配置双机热备直路部署（二层模式）

只看该作者 · 发表于 2022-11-20 14:50

配置双机热备直路部署（二层模式）[size=13.3333px]

本节介绍了两台USG9000作为二层安全防护设备，双机部署在数据中心出口处的典型配置案例。USG9000的上下行设备之间运行OSPF。

组网需求

如图1所示，两台USG9000二层透明部署在企业数据中心出口处，保证企业数据中心的安全。USG9000上行连接三层交换机（企业核心交换机），下行连接三层交换机（数据中心的汇聚交换机）。USG9000的上下行交换机之间运行OSPF。

企业希望两台USG9000以负载分担方式工作。正常情况下，USG9000_A和USG9000_B共同转发流量。当其中一台USG9000出现故障时，另外一台USG9000转发全部业务，保证业务不中断。

图1 双机热备透明接入三层网络组网图

配置思路

由于USG9000是透明接入三层网络，因此首先需要将USG9000的业务接口切换成二层接口，然后将业务接口加入同一VLAN。
由于希望两台USG9000组成双机热备组网，而且处于负载分担状态，因此需要配置VGMP管理组监控业务接口所在VLAN。
指定GE1/0/7为心跳接口，并启用双机热备功能。
双机热备功能配置完成后，需要在USG9000_A上配置安全策略、IPS、攻击防范等安全功能。USG9000_A的配置会自动备份到USG9000_B。本举例中仅给出安全策略的配置作为示意。

操作步骤

配置接口。

# 将USG9000_A和USG9000_B的各业务接口切换成二层接口。下面仅以USG9000_A的GE1/0/0接口的切换配置为例。
<USG9000_A> system-view[USG9000_A] interface GigabitEthernet 1/0/0[USG9000_A-GigabitEthernet1/0/0] portswitch[USG9000_A-GigabitEthernet1/0/0] quit
# 分别将USG9000_A和USG9000_B的各业务接口加入同一VLAN。
下面以USG9000_A的配置过程为例。USG9000_B的配置与USG9000_A完全相同。
[USG9000_A] vlan2[USG9000_A-vlan2] port GigabitEthernet 1/0/0 to GigabitEthernet 1/0/4[USG9000_A-vlan2] quit
# 配置USG9000_A的心跳接口的IP地址。
[USG9000_A] interface GigabitEthernet 1/0/7[USG9000_A-GigabitEthernet1/0/7] ip address 10.10.0.1 24[USG9000_A-GigabitEthernet1/0/7] quit
# 配置USG9000_B的心跳接口的IP地址。
[USG9000_B] interface GigabitEthernet 1/0/7[USG9000_B-GigabitEthernet1/0/7] ip address 10.10.0.2 24[USG9000_B-GigabitEthernet1/0/7] quit
# 将USG9000_A和USG9000_B的上行业务接口加入untrust区域，下行业务接口加入trust区域，心跳口加入dmz区域。
下面以USG9000_A为例介绍将接口加入安全区域的过程。USG9000_B的配置与USG9000_A完全相同。
[USG9000_A] firewall zone untrust[USG9000_A-zone-untrust] add interface GigabitEthernet 1/0/0[USG9000_A-zone-untrust] add interface GigabitEthernet 1/0/1[USG9000_A-zone-untrust] quit[USG9000_A] firewall zone dmz[USG9000_A-zone-dmz] add interface GigabitEthernet 1/0/7[USG9000_A-zone-dmz] quit[USG9000_A] firewall zone trust[USG9000_A-zone-trust] add interface GigabitEthernet 1/0/2[USG9000_A-zone-trust] add interface GigabitEthernet 1/0/3[USG9000_A-zone-trust] add interface GigabitEthernet 1/0/4[USG9000_A-zone-trust] quit
配置VGMP组监控业务接口所在VLAN。

在USG9000_A上配置VGMP组监控业务接口所在VLAN。
[USG9000_A] hrp track vlan 2
在USG9000_B上配置VGMP组监控业务接口所在VLAN。
[USG9000_B] hrp track vlan 2
指定心跳接口，启用双机热备。

由于是负载分担组网，因此需要启用会话快速备份功能。
在USG9000_A上指定心跳接口，启用双机热备。
[USG9000_A] hrp interface GigabitEthernet 1/0/7 remote 10.10.0.2[USG9000_A] hrp enable[USG9000_A] hrp mirror session enable
在USG9000_B上指定心跳接口，启用双机热备。
[USG9000_B] hrp interface GigabitEthernet 1/0/7 remote 10.10.0.1[USG9000_B] hrp enable[USG9000_B] hrp mirror session enable
配置安全策略。

在USG9000_A上配置安全策略，允许外网用户访问数据中心的一般业务区（网段为192.168.0.0/16，端口为80）。USG9000_A上配置的安全策略会自动备份到USG9000_B上。
[USG9000_A] policy interzone trust untrust inbound[USG9000_A-policy-interzone-trust-untrust-inbound] policy 1[USG9000_A-policy-interzone-trust-untrust-inbound-1] policy destination 192.168.0.0 mask 16 [USG9000_A-policy-interzone-trust-untrust-inbound-1] policy service service-set http[USG9000_A-policy-interzone-trust-untrust-inbound-1] action permit[USG9000_A-policy-interzone-trust-untrust-inbound-1] quit[USG9000_A-policy-interzone-trust-untrust-inbound] quit

结果验证

在USG9000_A和USG9000_B上分别执行display hrp state命令，查看双机热备的状态。
<USG9000_A> display hrp state Role: active, peer: active Running priority: 47002, peer: 47002 Core state: normal, peer: normal Backup channel usage: 3% Stable time: 0 days, 5 hours, 1 minutes
可以看到本端和对端优先级相同，且状态都为active，说明两台USG9000处于负载分担状态。
在USG9000_A和USG9000_B上分别执行命令display firewall session table，可以看到两台USG9000上都存在外网去往数据中心服务器的会话，说明双机热备负载分担配置成功。