介绍两台FW旁挂在数据中心核心交换机侧的典型配置案例。经过核心交换机的流量通过静态路由方式被引流到旁挂的FW。
组网需求
如图1所示,两台FW旁挂在数据中心的核心交换机侧,保证数据中心网络安全。通过核心交换机的流量都会被引流到旁挂的FW上进行安全检测,引流的方式为静态路由方式。企业希望两台FW以主备备份方式工作。正常情况下,流量通过FW_A转发。当FW_A出现故障时,流量通过FW_B转发,保证业务不中断。
配置思路
-
如图2所示,如果希望通过静态路由方式将经过核心交换机的流量引导到FW,则需要在核心交换机上配置静态路由,下一跳为防火墙接口的地址。但是由于核心交换机与上行路由器和下行汇聚交换机之间运行OSPF,因此流量到达核心交换机后会直接被转发到上行或下行设备,而不会被引流到FW上。
所以如果希望通过静态路由引流,就必须在核心交换机上配置VRF功能,将一台交换机虚拟成连接上行的交换机(根交换机Public)和连接下行的交换机(虚拟交换机VRF)。由于虚拟出的两个交换机完全隔离开来,流量就会被送到FW上。
-
图2可以进一步抽象成图3。由于FW与上下行交换机(Public和VRF)之间运行静态路由,因此需要在FW和交换机上分别配置VRRP备份组,使他们能够通过VRRP备份组的虚拟地址进行通信。
如图3所示,在FW上需要配置静态路由,下一跳分别为VRRP备份组3和VRRP备份组4的地址。在Public上配置静态路由,下一跳为VRRP备份组2的地址。在VRF上配置静态路由,下一跳为VRRP备份组1的地址。
核心交换机与FW之间运行静态路由,与其他设备之间运行OSPF。图3中仅给出核心交换机与FW有关的接口信息。
-
双机热备功能配置完成后,需要在FW_A上配置安全策略、IPS、攻击防范等安全功能。FW_A的配置会自动备份到FW_B。本举例中仅给出安全策略的配置作为示意。
操作步骤
- 配置各接口的IP地址,并将接口加入安全区域。
下面以FW_A为例介绍接口的配置过程。FW_B的配置方法与FW_A完全相同。
- 配置静态路由。
# 下面仅以FW_A的配置过程为例。FW_B的配置与FW_A完全相同。
- 选择。
- 选择。
- 配置双机热备。
- 配置安全策略。
在FW_A上配置安全策略,允许外网用户访问数据中心的服务器区(网段为192.168.0.0/16,端口为80)。FW_A上配置的安全策略会自动备份到FW_B上。
- 配置核心交换机。
这里只给出交换机与防火墙对接的相关配置。
# 配置Switch1。
[Switch1] ip vpn-instance VRF //创建VRF [Switch1-vpn-instance-VRF] ipv4-family [Switch1-vpn-instance-VRF-af-ipv4] route-distinguisher 100:1 [Switch1-vpn-instance-VRF-af-ipv4] vpn-target 111:1 both [Switch1-vpn-instance-VRF-af-ipv4] quit [Switch1-vpn-instance-VRF] quit [Switch1] vlan 2 [Switch1-vlan2] port gigabitethernet 1/0/3 to 1/0/4 //将接口加入VLAN2 [Switch1-vlan2] quit [Switch1] interface Vlanif 2 [Switch1-Vlanif2] ip binding vpn-instance VRF //将VLANIF2绑定至VRF [Switch1-Vlanif2] ip address 10.0.0.4 24 [Switch1-Vlanif2] vrrp vrid 3 virtual-ip 10.0.0.6 //配置VRRP备份组3 [Switch1-Vlanif2] vrrp vrid 3 priority 120 //配置优先级为120,优先级高的为主用 [Switch1-Vlanif2] quit [Switch1] vlan 3 [Switch1-vlan3] port gigabitethernet 1/0/1 to 1/0/2 //将接口加入VLAN3 [Switch1-vlan3] quit [Switch1] interface Vlanif 3 [Switch1-Vlanif3] ip address 10.1.0.4 24 [Switch1-Vlanif3] vrrp vrid 4 virtual-ip 10.1.0.6 //配置VRRP备份组4 [Switch1-Vlanif3] vrrp vrid 4 priority 120 //配置优先级为120,优先级高的为主用 [Switch1-Vlanif3] quit [Switch1] ip route-static vpn-instance VRF 0.0.0.0 0.0.0.0 10.0.0.3 //在VRF中配置缺省路由,下一跳为VRRP备份组1的虚拟地址 [Switch1] ip route-static 192.168.0.0 255.255.0.0 10.1.0.3 //在根交换机Public中配置静态路由,下一跳为VRRP备份组2的虚拟地址
# 配置Switch2。
[Switch2] ip vpn-instance VRF //创建VRF [Switch2-vpn-instance-VRF] ipv4-family [Switch2-vpn-instance-VRF-af-ipv4] route-distinguisher 100:1 [Switch2-vpn-instance-VRF-af-ipv4] vpn-target 111:1 both [Switch2-vpn-instance-VRF-af-ipv4] quit [Switch2-vpn-instance-VRF] quit [Switch2] vlan 2 [Switch2-vlan2] port gigabitethernet 1/0/3 to 1/0/4 //将接口加入VLAN2 [Switch2-vlan2] quit [Switch2] interface Vlanif 2 [Switch2-Vlanif2] ip binding vpn-instance VRF //将VLANIF2绑定至VRF [Switch2-Vlanif2] ip address 10.0.0.5 24 [Switch2-Vlanif2] vrrp vrid 3 virtual-ip 10.0.0.6 //配置VRRP备份组3 [Switch2-Vlanif2] vrrp vrid 3 priority 100 //配置优先级为100,优先级低的为备用 [Switch2-Vlanif2] quit [Switch2] vlan 3 [Switch2-vlan3] port gigabitethernet 1/0/1 to 1/0/2 //将接口加入VLAN3 [Switch2-vlan3] quit [Switch2] interface Vlanif 3 [Switch2-Vlanif3] ip address 10.1.0.5 24 [Switch2-Vlanif3] vrrp vrid 4 virtual-ip 10.1.0.6 //配置VRRP备份组4 [Switch2-Vlanif3] vrrp vrid 4 priority 100 //配置优先级为100,优先级低的为备用 [Switch2-Vlanif3] quit [Switch2] ip route-static vpn-instance VRF 0.0.0.0 0.0.0.0 10.0.0.3 //在VRF中配置缺省路由,下一跳为VRRP备份组1的虚拟地址 [Switch2] ip route-static 192.168.0.0 255.255.0.0 10.1.0.3 //在根交换机Public中配置静态路由,下一跳为VRRP备份组2的虚拟地址
配置脚本
|
FW_A |
FW_B |
|---|---|
# hrp enable hrp interface GigabitEthernet 1/0/7 remote 10.10.0.2 # interface GigabitEthernet 1/0/2 ip address 10.0.0.1 255.255.255.0 vrrp vrid 1 virtual-ip 10.0.0.3 active # interface GigabitEthernet 1/0/3 ip address 10.1.0.1 255.255.255.0 vrrp vrid 2 virtual-ip 10.1.0.3 active # interface GigabitEthernet 1/0/7 ip address 10.10.0.1 255.255.255.0 # firewall zone trust set priority 85 add interface GigabitEthernet 1/0/2 # firewall zone dmz set priority 50 add interface GigabitEthernet1/0/7 # firewall zone untrust set priority 5 add interface GigabitEthernet 1/0/3 # ip route-static 0.0.0.0 0.0.0.0 10.1.0.6 ip route-static 192.168.0.0 255.255.0.0 10.0.0.6 # security-policy rule name policy_sec1 source-zone untrust destination-zone trust destination-address 192.168.0.0 16 service http action permit |
# hrp enable hrp interface GigabitEthernet 1/0/7 remote 10.10.0.1 # interface GigabitEthernet 1/0/2 ip address 10.0.0.2 255.255.255.0 vrrp vrid 1 virtual-ip 10.0.0.3 standby # interface GigabitEthernet 1/0/3 ip address 10.1.0.2 255.255.255.0 vrrp vrid 2 virtual-ip 10.1.0.3 standby # interface GigabitEthernet 1/0/7 ip address 10.10.0.2 255.255.255.0 # firewall zone trust set priority 85 add interface GigabitEthernet 1/0/2 # firewall zone dmz set priority 50 add interface GigabitEthernet1/0/7 # firewall zone untrust set priority 5 add interface GigabitEthernet 1/0/3 # ip route-static 0.0.0.0 0.0.0.0 10.1.0.6 ip route-static 192.168.0.0 255.255.0.0 10.0.0.6 # security-policy rule name policy_sec1 source-zone untrust destination-zone trust destination-address 192.168.0.0 16 service http action permit |