Web举例:防火墙直路部署,上下行连接二层设备的主备备份组网介绍了业务接口工作在三层,上下行连接交换机的主备备份组网的举例。
组网图形 图1 业务接口工作在三层,上下行连接交换机的主备备份组网 组网需求如[url=mk MSITStore:E:\%E8%B5%84%E6%96%99\%E5%8D%8E%E4%B8%BA\%E9%98%B2%E7%81%AB%E5%A2%99\USG9000\HUAWEI%20USG6000&USG9500%20V500R001C60%20%E4%BA%A7%E5%93%81%E6%96%87%E6%A1%A3.chm::/admin/sec_case_ha_0001.html#sec_admin_ha_0038_2__fig1]图1[/url]所示,企业的两台FW的业务接口都工作在三层,上下行分别连接二层交换机。
上行交换机连接运营商的接入点,运营商为企业分配的IP地址为1.1.1.1。
现在希望两台FW以主备备份方式工作。正常情况下,流量通过FW_A转发。当FW_A出现故障时,流量通过FW_B转发,保证业务不中断。
操作步骤配置接口,完成网络基本配置。
在FW_A上配置接口。
选择“网络 > 接口”。
单击GE1/0/1,按如下参数配置。
安全区域
| untrust
| IPv4
| IP地址
| 10.2.0.1/24
| 默认网关
| 1.1.1.10
|
单击“确定”。
参考上述步骤按如下参数配置GE1/0/3接口。
安全区域
| trust
| IPv4
| IP地址
| 10.3.0.1/24
|
参考上述步骤按如下参数配置GE1/0/7接口。
安全区域
| dmz
| IPv4
| IP地址
| 10.10.0.1/24
|
在FW_B上配置接口。
选择“网络 > 接口”。
单击GE1/0/1,按如下参数配置。
安全区域
| untrust
| IPv4
| IP地址
| 10.2.0.2/24
| 默认网关
| 1.1.1.10
|
单击“确定”。
参考上述步骤按如下参数配置GE1/0/3接口。
安全区域
| trust
| IPv4
| IP地址
| 10.3.0.2/24
|
参考上述步骤按如下参数配置GE1/0/7接口。
安全区域
| dmz
| IPv4
| IP地址
| 10.10.0.2/24
|
配置缺省路由。
配置双机热备功能。
在FW_A上配置双机热备功能。
选择“系统 > 高可靠性 > 双机热备”。 单击“配置”。
选中“启用”前的复选框后,按如下参数配置。
单击“确定”。
在FW_B上配置双机热备功能。
选择“系统 > 高可靠性 > 双机热备”。 单击“配置”。 选中“启用”前的复选框后,按如下参数配置。
单击“确定”。
在内网的设备上配置缺省路由,下一跳为VRRP备份组2的虚拟IP地址10.3.0.3。 配置安全策略。
在FW_A上配置的安全策略会自动备份到FW_B上。
选择“策略 > 安全策略”。 单击“新建”。 按照如下参数配置安全策略。
名称
| policy_sec
| 源安全区域
| trust
| 目的安全区域
| untrust
| 源地址/地区
| 10.3.0.0/24
| 动作
| 允许
|
单击“确定”。
配置NAT策略,使内网用户通过转换后的公网IP地址访问Internet。
在FW_A上配置的NAT策略会自动备份到FW_B上。
选择“策略 > NAT策略 > 源NAT”。
选择“NAT地址池”页签。 单击“新建”。 按照如下参数配置NAT地址池。
名称
| addressgroup1
| IP地址范围
| 1.1.1.1-1.1.1.1
|
单击“确定”。 选择“源NAT”页签。 单击“新建”。 按照如下参数配置NAT策略。
名称
| policy_nat
| NAT类型
| NAT
| 源安全区域
| trust
| 目的类型
| 目的安全区域:untrust
| 转换后
| 转换方式
| 地址池中的地址
| 地址池
| addressgroup1
|
单击“确定”。
结果验证选择“系统 > 高可靠性 > 双机热备”,查看双机热备的运行情况。
|