防火墙技术案例9_数据中心防火墙应用

近期经常有小伙伴们问到防火墙在数据中心如何部署？防火墙的双机热备功能如何与虚拟系统功能结合使用？

正好强叔最近接触了一个云数据中心的项目，现在就跟大家分享下，相信能完美的解决各位小伙伴的问题。

【组网需求】

如下图所示，两台防火墙（USG9560 V300R001C01版本）旁挂在数据中心的核心交换机CE12800侧。

两台CE12800工作在二层模式，且采用堆叠技术。

数据中心对防火墙的具体需求如下：

1、防火墙需要为每个虚拟主机都提供一个单独的虚拟系统，以便为每个虚拟主机都提供单独的访问控制策略。

2、每个虚拟机都能够使用公网IP访问Internet，并且能够对Internet用户提供访问服务。

【强叔规划】

1、从上图的数据中心整网结构和流量走向（蓝色虚线）来看，防火墙旁挂在CE12800侧就相当于把

CE12800在中间隔断，把一台CE12800当作两台设备来使用。所以我们可以将上面的组网图转换成下面更容易理解的逻辑图。

由于CE12800工作在二层模式，整个逻辑图就可以理解为经典的防火墙上下行连接二层设备的双机热备组网。这种组网的特点是需要在防火墙的上下行业务接口上配置VRRP备份组。

2、为了实现每一个虚拟主机都有一个单独的虚拟系统，我们需要为每个虚拟主机创建VLAN、子接口、虚拟系统，并将他们相互关联成一个网络，具体操作如下所示：

1) 在S5700上为每个虚拟机都建立一个VLAN，然后将对应的连接虚拟机的接口加入此VLAN。

2) 将S5700的上行接口，以及CE12800的上下行接口设置为Trunk接口，允许各个虚拟主机的VLAN

报文通过。

3) 在防火墙的下行接口上为每个虚拟机都建立一个子接口，并终结对应的虚拟机的VLAN。

4) 在防火墙上为每个虚拟机都创建一个虚拟系统，并将此虚拟系统与对应的子接口绑定。

5) 同理，在防火墙上行的CE12800上需要创建VLAN（与下行的ID不同），并将CE12800的上下行

接口设置为Trunk接口。

上述操作是在主用链路上的设备（S5700_A、CE12800_A和USG9560_A）进行的，我们还需要在备用链路上的设备（S5700_B、CE12800_B和USG9560_B）进行同样的操作（除了防火墙子接口IP地址不同）。

3、最后，我们需要将前两步分析的双机热备和虚拟系统结合起来考虑。由于两台防火墙处于双机热备状

态，而每台防火墙又都被虚拟成多个虚拟系统，因此两台防火墙中的相同的虚拟系统也处于双机热备状态。例如下图所示，USG9560_A的VFW1与USG9560_B的VFW1之间形成双机热备状态，因此我们需要在虚拟系统的子接口上配置VRRP备份组。

【配置步骤】

1、配置双机热备功能。

# 在USG9560_A上配置双机热备功能。

< USG9560_A > system-view

[USG9560_A] interface Eth-Trunk 1

[USG9560_A-Eth-Trunk1] ip address 10.10.10.1 24

[USG9560_A-Eth-Trunk1] quit

[USG9560_A] interface GigabitEthernet1/0/0

[USG9560_A -GigabitEthernet1/0/0] Eth-Trunk 1

[USG9560_A -GigabitEthernet1/0/0] quit

[USG9560_A] interface GigabitEthernet1/0/1

[USG9560_A -GigabitEthernet1/0/1] Eth-Trunk 1

[USG9560_A -GigabitEthernet1/0/1] quit

[USG9560_A] firewall zone dmz

[USG9560_A-zone-dmz] add interface Eth-Trunk 1

[USG9560_A-zone-dmz] quit

[USG9560_A] hrp interface Eth-Trunk 1 remote 10.10.10.2 [USG9560_A] hrp enable

# 在USG9560_B上配置双机热备功能。

< USG9560_B > system-view

[USG9560_B] interface Eth-Trunk 1

[USG9560_B-Eth-Trunk1] ip address 10.10.10.2 24

[USG9560_B-Eth-Trunk1] quit

[USG9560_B] interface GigabitEthernet1/0/0

[USG9560_B -GigabitEthernet1/0/0] Eth-Trunk 1

[USG9560_B -GigabitEthernet1/0/0] quit

[USG9560_B] interface GigabitEthernet1/0/1

[USG9560_B -GigabitEthernet1/0/1] Eth-Trunk 1

[USG9560_B -GigabitEthernet1/0/1] quit

[USG9560_B] firewall zone dmz

[USG9560_B-zone-dmz] add interface Eth-Trunk 1

[USG9560_B-zone-dmz] quit

[USG9560_B] hrp interface Eth-Trunk 1 remote 10.10.10.1

[USG9560_B] hrp enable

【强叔点评】配置心跳口（hrp interface）并启用双机热备功能(hrp enable)后，双机热备状态就已经成功建立。这时主用设备（USG9560_A）的配置就能够备份到备用设备（USG9560_B）上了。

2、为每台虚拟主机创建一个虚拟系统，并分配资源。这里仅以虚拟系统vfw1为例，其他虚拟系统的配

置参照此即可。

#创建子接口GigabitEthernet1/2/0.1和GigabitEthernet1/2/3.1。

HRP_M [USG9560_A] interface GigabitEthernet1/2/0.1

HRP_M [USG9560_A -GigabitEthernet1/2/0.1] quit

HRP_M [USG9560_A] interface GigabitEthernet1/2/3.1

HRP_M [USG9560_A -GigabitEthernet1/2/3.1] quit

#配置虚拟系统的资源类，限制每个虚拟系统的带宽为100M。

HRP_M [USG9560_A] resource-class class1

HRP_M [USG9560_A -resource-class-class1] resource-item-limit bandwidth 100 entire

HRP_M [USG9560_A -resource-class-class1] quit

#创建虚拟系统vfw1，并为vfw1分配子接口和带宽资源。

HRP_M [USG9560] vsys vfw1

HRP_M [USG9560-vsys-vfw1] assign resource-class class1

HRP_M [USG9560-vsys-vfw1] assign interface GigabitEthernet1/2/0.1

HRP_M [USG9560-vsys-vfw1] assign interface GigabitEthernet1/2/3.1