本举例介绍了FW上配置虚拟系统后,下行多个虚拟系统通过交换机连接不同子网,上行共用根系统接口连接路由器的负载分担方式双机热备的Web配置方法。
组网需求
- 企业只有一个上行接口,所有部门都需要借用该接口访问Internet。
- 公司内网不同部门之间需要网络隔离,不能互访。
- 两台FW以负载分担方式工作。正常情况下,部门A流量通过FW_A转发,部门B流量通过FW_B转发。当FW_A或FW_B出现故障时,部门A和部门B流量都通过另一台FW转发,保证业务不中断。
- FW上下行链路状态保持一致,当一侧接口Down时,另一侧接口能保持联动,保证业务不中断。
数据规划
|
项目 |
数据 |
说明 |
|---|---|---|
|
接口 |
接口号:GigabitEthernet 1/0/1 IP地址:192.168.0.2/30 安全区域:Untrust |
根系统(public)上行接口 |
|
接口号:GigabitEthernet 1/0/2 IP地址:10.3.1.2/24 安全区域:Trust |
虚拟系统(vsysa)下行接口 |
|
|
接口号:GigabitEthernet 1/0/3 IP地址:10.3.2.2/24 安全区域:Trust |
虚拟系统(vsysb)下行接口 |
|
|
接口号:GigabitEthernet 1/0/7 IP地址:10.10.0.1/24 安全区域:DMZ |
心跳接口 |
|
|
VRRP备份组 |
VRRP备份组1:10.3.1.1/24 active |
- |
|
VRRP备份组2:10.3.2.1/24 standby |
- |
|
|
路由 |
黑洞路由 目的地址:1.1.1.1/32 |
根系统(public)NAT地址池的黑洞路由,防止路由环路 |
|
OSPF 100 发布的网段:192.168.0.0/30 引入静态路由 |
根系统(public)OSPF配置 |
|
项目 |
数据 |
说明 |
|---|---|---|
|
接口 |
接口号:GigabitEthernet 1/0/1 IP地址:192.168.0.10/30 安全区域:Untrust |
根系统(public)上行接口 |
|
接口号:GigabitEthernet 1/0/2 IP地址:10.3.1.3/24 安全区域:Trust |
虚拟系统(vsysa)下行接口 |
|
|
接口号:GigabitEthernet 1/0/3 IP地址:10.3.2.3/24 安全区域:Trust |
虚拟系统(vsysb)下行接口 |
|
|
接口号:GigabitEthernet 1/0/7 IP地址:10.10.0.2/24 安全区域:DMZ |
心跳接口 |
|
|
VRRP备份组 |
VRRP备份组1:10.3.1.1/24 standby |
- |
|
VRRP备份组2:10.3.2.1/24 active |
- |
|
|
路由 |
黑洞路由 目的地址:1.1.1.1/32 |
根系统(public)NAT地址池的黑洞路由,防止路由环路 |
|
OSPF 100 发布的网段:192.168.0.8/30 引入静态路由 |
根系统(public)OSPF配置 |
|
项目 |
数据 |
说明 |
|---|---|---|
|
接口 |
接口号:GigabitEthernet 1/0/1 IP地址:192.168.0.1/30 |
连接FW根系统(public) |
|
接口号:GigabitEthernet 1/0/2 IP地址:192.168.0.5/30 |
连接Router2 |
|
|
OSPF |
OSPF 100 发布的网段:192.168.0.0/30 引入缺省路由 |
- |
|
项目 |
数据 |
说明 |
|---|---|---|
|
接口 |
接口号:GigabitEthernet 1/0/1 IP地址:192.168.0.9/30 |
连接FW根系统(public) |
|
接口号:GigabitEthernet 1/0/2 IP地址:192.168.0.6/30 |
连接Router1 |
|
|
OSPF |
OSPF 100 发布的网段:192.168.0.8/30 引入缺省路由 |
- |
配置思路
- 通过在FW_A和FW_B创建不同的虚拟系统,实现不同部门之间的网络隔离。
- 通过在FW_A和FW_B配置虚拟系统和根系统之间的互访,实现不同虚拟系统共用根系统的接口访问Internet。
- FW_A和FW_B的业务接口工作在三层,上行连接路由器,运行OSPF协议,以负载分担方式工作,则需要配置OSPF、VGMP组监控业务接口,即配置基于OSPF的负载分担双机热备;下行连接交换机,则需要VRRP备份组;除此之外,还需完成心跳口配置和启用双机热备功能等基础配置。
- 通过在FW_A和FW_B上配置Link-Group,将根系统的上行接口和虚拟系统的下行接口加入同一个Link-Group中,保证上下行接口状态一致。
- 双机建立后,在FW_A上为内网用户访问Internet配置安全策略、NAT策略,FW_B上无需配置,会自动从FW_A上同步过来。
操作步骤
- 创建虚拟系统vsysa和vsysb,并为其分配接口。
请确保FW_A和FW_B上创建的虚拟系统名称和ID均相同。可以在虚拟系统创建好后,分别在两台设备上选择,查看“虚拟系统列表”中新建的虚拟系统名称和配置顺序应该一致。
- 在FW_A上,进入“面板”,在“设备信息”窗格中,单击“虚拟系统”所在行的“配置”,启用虚拟系统功能。
- 在FW_A上,选择,单击“新建”,配置资源类。
- 在FW_A上,选择,创建虚拟系统vsysa、vsysb,并为其分配接口和资源。
单击“新建”,选择“基础配置”页签,输入虚拟系统名称,并选择资源类,下图以vsysa为例。
选择“接口分配及公共接口设定”页签,为虚拟系统vsysa分配接口GE1/0/2,为虚拟系统vsysb分配接口GE1/0/3,下图以vsysa为例。
- 在FW_A上,进入“面板”,在“设备信息”窗格中,单击“虚拟系统”所在行的“配置”,启用虚拟系统功能。
- 配置接口。
- 配置FW_A的虚拟系统vsysa接口。
在FW_A上选择,单击接口所在行的“编辑”,按如下参数配置虚拟系统vsysa下行接口和虚拟接口Virtual-if1。其中,Virtual-if1的IP地址可设置为任意值,保证不与其他接口上的IP地址冲突即可。
虚拟系统Virtual-if的编号会根据系统中ID占用情况自动分配。所以实际配置时,可能不是Virtual-if1。
接口
GigabitEthernet 1/0/2
Virtual-if1
虚拟系统
vsysa
vsysa
安全区域
trust
untrust
IP地址
10.3.1.2/24
172.16.1.1/24
- 配置FW_A的虚拟系统vsysa接口。
- 配置静态路由。
- 配置FW_A上的静态路由。
在根系统中,选择,单击“新建”,按如下参数配置静态路由,这条静态路由的作用是将vsysa内员工访问Internet的回程流量引入vsysa。
参考上述步骤,按如下参数配置静态路由,这条静态路由的作用是将vsysb内员工访问Internet的回程流量引入vsysb。
参考上述步骤,按如下参数配置静态路由,这条静态路由的作用是将vsysa内员工访问Internet的流量引入根系统。
在本例中,对网络拓扑和路由配置进行了简化。假设vsysa只有私网跟Internet的通信需求,所以在路由配置中将“目的地址/掩码”配置为了0.0.0.0 0.0.0.0,即缺省所有报文都送往根系统。实际配置时,为了保证路由信息的准确,应该将“目的地址/掩码”配置为特定的允许访问的Internet地址范围。错误配置路由可能导致vsysa所连接的多个私网无法正常通信。
参考上述步骤,按如下参数配置静态路由,这条静态路由的作用是将vsysb内员工访问Internet的流量引入根系统。
在本例中,对网络拓扑和路由配置进行了简化。假设vsysb只有私网跟Internet的通信需求,所以在路由配置中将“目的地址/掩码”配置为了0.0.0.0 0.0.0.0,即缺省所有报文都送往根系统。实际配置时,为了保证路由信息的准确,应该将“目的地址/掩码”配置为特定的允许访问的Internet地址范围。错误配置路由可能导致vsysb所连接的多个私网无法正常通信。
- 配置FW_A上的静态路由。
- 配置OSPF。
- 在FW_A上选择,单击“新建”,新建OSPF 100,然后单击列表中的OSPF 100所在行的
,单击“新建”,按如下参数新建区域。
- 参考上述步骤,在FW_B上按如下参数设置完成OSPF的配置。
- 在FW_A上选择,单击“新建”,新建OSPF 100,然后单击列表中的OSPF 100所在行的
- 配置Link-Group功能,保证上下行接口状态一致。
- 在FW_A上选择,单击Link-Group1所在行的
,按如下参数设置,将根系统接口(上行接口)和虚拟系统接口(下行接口)加入到同一Link-Group组中。
- 在FW_A上选择,单击Link-Group1所在行的
- 配置双机热备功能。
- 在FW_A上选择,单击“配置”,开启“双机热备”后,按如下参数配置。
- 在FW_B上按如下参数设置完成双机热备的配置。
- 对于双机热备的负载分担组网,为了防止两台设备进行NAT转换时端口冲突,需要在FW_A和FW_B上分别配置可用的端口范围,当前无法在Web界面上进行配置,请在界面右下方点击“CLI控制台”,调出CLI配置界面进行配置。
双机热备的负载分担场景下,两台FW共用同一个NAT地址池时,在NAPT模式下有可能两台设备分配的公网端口出现冲突。为了避免这种可能存在的冲突,需要在两台设备上分别配置各自可使用的NAT资源(包括公网IP地址和公网端口号)。此时,可以在主设备上配置hrp nat resource primary-group命令,备设备上会自动生成hrp nat resource secondary-group命令(如果主设备上配置的是hrp nat resource secondary-group命令,则备设备上将自动对应生成hrp nat resource primary-group命令)。
在FW_A上进行如下配置:
HRP_M[FW_A] hrp nat resource primary-group在FW_B上进行如下配置:
HRP_S[FW_B] hrp nat resource secondary-group
- 在FW_A上选择,单击“配置”,开启“双机热备”后,按如下参数配置。
- 配置安全策略。
安全策略的配置支持备份,在FW_A上完成配置后,会自动备份到FW_B上。如果是在双机建立前在FW_A和FW_B分别配置的,请注意保持一致性,包括策略间的配置顺序也必须完全一致,否则主备切换后业务可能会出现异常。
- 配置NAT策略。
在FW_A上完成根系统NAT策略配置,允许私网用户访问公网。FW_A上配置的NAT策略会自动备份到FW_B上。
- 选择,单击“新建”,按如下参数配置源转换地址池。
- 选择,单击“新建”,按如下参数配置源NAT策略。
- 选择,单击“新建”,按如下参数配置源转换地址池。
- 配置路由器。
本举例以华为路由器为例进行说明。
# 配置Router1。
[router1] interface GigabitEthernet 1/0/1 [router1-GigabitEthernet1/0/1] ip address 192.168.0.1 30 [router1-GigabitEthernet1/0/1] quit [router1] interface GigabitEthernet 1/0/2 [router1-GigabitEthernet1/0/2] ip address 192.168.0.5 30 [router1-GigabitEthernet1/0/2] quit [router1] ospf 100 [router1-ospf-100] default-route-advertise [router1-ospf-100] area 0 [router1-ospf-100-area-0.0.0.0] network 192.168.0.0 0.0.0.3 [router1-ospf-100-area-0.0.0.0] quit [router1-ospf-100] quit
# 配置Router2。
[router2] interface GigabitEthernet 1/0/1 [router2-GigabitEthernet1/0/1] ip address 192.168.0.9 30 [router2-GigabitEthernet1/0/1] quit [router2] interface GigabitEthernet 1/0/2 [router2-GigabitEthernet1/0/2] ip address 192.168.0.6 30 [router2-GigabitEthernet1/0/2] quit [router2] ospf 100 [router2-ospf-100] default-route-advertise [router2-ospf-100] area 0 [router2-ospf-100-area-0.0.0.0] network 192.168.0.8 0.0.0.3 [router2-ospf-100-area-0.0.0.0] quit [router2-ospf-100] quit
结果验证
-
从私网访问公网,能访问成功。分别在FW_A和FW_B上根系统、虚拟系统中选择,检查会话,如果两台FW分别含有带备份标记的会话,表示配置双机热备功能后,会话备份成功。
-
在私网PC上长ping公网的IP,然后将FW_A的GigabitEthernet 1/0/2接口网线拨出,主备FW状态发生切换,FW_A由主用变为备用,ping包无丢包现象;在FW_A的根系统下选择,可以看到上行接口GigabitEthernet 1/0/1的状态也变为Down,与GigabitEthernet 1/0/2的状态保持联动。
再将FW_A的GigabitEthernet 1/0/2接口网线恢复,FW_A重新由备用变为主用,ping包无丢包情况,Link-Group中各接口的状态恢复为Up。
-
在私网PC上长ping公网的IP,然后将FW_B的GigabitEthernet 1/0/3接口网线拨出,主备FW状态发生切换,FW_B由主用变为备用,ping包无丢包现象;在FW_B的根系统下选择,可以看到上行接口GigabitEthernet 1/0/1的状态也变为Down,与GigabitEthernet 1/0/3的状态保持联动。
再将FW_B的GigabitEthernet 1/0/3接口网线恢复,FW_B重新由备用变为主用,ping包无丢包情况,Link-Group中各接口的状态恢复为Up。
配置脚本
根系统配置脚本
|
FW_A |
FW_B |
|---|---|
#
hrp enable
hrp interface GigabitEthernet 1/0/7 remote 10.10.0.2
hrp track interface GigabitEthernet 1/0/1
hrp mirror session enable
hrp nat resource primary-group
#
interface GigabitEthernet 1/0/1
ip address 192.168.0.2 255.255.255.252
link-group 1
#
interface GigabitEthernet 1/0/2
ip binding vpn-instance vsysa
ip address 10.3.1.2 255.255.255.0
vrrp vrid 1 virtual-ip 10.3.1.1 active
link-group public 1
#
interface GigabitEthernet 1/0/3
ip binding vpn-instance vsysb
ip address 10.3.2.2 255.255.255.0
vrrp vrid 2 virtual-ip 10.3.2.1 standby
link-group public 1
#
interface GigabitEthernet 1/0/7
ip address 10.10.0.1 255.255.255.0
#
interface Virtual-if0
ip address 172.16.0.1 255.255.255.0
#
interface Virtual-if1
ip address 172.16.1.1 255.255.255.0
#
interface Virtual-if2
ip address 172.16.2.1 255.255.255.0
#
firewall zone trust
set priority 85
add interface GigabitEthernet 1/0/2
add interfac Virtual-if0
#
firewall zone dmz
set priority 50
add interface GigabitEthernet 1/0/7
#
firewall zone untrust
set priority 5
add interface GigabitEthernet 1/0/1
#
vsys enable
resource-class r0
resource-class r1
resource-item-limit session reserved-number 10000 maximum 50000
resource-item-limit bandwidth 20 outbound
resource-item-limit policy reserved-number 300
resource-item-limit user reserved-number 300
resource-item-limit user-group reserved-number 30
#
vsys name vsysa
assign interface GigabitEthernet 1/0/2
assign resource-class r1
#
vsys name vsysb
assign interface GigabitEthernet 1/0/3
assign resource-class r1
#
ip route-static 10.3.1.0 255.255.255.0 vpn-instance vsysa
ip route-static 10.3.2.0 255.255.255.0 vpn-instance vsysb
#
ospf 100
import-route static
area 0.0.0.0
network 192.168.0.0 0.0.0.3
#
security-policy
rule name policy_sec
source-zone trust
destination-zone untrust
action permit
#
nat address-group addressgroup1
mode pat
route enable
section 0 1.1.1.1 1.1.1.1
#
nat-policy
rule name policy_nat
source-zone trust
destination-zone untrust
source-address 10.3.1.0 24
source-address 10.3.2.0 24
action source-nat address-group addressgroup1
|
#
hrp enable
hrp interface GigabitEthernet 1/0/7 remote 10.10.0.1
hrp track interface GigabitEthernet 1/0/1
hrp mirror session enable
hrp nat resource secondary-group
#
interface GigabitEthernet 1/0/1
ip address 192.168.0.10 255.255.255.252
link-group 1
#
interface GigabitEthernet 1/0/2
ip binding vpn-instance vsysa
ip address 10.3.1.3 255.255.255.0
vrrp vrid 1 virtual-ip 10.3.1.1 standby
link-group public 1
#
interface GigabitEthernet 1/0/3
ip binding vpn-instance vsysb
ip address 10.3.2.3 255.255.255.0
vrrp vrid 2 virtual-ip 10.3.2.1 active
link-group public 1
#
interface GigabitEthernet 1/0/7
ip address 10.10.0.2 255.255.255.0
#
interface Virtual-if0
ip address 172.16.0.2 255.255.255.0
#
interface Virtual-if1
ip address 172.16.1.2 255.255.255.0
#
interface Virtual-if2
ip address 172.16.2.2 255.255.255.0
#
firewall zone trust
set priority 85
add interface GigabitEthernet 1/0/2
add interfac Virtual-if0
#
firewall zone dmz
set priority 50
add interface GigabitEthernet 1/0/7
#
firewall zone untrust
set priority 5
add interface GigabitEthernet 1/0/1
#
vsys enable
resource-class r0
resource-class r1
resource-item-limit session reserved-number 10000 maximum 50000
resource-item-limit bandwidth 20 outbound
resource-item-limit policy reserved-number 300
resource-item-limit user reserved-number 300
resource-item-limit user-group reserved-number 30
#
vsys name vsysa
assign interface GigabitEthernet 1/0/2
assign resource-class r1
#
vsys name vsysb
assign interface GigabitEthernet 1/0/3
assign resource-class r1
#
ip route-static 10.3.1.0 255.255.255.0 vpn-instance vsysa
ip route-static 10.3.2.0 255.255.255.0 vpn-instance vsysb
#
ospf 100
import-route static
area 0.0.0.0
network 192.168.0.8 0.0.0.3
#
security-policy
rule name policy_sec
source-zone trust
destination-zone untrust
action permit
#
nat address-group addressgroup1
mode pat
route enable
section 0 1.1.1.1 1.1.1.1
#
nat-policy
rule name policy_nat
source-zone trust
destination-zone untrust
source-address 10.3.1.0 24
source-address 10.3.2.0 24
action source-nat address-group addressgroup1
|
虚拟系统vsysa配置脚本
|
FW_A |
FW_B |
|---|---|
# switch vsys vsysa # interface GigabitEthernet 1/0/2 ip binding vpn-instance vsysa ip address 10.3.1.2 255.255.255.0 vrrp vrid 1 virtual-ip 10.3.1.1 active link-group public 1 # interface Virtual-if1 ip address 172.16.1.1 255.255.255.0 # firewall zone trust set priority 85 add interface GigabitEthernet 1/0/2 # firewall zone untrust set priority 5 add interface Virtual-if1 # ip route-static 0.0.0.0 0.0.0.0 public # security-policy rule name vsysa_to_vsysb source-zone trust destination-zone untrust source-address 10.3.1.0 24 destination-address 10.3.2.0 24 action deny rule name policy_sec source-zone trust destination-zone untrust source-address 10.3.1.0 24 action permit |
# switch vsys vsysa # interface GigabitEthernet 1/0/2 ip binding vpn-instance vsysa ip address 10.3.1.3 255.255.255.0 vrrp vrid 1 virtual-ip 10.3.1.1 standby link-group public 1 # interface Virtual-if1 ip address 172.16.1.2 255.255.255.0 # firewall zone trust set priority 85 add interface GigabitEthernet 1/0/2 # firewall zone untrust set priority 5 add interface Virtual-if1 # ip route-static 0.0.0.0 0.0.0.0 public # security-policy rule name vsysa_to_vsysb source-zone trust destination-zone untrust source-address 10.3.1.0 24 destination-address 10.3.2.0 24 action deny rule name policy_sec source-zone trust destination-zone untrust source-address 10.3.1.0 24 action permit |
虚拟系统vsysb配置脚本
|
FW_A |
FW_B |
|---|---|
# switch vsys vsysb # interface GigabitEthernet 1/0/3 ip binding vpn-instance vsysb ip address 10.3.2.2 255.255.255.0 vrrp vrid 2 virtual-ip 10.3.2.1 standby link-group public 1 # interface Virtual-if2 ip address 172.16.2.1 255.255.255.0 # firewall zone trust set priority 85 add interface GigabitEthernet 1/0/3 # firewall zone untrust set priority 5 add interface Virtual-if2 # ip route-static 0.0.0.0 0.0.0.0 public # security-policy rule name vsysb_to_vsysa source-zone trust destination-zone untrust source-address 10.3.2.0 24 destination-address 10.3.1.0 24 action deny rule name policy_sec source-zone trust destination-zone untrust source-address 10.3.2.0 24 action permit |
# switch vsys vsysb # interface GigabitEthernet 1/0/3 ip binding vpn-instance vsysb ip address 10.3.2.3 255.255.255.0 vrrp vrid 2 virtual-ip 10.3.2.1 active link-group public 1 # interface Virtual-if2 ip address 172.16.2.2 255.255.255.0 # firewall zone trust set priority 85 add interface GigabitEthernet 1/0/3 # firewall zone untrust set priority 5 add interface Virtual-if2 # ip route-static 0.0.0.0 0.0.0.0 public # security-policy rule name vsysb_to_vsysa source-zone trust destination-zone untrust source-address 10.3.2.0 24 destination-address 10.3.1.0 24 action deny rule name policy_sec source-zone trust destination-zone untrust source-address 10.3.2.0 24 action permit |