以主备备份方式的双机热备为例,介绍双机热备与IP-Link联动。
组网需求
FW作为安全设备被部署在业务节点上。其中上下行设备均是路由器,FW_A、FW_B以主备备份方式工作。
组网图如图1所示,具体描述如下:
- 两台FW和路由器之间运行动态路由OSPF协议,由路由器根据路由计算结果,将业务流量发送到主用FW上。
- 将FW的上下行业务端口加入同一Link-group管理组,在链路故障时能够加快路由收敛速度。
- FW通过双机热备与IP-Link联动功能监控网络的出接口。当FW_A所在链路的网络出接口故障时,FW_B切换成主用设备,业务流量通过FW_B转发。
操作步骤
- 在FW_A上完成以下基本配置。
# 配置GigabitEthernet 1/0/1的IP地址。
<FW_A> system-view [FW_A] interface GigabitEthernet 1/0/1 [FW_A-GigabitEthernet1/0/1] ip address 10.100.10.2 24 [FW_A-GigabitEthernet1/0/1] quit
# 配置GigabitEthernet 1/0/1加入Trust区域。
[FW_A] firewall zone trust [FW_A-zone-trust] add interface GigabitEthernet 1/0/1 [FW_A-zone-trust] quit
# 配置GigabitEthernet 1/0/3的IP地址。
[FW_A] interface GigabitEthernet 1/0/3 [FW_A-GigabitEthernet1/0/3] ip address 10.100.30.2 24 [FW_A-GigabitEthernet1/0/3] quit
# 配置GigabitEthernet 1/0/3加入Untrust区域。
[FW_A] firewall zone untrust [FW_A-zone-untrust] add interface GigabitEthernet 1/0/3 [FW_A-zone-untrust] quit
# 配置GigabitEthernet 1/0/1和GigabitEthernet 1/0/3加入同一Link-group管理组。
[FW_A] interface GigabitEthernet 1/0/1 [FW_A-GigabitEthernet1/0/1] link-group 1 [FW_A-GigabitEthernet1/0/1] quit [FW_A] interface GigabitEthernet 1/0/3 [FW_A-GigabitEthernet1/0/3] link-group 1 [FW_A-GigabitEthernet1/0/3] quit
# 配置GigabitEthernet 1/0/2的IP地址。
[FW_A] interface GigabitEthernet 1/0/2 [FW_A-GigabitEthernet1/0/2] ip address 10.100.50.2 24 [FW_A-GigabitEthernet1/0/2] quit
# 配置GigabitEthernet 1/0/2加入DMZ区域。
[FW_A] firewall zone dmz [FW_A-zone-dmz] add interface GigabitEthernet 1/0/2 [FW_A-zone-dmz] quit
# 在FW_A上配置运行OSPF动态路由协议。
[FW_A] ospf 101 [FW_A-ospf-101] area 0 [FW_A-ospf-101-area-0.0.0.0] network 10.100.10.0 0.0.0.255 [FW_A-ospf-101-area-0.0.0.0] network 10.100.30.0 0.0.0.255 [FW_A-ospf-101-area-0.0.0.0] quit [FW_A-ospf-101] quit
# 配置根据HRP状态调整OSPF的相关COST值的功能。
FW部署于OSPF网络中做双机热备份时,必须配置该命令。
[FW] hrp adjust ospf-cost enable# 配置VGMP组监控业务接口。
[FW_A] hrp track interface GigabitEthernet 1/0/1 [FW_A] hrp track interface GigabitEthernet 1/0/3
# 配置IP-Link,监控网络出接口。
[FW_A] ip-link check enable [FW_A] ip-link name test [FW_A-iplink-test] destination 1.1.1.1 interface GigabitEthernet 1/0/3 [FW_A-iplink-test] quit
# 配置双机热备与IP-Link联动,由VGMP管理组监控IP-Link。当网络出接口故障时,IP-Link状态变为Down,VGMP管理组优先级降低2。
[FW_A] hrp track ip-link test# 配置HRP备份通道。
[FW_A] hrp interface GigabitEthernet 1/0/2 remote 10.100.50.3# 启动HRP。
[FW_A] hrp enable - 在FW_B上完成双机热备配置。
FW_B和FW_A的配置基本相同,不同之处在于:
- FW_B各接口的IP地址与FW_A各接口的IP地址不相同,且FW_B和FW_A对应的业务接口的IP地址不能在同一网段。
- 在FW_B上配置运行OSPF动态路由协议时,应该发布与FW_B的业务接口直接相连的网段的路由。
- 需要在FW_B上执行命令hrp standby-device,指定FW_B为备用设备。
- 在FW_B上配置双机热备与IP-Link联动。
[FW_B] ip-link check enable [FW_B] ip-link name test [FW_B-iplink-test] destination 2.2.2.2 interface GigabitEthernet 1/0/3 [FW_B-iplink-test] quit [FW_B] hrp track ip-link test
- 在FW_A上启动配置命令的自动备份、并配置安全策略。
当FW_A和FW_B都启动HRP功能完成后,在FW_A上开启配置命令的自动备份,这样在FW_A上配置的安全策略都将自动备份到FW_B。
# 启动配置命令的自动备份功能。
HRP_M[FW_A] hrp auto-sync config# 配置安全策略,使192.168.1.0/24网段用户可以访问Untrust区域。
HRP_M[FW_A] security-policy HRP_M[FW_A-policy-security] rule name ha HRP_M[FW_A-policy-security-rule-ha] source-zone trust HRP_M[FW_A-policy-security-rule-ha] destination-zone untrust HRP_M[FW_A-policy-security-rule-ha] source-address 192.168.1.0 24 HRP_M[FW_A-policy-security-rule-ha] action permit
# 配置安全策略,允许FW发送IP-Link探测报文。
对于V500R001C80之前的版本,IP-Link探测报文受安全策略控制,需要在Local区域与报文出接口所在安全区域之间配置安全策略,允许FW发送IP-Link探测报文。对于V500R001C80及之后的版本,IP-Link探测报文不受安全策略控制,默认被放行,无需配置安全策略。
HRP_M[FW_A-policy-security] rule name ip_link HRP_M[FW_A-policy-security-rule-ip_link] source-zone local HRP_M[FW_A-policy-security-rule-ip_link] destination-zone untrust HRP_M[FW_A-policy-security-rule-ip_link] action permit
- 配置路由器。
在路由器上配置OSPF,具体配置命令请参考路由器的相关文档。
配置脚本
FW_A配置脚本:
#
sysname FW_A
#
hrp enable
hrp interface GigabitEthernet 1/0/2 remote 10.100.50.3
hrp track interface GigabitEthernet 1/0/1
hrp track interface GigabitEthernet 1/0/3
hrp track ip-link test
#
ip-link check enable
ip-link name test
destination 1.1.1.1 interface GigabitEthernet 1/0/3
#
interface GigabitEthernet 1/0/1
ip address 10.100.10.2 255.255.255.0
link-group 1
#
interface GigabitEthernet 1/0/2
ip address 10.100.50.2 255.255.255.0
#
interface GigabitEthernet 1/0/3
ip address 10.100.30.2 255.255.255.0
link-group 1
#
firewall zone trust
add interface GigabitEthernet 1/0/1
#
firewall zone dmz
add interface GigabitEthernet 1/0/2
#
firewall zone untrust
add interface GigabitEthernet 1/0/3
#
ospf 101
area 0.0.0.0
network 10.100.10.0 0.0.0.255
network 10.100.30.0 0.0.0.255
#
security-policy
rule name ha
source-zone trust
destination-zone untrust
source-address 192.168.1.0 24
action permit
rule name ip_link
source-zone local
destination-zone untrust
action permit
#
return
FW_B配置脚本:
#
sysname FW_B
#
hrp enable
hrp standby-device
hrp interface GigabitEthernet 1/0/2 remote 10.100.50.2
hrp track interface GigabitEthernet 1/0/1
hrp track interface GigabitEthernet 1/0/3
hrp track ip-link test
#
ip-link check enable
ip-link name test
destination 2.2.2.2 interface GigabitEthernet 1/0/3
#
interface GigabitEthernet 1/0/1
ip address 10.100.20.2 255.255.255.0
link-group 1
#
interface GigabitEthernet 1/0/2
ip address 10.100.50.3 255.255.255.0
#
interface GigabitEthernet 1/0/3
ip address 10.100.40.2 255.255.255.0
link-group 1
#
firewall zone trust
add interface GigabitEthernet 1/0/1
#
firewall zone dmz
add interface GigabitEthernet 1/0/2
#
firewall zone untrust
add interface GigabitEthernet 1/0/3
#
ospf 101
area 0.0.0.0
network 10.100.20.0 0.0.0.255
network 10.100.40.0 0.0.0.255
#
security-policy
rule name ha
source-zone trust
destination-zone untrust
source-address 192.168.1.0 24
action permit
rule name ip_link
source-zone local
destination-zone untrust
action permit
#
return