防火墙双机热备配置实例

配置路由模式下负载分担方式的双机热备份举例从组网需求、数据规划、操作步骤、结果验证以及常见问题几方面对路由模式下负载分担方式的双机热备份进行了配置举例。组网需求Eudemon作为安全设备被部署在业务节点上。其中上下行设备均是路由器，EudemonA、EudemonB以负载分担方式工作，且均工作在路由模式下。组网图如图1所示，具体描述如下：两台Eudemon和路由器之间运行动态路由OSPF协议，由路由器根据路由计算结果，将业务报文分担发送到两台Eudemon上。网络规划如下：需要保护的网段地址为192.168.1.0/24，与Eudemon的GigabitEthernet1/0/0接口相连，部署在Trust区域。外部网络与Eudemon的GigabitEthernet1/0/1接口相连，部署在Untrust区域。两台Eudemon的HRP备份通道接口GigabitEthernet1/0/2部署在DMZ区域。图1路由模式下负载分担方式的双机热备份配置举例组网图数据规划Eudemon接口IP地址Eudemon接口IP地址EudemonAGE1/0/010.100.10.2/24GE1/0/110.100.30.2/24GE1/0/210.100.50.2/24EudemonBGE1/0/010.100.20.2/24GE1/0/110.100.40.2/24GE1/0/210.100.50.3/24操作步骤1.在EudemonA上完成以下基本配置。#配置GigabitEthernet1/0/0的IP地址。Eudemonsystem-view[Eudemon]interfaceGigabitEthernet1/0/0[Eudemon-GigabitEthernet1/0/0]ipaddress10.100.10.224[Eudemon-GigabitEthernet1/0/0]quit#配置GigabitEthernet1/0/0加入Trust区域。[Eudemon]firewallzonetrust[Eudemon-zone-trust]addinterfaceGigabitEthernet1/0/0[Eudemon-zone-trust]quit#配置GigabitEthernet1/0/1的IP地址。[Eudemon]interfaceGigabitEthernet1/0/1[Eudemon-GigabitEthernet1/0/1]ipaddress10.100.30.224[Eudemon-GigabitEthernet1/0/1]quit#配置GigabitEthernet1/0/1加入Untrust区域。[Eudemon]firewallzoneuntrust[Eudemon-zone-untrust]addinterfaceGigabitEthernet1/0/1[Eudemon-zone-untrust]quit#配置GigabitEthernet1/0/2的IP地址。[Eudemon]interfaceGigabitEthernet1/0/2[Eudemon-GigabitEthernet1/0/2]ipaddress10.100.50.224[Eudemon-GigabitEthernet1/0/2]quit#配置GigabitEthernet1/0/2加入DMZ区域。[Eudemon]firewallzonedmz[Eudemon-zone-dmz]addinterfaceGigabitEthernet1/0/2[Eudemon-zone-dmz]quit#在EudemonA上配置运行OSPF动态路由协议。注意：配置OSPF动态路由协议的时候，请打开Trust域和Local域以及Untrust域和Local域的域间包过滤，避免阻塞正常的路由协议报文。[Eudemon]ospf101[Eudemon-ospf-101]area0[Eudemon-ospf-101-area-0.0.0.0]network10.100.10.00.0.0.255[Eudemon-ospf-101-area-0.0.0.0]network10.100.30.00.0.0.255[Eudemon-ospf-101-area-0.0.0.0]quit#配置根据HRP状态调整OSPF的相关COST值的功能。注意：Eudemon工作在路由模式下且部署于OSPF网络中做双机热备份时，必须配置该命令。[Eudemon]hrpospf-costadjust-enable#在接口视图下配置Master和Slave管理组监视接口状态。[Eudemon]interfaceGigabitEthernet1/0/0[Eudemon-GigabitEthernet1/0/0]hrptrackmaster[Eudemon-GigabitEthernet1/0/0]hrptrackslave[Eudemon-GigabitEthernet1/0/0]quit[Eudemon]interfaceGigabitEthernet1/0/1[Eudemon-GigabitEthernet1/0/1]hrptrackmaster[Eudemon-GigabitEthernet1/0/1]hrptrackslave[Eudemon-GigabitEthernet1/0/1]quit#配置会话快速备份。[Eudemon]hrpmirrorsessionenable#配置HRP备份通道。注意：主备Eudemon的HRP备份通道接口必须直接相连，中间不能连接交换机。[Eudemon]hrpinterfaceGigabitEthernet1/0/2#启动HRP。[Eudemon]hrpenable2.配置EudemonB。EudemonB和EudemonA的配置基本相同，不同之处在于：EudemonB各接口的IP地址与EudemonA各接口的IP地址不相同，且EudemonB和EudemonA对应的业务接口的IP地址不能在同一网段。在EudemonB上配置运行OSPF动态路由协议时，应该发布与EudemonB的业务接口直接相连的网段的路由。3.在EudemonA上启动配置命令的自动备份、配置ACL，并配置Trust区域和Untrust区域的域间包过滤规则。说明：当EudemonA和EudemonB都启动HRP功能完成后，在EudemonA上开启配置命令的自动备份，这样在EudemonA上配置的ACL以及域间包过滤规则都将自动备份到EudemonB，不需要再在EudemonB上单独配置。#启动配置命令的自动备份功能。HRP_M[Eudemon]hrpauto-syncconfig#创建基本ACL2000，配置源地址为192.168.1.0/24的规则。HRP_M[Eudemon]acl2000HRP_M[Eudemon-acl-basic-2000]rulepermitsource192.168.1.00.0.0.255HRP_M[Eudemon-acl-basic-2000]quit#配置Trust区域和Untrust区域的域间包过滤规则。HRP_M[Eudemon]firewallinterzonetrustuntrustHRP_M[Eudemon-interzone-trust-untrust]packet-filter2000outboundHRP_M[Eudemon-interzone-trust-untrust]quit4.配置路由器。在路由器上配置OSPF，具体配置命令请参考路由器的相关文档。结果验证1.PC2作为HTTP服务器位于Untrust区域，对外提供HTTP服务。在Trust区域的PC1端访问Untrust区域的HTTP服务器，并进行文件的下载操作。分别在EudemonA和EudemonB上检查会话。2.HRP_M[Eudemon]displayfirewallsessiontableverbose3.12:19:432010/02/014.Currenttotalsessions:15.http:VPN:public--public6.Zone:trust--untrustSlot:4CPU:0TTL:00:00:10Left:00:00:037.Interface:GigabitEthernet1/0/1NextHop:202.38.10.18.--packets:908bytes:7548--packets:23bytes:3069.acl:2000rule:0192.168.1.3:2048--202.38.10.1:80HRP_S[Eudemon_B]displayfirewallsessiontableverbose12:19:432010/02/01Currenttotalsessions:1http:VPN:public--publicZone:trust--untrustRemoteSlot:4CPU:0TTL:00:00:10Left:00:00:03Interface:GigabitEthernet1/0/1NextHop:202.38.10.1--packets:908bytes:7548--packets:23bytes:306acl:2000rule:0192.168.1.3:2048--202.38.10.1:80可以看出EudemonB上存在带有Remote标记的会话，表示配置双机热备份功能后，会话备份成功。常见问题注意Eudemon的HRP备份通道接口不能对外发布OSPF路由。组网设备发生故障时，OSPF收敛速度比较快，但故障再恢复时OSPF收敛速度比较慢。配置路由模式下VRRP和OSPF结合的双机热备份举例从组网需求、数据规划、操作步骤、结果验证以及常见问题几方面对路由模式下VRRP和OSPF结合的双机热备份进行了配置举例。组网需求Eudemon作为安全设备被部署在业务节点上。其中上行设备是路由器，下行设备是交换机，EudemonA、EudemonB以主备备份方式工作，且均工作在路由模式下。组网图如图1所示，具体描述如下：两台Eudemon和路由器之间运行动态路由OSPF协议，和交换机之间运行VRRP协议。Eudemon的双机热备份功能基于VRRP实现，在Eudemon的业务接口上配置一个VRRP备份组加入VGMP管理组的Master或Slave管理组，组成主备备份的组网。网络规划如下：需要保护的网段地址为192.168.1.0/24，与Eudemon的GigabitEthernet1/0/0接口相连，部署在Trust区域。外部网络与Eudemon的GigabitEthernet1/0/1接口相连，部署在Untrust区域。两台Eudemon的HRP备份通道接口GigabitEthernet1/0/2部署在DMZ区域。其中，Trust区域对应的备份组虚拟IP地址分别为192.168.1.10。图1路由模式下VRRP和OSPF结合的双机热备份配置举例组网图数据规划Eudemon接口IP地址EudemonAGE1/0/0192.168.1.5/24GE1/0/110.100.30.2/24GE1/0/210.100.50.2/24EudemonBGE1/0/0192.168.1.6/24GE1/0/110.100.40.2/24GE1/0/210.100.50.3/24操作步骤1.在EudemonA上完成以下基本配置。#配置GigabitEthernet1/0/0的IP地址。Eudemonsystem-view[Eudemon]interfaceGigabitEthernet1/0/0[Eudemon-GigabitEthernet1/0/0]ipaddress192.168.1.524[Eudemon-GigabitEthernet1/0/0]quit#配置G