GigabitEthernet1/0/7
#
firewall zone isp1
set priority 10
add interface GigabitEthernet 1/0/1
#
firewall zone isp2
set priority 15
add interface GigabitEthernet 1/0/2
#
nat address-group 1
section 0 1.1.1.3 1.1.1.3
nat address-group 2
section 0 2.2.2.3 2.2.2.3
#
security-policy
rule name policy_sec
source-zone trust
destination-zone isp1
destination-zone isp2
action permit
#
policy-based-route
rule name route_policy_isp1
source-zone trust
source-address range 10.3.0.51 10.3.0.100
action pbr next-hop 1.1.1.254
rule name route_policy_isp2
source-zone trust
source-address range 10.3.0.101 10.3.0.150
action pbr next-hop 2.2.2.254
#
nat-policy
rule name policy_nat_1
source-zone trust
destination-zone isp1
action nat address-group 1
rule name policy_nat_2
source-zone trust
destination-zone isp2
action nat address-group 2 | #
hrp mirror session enable
hrp enable
hrp loadbalance-device
hrp interface GigabitEthernet 1/0/7
#
interface GigabitEthernet 1/0/1
ip address 1.1.1.2 255.255.255.0
vrrp vrid 1 virtual-ip 1.1.1.3 standby#
interface GigabitEthernet 1/0/2
ip address 2.2.2.2 255.255.255.0
vrrp vrid 2 virtual-ip 2.2.2.3 active#
interface GigabitEthernet 1/0/3
ip address 10.3.0.2 255.255.255.0
vrrp vrid 3 virtual-ip 10.3.0.3 standby
vrrp vrid 4 virtual-ip 10.3.0.4 active#
interface GigabitEthernet 1/0/7
ip address 10.10.0.2 255.255.255.0
#
firewall zone trust
set priority 85
add interface GigabitEthernet 1/0/3
#
firewall zone dmz
set priority 50
add interface GigabitEthernet1/0/7
#
firewall zone isp1
set priority 10
add interface GigabitEthernet 1/0/1
#
firewall zone isp2
set priority 15
add interface GigabitEthernet 1/0/2
#
nat address-group 1
section 0 1.1.1.3 1.1.1.3
nat address-group 2
section 0 2.2.2.3 2.2.2.3
#
security-policy
rule name policy_sec
source-zone trust
destination-zone isp1
destination-zone isp2
action permit
#
policy-based-route
rule name route_policy_isp1
source-zone trust
source-address range 10.3.0.51 10.3.0.100
action pbr next-hop 1.1.1.254
rule name route_policy_isp2
source-zone trust
source-address range 10.3.0.101 10.3.0.150
action pbr next-hop 2.2.2.254
#
nat-policy
rule name policy_nat_1
source-zone trust
destination-zone isp1
action nat address-group
rule name policy_nat_2
source-zone trust
destination-zone isp2
action nat address-group 2 |
Admin
2017-02-17 15:09:12
021-62279227
發(fā)送郵件
