介绍了业务接口工作在二层,上下行连接路由器的负载分担组网的Web举例。
组网需求
如图1所示,两台FW的业务接口都工作在二层,上下行分别连接路由器。FW的上下行业务接口都加入到相同VLAN中。
上下行路由器之间运行OSPF协议,FW作为二层设备透传OSPF协议报文,不参与路由协议计算。
现在希望两台FW以负载分担方式工作。正常情况下,FW_A和FW_B共同转发流量。当其中一台FW出现故障时,另外一台FW转发全部业务,保证业务不中断。
操作步骤
- 配置接口,完成网络基本配置。
- 配置双机热备功能。
- 配置安全策略。
在FW_A上配置的安全策略会自动备份到FW_B上。
- 单击“新建安全策略”,按照如下参数配置安全策略,单击“确定”。
# 配置安全策略,允许上下行路由器交互的OSPF报文通过FW,以及允许内网外网之间的相互访问。
当FW的业务接口工作在二层时,上下行设备之间的OSPF报文需要通过FW。OSPF报文受firewall packet-filter basic-protocol enable命令控制。缺省情况下,firewall packet-filter basic-protocol enable处于开启状态,即OSPF报文受安全策略控制,需要在上行业务接口所在安全区域与下行业务接口所在安全区域之间配置安全策略,允许协议类型为OSPF的报文通过。本例以firewall packet-filter basic-protocol enable开启为例进行介绍。
名称
policy_ospf_1
源安全区域
trust
目的安全区域
untrust
源地址/地区
10.3.0.1/32,10.3.1.1/32
目的地址/地区
10.3.0.2/32,10.3.1.2/32
服务
ospf
动作
允许
名称
policy_ospf_2
源安全区域
untrust
目的安全区域
trust
源地址/地区
10.3.0.2/32,10.3.1.2/32
目的地址/地区
10.3.0.1/32,10.3.1.1/32
服务
ospf
动作
允许
名称
policy_sec
源安全区域
trust
目的安全区域
untrust
源地址/地区
10.3.2.0/24,10.3.3.0/24
动作
允许
- 单击“新建安全策略”,按照如下参数配置安全策略,单击“确定”。
- 配置路由器。
分别在四台路由器上配置OSPF,发布相邻网段,具体配置命令请参考路由器的相关文档。
结果验证
选择,查看双机热备的运行情况。
- 正常情况下,FW_A的“当前运行模式”为“负载分担”,“当前运行角色”为“主用”;FW_B的“当前运行模式”为“负载分担”,“当前运行角色”为“主用”。这说明流量通过两台FW共同转发。
- 当FW_A出现故障时,FW_A的“当前运行模式”为“主备备份”,“当前运行角色”为“备用”;FW_B的“当前运行模式”为“主备备份”,“当前运行角色”为“主用”。这说明流量通过FW_B转发。
配置脚本
|
FW_A |
FW_B |
|---|---|
# hrp enable hrp interface GigabitEthernet 1/0/7 remote 10.10.0.2 hrp mirror session enable hrp track vlan 2 # vlan batch 2 # interface GigabitEthernet 1/0/3 portswitch port default vlan 2 # interface GigabitEthernet 1/0/1 portswitch port default vlan 2 # interface GigabitEthernet 1/0/7 ip address 10.10.0.1 255.255.255.0 # firewall zone trust set priority 85 add interface GigabitEthernet 1/0/3 # firewall zone untrust set priority 5 add interface GigabitEthernet 1/0/1 # firewall zone dmz set priority 50 add interface GigabitEthernet1/0/7 # security-policy rule name policy_ospf_1 source-zone trust destination-zone untrust source-address 10.3.0.1 32 source-address 10.3.1.1 32 destination-address 10.3.0.2 32 destination-address 10.3.1.2 32 service ospf action permit rule name policy_ospf_2 source-zone untrust destination-zone trust source-address 10.3.0.2 32 source-address 10.3.1.2 32 destination-address 10.3.0.1 32 destination-address 10.3.1.1 32 service ospf action permit rule name policy_sec source-zone trust destination-zone untrust source-address 10.3.2.0 24 source-address 10.3.3.0 24 action permit |
# hrp enable hrp interface GigabitEthernet 1/0/7 remote 10.10.0.1 hrp mirror session enable hrp track vlan 2 # vlan batch 2 # interface GigabitEthernet 1/0/3 portswitch port default vlan 2 # interface GigabitEthernet 1/0/1 portswitch port default vlan 2 # interface GigabitEthernet 1/0/7 ip address 10.10.0.2 255.255.255.0 # firewall zone trust set priority 85 add interface GigabitEthernet 1/0/3 # firewall zone untrust set priority 5 add interface GigabitEthernet 1/0/1 # firewall zone dmz set priority 50 add interface GigabitEthernet1/0/7 # security-policy rule name policy_ospf_1 source-zone trust destination-zone untrust source-address 10.3.0.1 32 source-address 10.3.1.1 32 destination-address 10.3.0.2 32 destination-address 10.3.1.2 32 service ospf action permit rule name policy_ospf_2 source-zone untrust destination-zone trust source-address 10.3.0.2 32 source-address 10.3.1.2 32 destination-address 10.3.0.1 32 destination-address 10.3.1.1 32 service ospf action permit rule name policy_sec source-zone trust destination-zone untrust source-address 10.3.2.0 24 source-address 10.3.3.0 24 action permit |