0
点赞
收藏
分享

微信扫一扫

华为防火墙自学实录_02配置防火墙双机热备

Go_Viola 2022-05-11 阅读 227
双机热备华为防火墙enspNAPT安全技术网络/安全
加载失败

防火墙直路部署,上下行连接交换机

组网需求

如下图所示,企业的两台FW的业务接口都工作在三层,上下行分别连接二层交换机。上行交换机连接运营商的接入点,运营商为企业分配的IP地址为1.1.1.1。现在希望两台FW以主备备份方式工作。正常情况下,流量通过FW_A转发。当FW_A出现故障时,流量通过FW_B转发,保证业务不中断。

业务接口工作在三层,上下行连接交换机的主备备份组网

华为防火墙自学实录_02配置防火墙双机热备_双机热备操作步骤

1、防火墙基础配置

FW1上的配置IP地址

[FW1]interface GigabitEthernet 1/0/1
[FW1-GigabitEthernet1/0/1]ip address 10.0.2.1 255.255.255.0
[FW1-GigabitEthernet1/0/1]undo shutdown   
[FW1-GigabitEthernet1/0/1]quit 
[FW1]interface GigabitEthernet 1/0/2
[FW1-GigabitEthernet1/0/2]ip address 10.0.3.1 255.255.255.0
[FW1-GigabitEthernet1/0/2]undo shutdown 
[FW1-GigabitEthernet1/0/2]quit 
[FW1]interface GigabitEthernet 1/0/6  
[FW1-GigabitEthernet1/0/6]ip address 10.10.0.1 255.255.255.0
[FW1-GigabitEthernet1/0/6]undo shutdown 
[FW1-GigabitEthernet1/0/6]quit

FW1接口加入相应区域

[FW1]firewall zone untrust 
[FW1-zone-untrust]add interface GigabitEthernet 1/0/1
[FW1-zone-untrust]quit 
[FW1]firewall zone trust 
[FW1-zone-trust]add interface GigabitEthernet 1/0/2
[FW1-zone-trust]quit 
[FW1]firewall zone dmz 
[FW1-zone-dmz]add interface GigabitEthernet 1/0/6
[FW1-zone-dmz]quit

FW1查看配置结果

华为防火墙自学实录_02配置防火墙双机热备_双机热备_02

FW2上配置IP地址

[FW2]interface GigabitEthernet 1/0/1
[FW2-GigabitEthernet1/0/1]ip address 10.0.2.2 255.255.255.0
[FW2-GigabitEthernet1/0/1]undo shutdown 
[FW2-GigabitEthernet1/0/1]quit 
[FW2]interface GigabitEthernet 1/0/2
[FW2-GigabitEthernet1/0/2]ip address 10.0.3.2 255.255.255.0
[FW2-GigabitEthernet1/0/2]undo shutdown 
[FW2-GigabitEthernet1/0/2]quit 
[FW2]interface GigabitEthernet 1/0/6
[FW2-GigabitEthernet1/0/6]ip address 10.10.0.2 255.255.255.0
[FW2-GigabitEthernet1/0/6]undo shutdown 
[FW2-GigabitEthernet1/0/6]quit

FW2接口加入相应的区域

[FW2]firewall zone untrust 
[FW2-zone-untrust]add interface GigabitEthernet 1/0/1
[FW2-zone-untrust]quit 
[FW2]firewall zone trust 
[FW2-zone-trust]add interface GigabitEthernet 1/0/2
[FW2-zone-trust]quit 
[FW2]firewall zone dmz 
[FW2-zone-dmz]add interface GigabitEthernet 1/0/6
[FW2-zone-dmz]quit

FW2查看配置结果

华为防火墙自学实录_02配置防火墙双机热备_NAPT_03

2、配置vrrp备份组

# 在FW1上行业务接口GE1/0/1上配置VRRP备份组1,并设置其状态为Active。在FW2上行业务接口GE1/0/1上配置VRRP备份组1,并设置其状态为Standby。需要注意的是如果接口的IP地址与VRRP备份组地址不在同一网段,则配置VRRP备份组地址时需要指定掩码。

FW1上的配置

[FW1]interface GigabitEthernet 1/0/1
[FW1-GigabitEthernet1/0/1]vrrp vrid 1 virtual-ip 1.1.1.1 24 active  
[FW1-GigabitEthernet1/0/1]quit

FW2上的配置

[FW2]interface GigabitEthernet 1/0/1
[FW2-GigabitEthernet1/0/1]vrrp vrid 1 virtual-ip 1.1.1.1 24 standby 
[FW2-GigabitEthernet1/0/1]quit

# 在FW1下行业务接口GE1/0/3上配置VRRP备份组2,并设置其状态为Active。在FW2下行业务接口GE1/0/3上配置VRRP备份组2,并设置其状态为Standby。

FW1上的配置

[FW1]interface GigabitEthernet 1/0/2  
[FW1-GigabitEthernet1/0/2]vrrp vrid 2 virtual-ip 10.0.3.3 active 
[FW1-GigabitEthernet1/0/2]quit

FW2上的配置

[FW2]interface GigabitEthernet 1/0/2
[FW2-GigabitEthernet1/0/2]vrrp vrid 2 virtual-ip 10.0.3.3 standby   
[FW2-GigabitEthernet1/0/2]quit

3、指定心跳口并启用双机热备功能。

FW1上的配置

[FW1]hrp interface GigabitEthernet 1/0/6 remote 10.10.0.2
[FW1]hrp enable

FW2上的配置

[FW2]hrp interface GigabitEthernet 1/0/6 remote 10.10.0.1
[FW2]hrp enable

验证结果

华为防火墙自学实录_02配置防火墙双机热备_华为防火墙_04

4、在FW_A上配置安全策略。双机热备状态成功建立后,FW_A的安全策略配置会自动备份到FW_B上。 

# 配置安全策略,允许内网用户访问Internet。

HRP_M[FW1]security-policy 
HRP_M[FW1-policy-security]rule name tr_to_unt
HRP_M[FW1-policy-security-rule-tr_to_unt]source-zone trust 
HRP_M[FW1-policy-security-rule-tr_to_unt]destination-zone untrust  
HRP_M[FW1-policy-security-rule-tr_to_unt]source-address 10.0.3.0 24   
HRP_M[FW1-policy-security-rule-tr_to_unt]access-authentication    
HRP_M[FW1-policy-security-rule-tr_to_unt]action permit 
HRP_M[FW1-policy-security-rule-tr_to_unt]quit 
HRP_M[FW1-policy-security]quit

5、在FW_A上配置NAT策略。双机热备状态成功建立后,FW_A的NAT策略配置会自动备份到FW_B上。  

# 配置NAT策略,当内网用户访问Internet时,将源地址由10.3.0.0/16网段转换为地址池中的地址(1.1.1.2-1.1.1.5)。

HRP_M[FW1]nat address-group ad1
HRP_M[FW1-address-group-ad1]section 0 1.1.1.2 1.1.1.5
HRP_M[FW1-address-group-ad1]quit 
HRP_M[FW1]nat-policy 
HRP_M[FW1-policy-nat]rule name policy_nat1 
HRP_M[FW1-policy-nat-rule-policy_nat1]source-zone trust 
HRP_M[FW1-policy-nat-rule-policy_nat1]destination-zone untrust
HRP_M[FW1-policy-nat-rule-policy_nat1]source-address 10.0.3.0 24 
HRP_M[FW1-policy-nat-rule-policy_nat1]action source-nat address-group ad1 
HRP_M[FW1-policy-nat-rule-policy_nat1]quit 
HRP_M[FW1-policy-nat]quit

6、防火墙配置默认路由

FW1上的配置

HRP_M[FW1]ip route-static 0.0.0.0 0.0.0.0 1.1.1.10

FW2上的配置

HRP_S[FW2]ip route-static 0.0.0.0 0.0.0.0 1.1.1.10

7、PC上测试

华为防火墙自学实录_02配置防火墙双机热备_NAPT_05

抓包结果

华为防火墙自学实录_02配置防火墙双机热备_双机热备_06

查看会话表

华为防火墙自学实录_02配置防火墙双机热备_ensp_07

华为防火墙自学实录_02配置防火墙双机热备_华为防火墙_08



举报

相关推荐

防火墙双机热备

双机热备优先级VRRPVGMP路由交换网络/安全私藏项目实操分享

04-防火墙双机热备

网络华为安全

华为防火墙vsys之虚拟防火墙配置

华为网络服务器虚拟系统虚拟化jQuery前端开发

防火墙双机热备与NAT Server结合使用

spring boot架构后端

华为防火墙

网络协议

(华为配置)防火墙双机热备+BFD联动故障切换实验报告

运维网络安全

华为eNSP配置防火墙

服务器华为

华为防火墙配置笔记

华为设备配置外网ip地址内网Java编程语言

华为防火墙:双机热备,上下行连接交换机

双机热备安全策略自动备份通信技术网络/安全

防火墙

网络连接应用程序网络数据Linux系统/运维
0 条评论
加载失败