双机热备OSPF组网配置指导手册v
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
双机热备主备方式OSPF组网配置
指导手册
关键字:双机热备、主备、非抢占、物理接口、静态路由、OSPF
目录
1双机热备防火墙组网说明:2
2主防火墙配置步骤:2
2.1 配置接口地址5
2.2 配置安全区域6
2.3 配置双机热备8
2.4 配置接口联动11
2.5 配置NAT11
2.6 配置OSPF动态路由协议15
2.7 配置NQA18
2.8 配置静态缺省路由与TRACK 1绑定19
2.9 配置OSPF发布缺省路由20
3备防火墙配置步骤:20
2.1 配置接口地址22
2.2 配置安全区域24
2.3 配置双机热备25
2.4 配置接口联动28
2.5 配置NAT28
2.6 配置OSPF动态路由协议33
2.7 配置NQA35
2.8 配置静态缺省路由与TRACK 1绑定36
2.9 配置OSPF发布缺省路由37
1 双机热备防火墙组网说明:
组网说明:
防火墙双机热备组网,主备非抢占模式,防火墙上行链路通过静态路由指向连接INTERNET网络,防火墙下行链路通过OSPF动态路由指向内部网络路由器。
业务要求:
当网络“层三交换机”或“防火墙”或“层二交换机”某一个设备本身故障或某一条线路故障时,流量可以及时从主防火墙切换至备防火墙,保证网络应用业务不中断、平稳运行。
2 主防火墙配置步骤:
1 配置PC IP地址192.168.0.3/24,连接管理防火墙:
2 通过IE浏览器打开防火墙WEB管理界面,防火墙默认的管理IP地址192.168.0.1,默认的用户名:h3c,默认密码:h3c。
3 进入防火墙WEB管理界面,可以查看防火墙系统信息,包括版本信息等;
4 单击“设备管理》基本配置》设备基本信息”修改防火墙名称为“FW1”,默认的防火墙名称是“H3C”;
5单击“设备管理》服务管理”启用防火墙TELNET服务,用于远程命令行配置管理;
6单击“用户管理》本地用户”新建、修改管理防火墙用户和用户密码;
2.1 配置接口地址
1 单击“设备管理》接口管理”,单击“修改”按钮,配置防火墙接口地址;
2 配置接口G2/0,接口ip地址为10.1.1.253/24,配置完成后单击“确定”按钮;
3 配置接口G2/2,接口ip地址为192.168.2.2/24,配置完成后单击“确定”按钮;
4 配置接口G2/3,接口ip地址为192.168.3.2/24,配置完成后单击“确定”按钮;
2.2 配置安全区域
1 单击“设备管理》安全域”,单击“修改”按钮,配置防火墙接口加入安全区域;
2 配置G2/2和G2/3接口加入Trust区域,配置完成后单击“确定”按钮;
3 配置G2/0接口加入Untrust区域,配置完成后单击“确定”按钮;
2.3 配置双机热备
配置VRRP
1 单击“高可靠性》VRRP”,单击接口G2/0“修改”按钮配置接口VRRP;
2 单击“新建”按钮,配置“vrid”为101,配置“虚拟ip”为10.1.1.5;
3 单击“修改”按钮配置VRID 101监视接口;
4 单击“显示监视配置”,配置接口G2/0监视接口G2/2和接口G2/3;
配置双机热备
1 单击“高可靠性》双机热备”配置“使能双机热备功能”,备份类型为“不支持非对称路径”,备份接口为默认接口inner-ethernet0/1,配置完成后单击“确定”按钮;同时使用一根以太网线连接两台防火墙的“HA接口”(“HA接口”在防火墙的主控面板上);
2.4 配置接口联动
1 单击“高可靠性》接口联动组”单击联动组1“修改”按钮配置接口联动:
2 配置“联动组1”成员G2/0、G2/2、G2/3,配置完成后单击“确定”按钮;当联动组中其中之一的接口状态为DOWN,其它接口也被置为DOWN状态,保证联动组中所有接口状态一致。
2.5 配置NAT
配置NAT策略
1 单击“防火墙》ACL”配置NA T策略,单击“新建”按钮;
2 配置“策略ID”为3001,配置完成后单击“确定”按钮;
3 单击“策略3001”“修改”按钮,添加策略规则;
4 单击“新建”按钮,添加策略规则;
5 配置NA T策略规则,配置完成后单击“确定”按钮;此规则用于NA T,决定是否对网络流量做NAT 转换;
6 单击“新建”按钮,配置第二条策略规则,,配置完成后单击“确定”按钮;此规则仍然用于NAT,与NQA配合使用,即将NQA的检测报文做NA T转换;
7 配置完成后,单击“返回”按钮;
配置NAT地址池
1 单击“防火墙》NAT》动态地址转换”,单击“地址池》新建”按钮配置NAT地址池;
2 配置“地址池索引”为1,开始ip地址10.1.1.101,结束ip地址10.1.1.200;配置完成后单击“确定”按钮;
配置NAT与接口关联
1 单击“地址转换关联》新建”按钮配置NAT与接口关联;
2 配置“接口”为G2/0,“ACL”为3001,“地址转换方式”为PAT,“地址池索引”为1,“使能VRRP 关联”为101,配置完成后单击“确定”按钮;注意:接口配置VRRP后,必须配置“使能VRRP关联”;
2.6 配置OSPF动态路由协议
1 单击“网络管理》路由管理》OSPF”配置“启用OSPF协议”,单击“确定”按钮;
2 单击“区域配置》新建”按钮配置OSPF区域ID和网段地址;