Web举例:防火墙二层,上下行连接交换机的主备备份组网

Web举例:防火墙二层,上下行连接交换机的主备备份组网

介绍了业务接口工作在二层,上下行连接交换机的主备备份组网的Web举例。

组网需求

图1所示,两台FW的业务接口都工作在二层,上下行分别连接交换机。FW的上下行业务接口都加入到VLAN10和VLAN20中。

现在希望两台FW以主备备份方式工作。正常情况下,流量通过FW_A转发。当FW_A出现故障时,流量通过FW_B转发,保证业务不中断。

图1业务接口工作在二层,上下行连接交换机的主备备份组网

操作步骤
  1. 配置接口,完成网络基本配置。

    1. 在FW_A上配置接口。

      1. 选择"网络 > 接口"。

      2. 单击GE1/0/3,按如下参数配置,单击"确定"。

        | 安全区域 | untrust |
        | 模式 | 交换 |
        | 连接类型 | Trunk |

        Trunk VLAN ID 10,20
      3. 参考上述步骤按如下参数配置GE1/0/7接口。

        | 安全区域 | trust |
        | 模式 | 交换 |
        | 连接类型 | Trunk |

        Trunk VLAN ID 10,20
      4. 参考上述步骤按如下参数配置GE1/0/2接口。

        | 安全区域 | dmz |
        | IPv4 ||

        IP地址 10.10.0.1/24
    2. 在FW_B上配置接口。

      1. 选择"网络 > 接口"。

      2. 单击GE1/0/3,按如下参数配置,单击"确定"。

        | 安全区域 | untrust |
        | 模式 | 交换 |
        | 连接类型 | Trunk |

        Trunk VLAN ID 10,20
      3. 参考上述步骤按如下参数配置GE1/0/7接口。

        | 安全区域 | trust |
        | 模式 | 交换 |
        | 连接类型 | Trunk |

        Trunk VLAN ID 10,20
      4. 参考上述步骤按如下参数配置GE1/0/2接口。

        | 安全区域 | dmz |
        | IPv4 ||

        IP地址 10.10.0.2/24
  2. 配置双机热备功能。

    1. 在FW_A上配置双机热备功能。

      1. 选择"系统 > 高可靠性 > 双机热备",单击"配置"。
      2. 开启"双机热备"后,按如下参数配置,单击"确定"。
    2. 在FW_B上配置双机热备功能。

      1. 选择"系统 > 高可靠性 > 双机热备",单击"配置"。
      2. 开启"双机热备"后,按如下参数配置,单击"确定"。
  3. 配置安全策略。

    双机热备状态成功建立后,FW_A的安全策略配置会自动备份到FW_B上。

    1. 选择"策略 > 安全策略 > 安全策略"。

    2. 单击"新建安全策略",按照如下参数配置安全策略,单击"确定"。

      | 名称 | policy_sec1 |
      | 源安全区域 | trust |
      | 目的安全区域 | untrust |

      动作 允许
  4. 配置Switch。

    分别将两台Switch的三个接口加入同一个VLAN,具体配置命令请参考交换机的相关文档。

结果验证

选择"系统 > 高可靠性 > 双机热备",查看双机热备的运行情况。

  • 正常情况下,FW_A的"当前运行模式"为"主备备份","当前运行角色"为"主用";FW_B的"当前运行模式"为"主备备份","当前运行角色"为"备用"。这说明流量FW_A转发。
  • 当FW_A出现故障时,FW_A的"当前运行模式"为"主备备份","当前运行角色"为"备用";FW_B的"当前运行模式"为"主备备份","当前运行角色"为"主用"。这说明流量通过FW_B转发。
配置脚本
FW_A FW_B
# sysname FW_A # vlan batch 10 20 # hrp enable hrp interface GigabitEthernet1/0/2 remote 10.10.0.2 hrp track vlan 10 hrp track vlan 20 # interface GigabitEthernet1/0/3 portswitch port link-type trunk port trunk allow-pass vlan 10 20 undo port trunk allow-pass vlan 1 # interface GigabitEthernet1/0/7 portswitch port link-type trunk port trunk allow-pass vlan 10 20 undo port trunk allow-pass vlan 1 # interface GigabitEthernet1/0/2 ip address 10.10.0.1 255.255.255.0 # firewall zone trust set priority 85 add interface GigabitEthernet1/0/7 # firewall zone untrust set priority 5 add interface GigabitEthernet1/0/3 # firewall zone dmz set priority 50 add interface GigabitEthernet1/0/2 # security-policy rule name policy_sec source-zone trust destination-zone untrust action permit # sysname FW_B # vlan batch 10 20 # hrp enable hrp interface GigabitEthernet1/0/2 remote 10.10.0.1 hrp track vlan 10 hrp track vlan 20 hrp standby-device # interface GigabitEthernet1/0/3 portswitch port link-type trunk port trunk allow-pass vlan 10 20 undo port trunk allow-pass vlan 1 # interface GigabitEthernet1/0/7 portswitch port link-type trunk port trunk allow-pass vlan 10 20 undo port trunk allow-pass vlan 1 # interface GigabitEthernet1/0/2 ip address 10.10.0.2 255.255.255.0 # firewall zone trust set priority 85 add interface GigabitEthernet1/0/7 # firewall zone untrust set priority 5 add interface GigabitEthernet1/0/3 # firewall zone dmz set priority 50 add interface GigabitEthernet1/0/2 # security-policy rule name policy_sec source-zone trust destination-zone untrust action permit
相关推荐
Billy Qin23 分钟前
Shell四种配置文件的区别(~/.bashrc ~/.bash_profile ~/.zshrc ~/.profile)
开发语言·bash
JQLvopkk42 分钟前
C#中编写TCP客户端和服务端
开发语言·tcp/ip·c#
꧁坚持很酷꧂43 分钟前
Qt远程连接数据库,注册,登录
开发语言·数据库·qt
十五年专注C++开发1 小时前
QT 中的元对象系统(五):QMetaObject::invokeMethod的使用和实现原理
开发语言·数据结构·c++·qt·设计模式
weixin_428498491 小时前
使用MATIO库读取Matlab数据文件中的多维数组
开发语言·matlab
渴望脱下狼皮的羊1 小时前
C++基础讲解
开发语言·c++·后端
Tttian6221 小时前
Python办公自动化(4)对PPT&邮箱的操作
开发语言·python
倒霉蛋小马1 小时前
【Java集合】LinkedList源码深度分析
java·开发语言
pk_xz1234561 小时前
python加载训练好的模型并进行叶片实例分割预测
开发语言·python
独好紫罗兰1 小时前
洛谷题单3-P1075 [NOIP 2012 普及组] 质因数分解-python-流程图重构
开发语言·python·算法