Web举例:防火墙直路部署,上下行连接交换机的负载分担组网
介绍了业务接口工作在三层,上下行连接交换机的负载分担组网的Web举例。
组网需求
如图1所示,两台FW的业务接口都工作在三层,上下行分别连接二层交换机。上行交换机连接运营商的接入点,运营商为企业分配的IP地址为1.1.1.3和1.1.1.4。现在希望两台FW以负载分担方式工作。正常情况下,FW_A和FW_B共同转发流量。当其中一台FW出现故障时,另外一台FW转发全部业务,保证业务不中断。
操作步骤
- 配置接口,完成网络基本配置。
- 配置缺省路由。
- 配置双机热备功能。
- 在FW_A上配置双机热备功能。
- 在FW_B上配置双机热备功能。
- 对于双机热备的负载分担组网,为了防止两台设备进行NAT转换时端口冲突,需要在FW_A和FW_B上分别配置可用的端口范围,当前无法在Web界面上进行配置,请在界面右下方点击“CLI控制台”,调出CLI配置界面进行配置。
双机热备的负载分担场景下,两台FW共用同一个NAT地址池时,在NAPT模式下有可能两台设备分配的公网端口出现冲突。为了避免这种可能存在的冲突,需要在两台设备上分别配置各自可使用的NAT资源(包括公网IP地址和公网端口号)。此时,可以在主设备上配置hrp nat resource primary-group命令,备设备上会自动生成hrp nat resource secondary-group命令(如果主设备上配置的是hrp nat resource secondary-group命令,则备设备上将自动对应生成hrp nat resource primary-group命令)。
在FW_A上进行如下配置:
HRP_M[FW_A] hrp nat resource primary-group在FW_B上进行如下配置:
HRP_S[FW_B] hrp nat resource secondary-group
- 在FW_A上配置双机热备功能。
- 在内网的设备上配置缺省路由,将部分设备的下一跳设置为VRRP备份组3的虚拟IP地址10.3.0.3,另一部分设备的下一跳设置为VRRP备份组4的虚拟IP地址10.3.0.4。
- 配置安全策略。
在FW_A上配置的安全策略会自动备份到FW_B上。
- 配置NAT策略,使内网用户通过转换后的公网IP地址访问Internet。
在FW_A上配置的NAT策略会自动备份到FW_B上。
- 选择。
- 选择。
结果验证
选择,查看双机热备的运行情况。
- 正常情况下,FW_A的“当前运行模式”为“负载分担”,“当前运行角色”为“主用”;FW_B的“当前运行模式”为“负载分担”,“当前运行角色”为“主用”。这说明流量通过两台FW共同转发。
- 当FW_A出现故障时,FW_A的“当前运行模式”为“主备备份”,“当前运行角色”为“备用”;FW_B的“当前运行模式”为“主备备份”,“当前运行角色”为“主用”。这说明流量通过FW_B转发。
配置脚本
|
FW_A |
FW_B |
|---|---|
# hrp mirror session enable hrp enable hrp interface GigabitEthernet 1/0/7 remote 10.10.0.2 hrp nat resource primary-group # interface GigabitEthernet 1/0/1 ip address 10.2.0.1 255.255.255.0 vrrp vrid 1 virtual-ip 1.1.1.3 255.255.255.0 active vrrp vrid 2 virtual-ip 1.1.1.4 255.255.255.0 standby # interface GigabitEthernet 1/0/3 ip address 10.3.0.1 255.255.255.0 vrrp vrid 3 virtual-ip 10.3.0.3 active vrrp vrid 4 virtual-ip 10.3.0.4 standby # interface GigabitEthernet 1/0/7 ip address 10.10.0.1 255.255.255.0 # firewall zone trust set priority 85 add interface GigabitEthernet 1/0/3 # firewall zone dmz set priority 50 add interface GigabitEthernet1/0/7 # firewall zone untrust set priority 5 add interface GigabitEthernet 1/0/1 # ip route-static 0.0.0.0 0.0.0.0 GigabitEthernet 1/0/1 1.1.1.10 # nat address-group addressgroup1 0 section 0 1.1.2.5 1.1.2.8 # security-policy rule name policy_sec source-zone trust destination-zone untrust source-address 10.3.0.0 24 action permit # nat-policy rule name policy_nat source-zone trust destination-zone untrust action source-nat address-group addressgroup1 |
# hrp mirror session enable hrp enable hrp interface GigabitEthernet 1/0/7 remote 10.10.0.1 hrp nat resource secondary-group # interface GigabitEthernet 1/0/1 ip address 10.2.0.2 255.255.255.0 vrrp vrid 1 virtual-ip 1.1.1.3 255.255.255.0 standby vrrp vrid 2 virtual-ip 1.1.1.4 255.255.255.0 active # interface GigabitEthernet 1/0/3 ip address 10.3.0.2 255.255.255.0 vrrp vrid 3 virtual-ip 10.3.0.3 standby vrrp vrid 4 virtual-ip 10.3.0.4 active # interface GigabitEthernet 1/0/7 ip address 10.10.0.2 255.255.255.0 # firewall zone trust set priority 85 add interface GigabitEthernet 1/0/3 # firewall zone dmz set priority 50 add interface GigabitEthernet1/0/7 # firewall zone untrust set priority 5 add interface GigabitEthernet 1/0/1 # ip route-static 0.0.0.0 0.0.0.0 GigabitEthernet 1/0/1 1.1.1.10 # nat address-group addressgroup1 0 section 0 1.1.2.5 1.1.2.8 # security-policy rule name policy_sec source-zone trust destination-zone untrust source-address 10.3.0.0 24 action permit # nat-policy rule name policy_nat source-zone trust destination-zone untrust action source-nat address-group addressgroup1 |