1.实验概述 某客户有AF组网需求,需要在客户网络环境中部署我司AF完成AF组网。 本次实验需要完成以下配置: 设备 | 目标 | 注意事项 | | | | | | | | | | 配置DNAT,外部用户可以通过地址 10.10.0.200 访问到总部业务系统。 | | | | | | |
本实验主要包含以下操作具体实验场景,AF 部署模式配置(路由、透明和混合模式部署)、AF 高可用性配置(主备部署和主主部署)、路由配置。在进行这些实验时,本手册会简单的操作步骤指引及简单原理说明。 IP地址及端口规划: 2.实验场景
主机(192.168.0.20)配置心跳线路。在【系统】-【高可用性】-【双机热备】选择[配置]勾选<启用>,运行模式勾选<主备备份>,填写规划好的对端心跳口IP地址5.5.5.2和数据同步接口地址6.6.6.2。
备机(AF-2)(192.168.0.21)配置心跳口。备控配置心跳口。进入【网络】-【接口】-【物理接口】选择eth4口配置心跳口IP地址,本实验中设置为5.5.5.2/30。eth5口配置数据同步接口地址,本实验中设置为6.6.6.2/30。
备机配置心跳线路。在【系统】-【高可用性】-【双机热备】选择[配置]勾选<启用>,运行模式勾选<主备备份>,填写对端心跳口IP地址5.5.5.1和数据同步接口地址6.6.6.1。
备控(AF-4)(192.168.0.23)配置心跳口。进入【网络】-【接口】-【物理接口】选择eth3口配置心跳口IP地址,本实验中设置为2.2.2.2/30。eth4口配置数据同步接口地址,本实验中设置为3.3.3.2/30。
参见2.1.2透明模式配置。 3.注意事项在路由模式部署时,防火墙位于内部网络和外部网络之间,负责在内部网络、外部网络中进行路由寻址,相当于路由器。其与内部网络、外部网络相连的上下行业务接口均工作在三层,需要分别配置不同网段的IP地址。 路由模式部署支持更多的安全特性,如NAT、策略路由选择,动态路由协议(OSPF、BGP、RIP等)等。 需要修改原网络拓扑,对现有环境改动较大。 一般部署在需要进行路由转发的位置,如出口路由器或替换已有路由器、老防火墙等场景。
需将实际业务口接口联动,防止链路故障导致业务中断。 数据同步口的接口带宽要大于等于业务口。 MANAGE口可做心跳口,但不能做双机的业务口。 不要使用两个成对的bypass接口做双机,避免广播风暴。(8.0.51暂时不支持bypass) 心跳口建议使用聚合接口,如无条件做聚合接口,也可以单线路。 透明主主需将实际业务口做接口联动,防止链路故障导致业务中断。 双机聚合数据同步接口支持使用双机聚合接口。 管理口也可以作为双机同步口或者业务口。 路由主主模式的时候,根据组0的情况来判断设备是主控还是备控,组0是主机的时候,在配置同步中就是主机,反之则是备机。
存在策略路由的情况下,配置默认路的目的是为了防止策略路由模块失效影响客户网络。 源地址策略路由和多线路负载路由都需要设置链路故障检测,否则无法实现链路切换,源地址策略路由是单独设置,而多链路负载路由是调用接口的链路检测。 策略路由匹配顺序为从上往下匹配,一旦匹配到则不再向下匹配。 子接口和VLAN接口不支持策略路由。
地址转换只适用于路由口。 数据包要来回流量都经过AF。
- 确保AF与内网服务器发布的端口能通信,而不是只要AF能ping通服务器就行。
- 确保运营商对映射出来的端口没有做封堵,验证方法可以在AF的外网接口抓包,看测试的源IP地址发起请求的数据包有没有到达外网接口。4.测试效果
配置无误策略路由可出现效果。 配置无误用户可以正常上网。
|