USG 2000以太网链路接入,上下行设备为交换机(主备备份)

以太网链路接入，上下行设备为交换机（主备备份）

介绍上下行设备为交换机，主备备份组网的双机热备配置。

组网需求

USG作为安全设备被部署在业务节点上。其中上下行设备均是交换机，USG_A、USG_B分别充当主用设备和备用设备，且均工作在路由模式下。通过配置NAT功能，使内网用户可以通过公网地址访问Internet。

组网图如图1所示。

图1 以太网链路接入，上下行设备为交换机组网图

网络规划如下：

∙需要保护的网段地址为192.168.10.0/24，与USG的GigabitEthernet0/0/1接口相连，部署在Trust区域。

∙外部网络与USG的GigabitEthernet0/0/3接口相连，部署在Untrust区域。

其中，各安全区域对应的VRRP组虚拟IP地址如下：

∙Trust区域对应的VRRP组1，虚拟IP地址为192.168.10.1/24。

∙Untrust区域对应的VRRP组2，虚拟IP地址为10.100.30.1/24。

网段为192.168.10.0/24的内网用户允许访问Internet的FTP服务器10.100.30.5，公网地址范围为10.100.30.8～10.100.30.9。

配置思路

1.在主备设备上配置VRRP备份组，并配置备份组的虚拟IP地址。

2.在主备设备上配置HRP备份通道，并启动HRP。

3.配置NAT功能。由于NAT地址池地址与VRRP备份组的虚拟IP地址在同一个网段，则

需要将地址池绑定该VRRP备份组。

操作步骤

1.完成USG_A上、下行接口的配置。

# 配置GigabitEthernet 0/0/1的IP地址。

system-view

[USG_A] interface GigabitEthernet 0/0/1

[USG_A-GigabitEthernet0/0/1] ip address 192.168.10.2 24

[USG_A-GigabitEthernet0/0/1] quit

# 配置GigabitEthernet 0/0/3的IP地址。

[USG_A] interface GigabitEthernet 0/0/3

[USG_A-GigabitEthernet0/0/3] ip address 10.100.30.2 24

[USG_A-GigabitEthernet0/0/3] quit

# 配置GigabitEthernet 0/0/1加入Trust区域。

[USG_A] firewall zone trust

[USG_A-zone-trust] add interface GigabitEthernet 0/0/1

[USG_A-zone-trust] quit

# 配置GigabitEthernet 0/0/3加入Untrust区域。

[USG_A] firewall zone untrust

[USG_A-zone-untrust] add interface GigabitEthernet 0/0/3

[USG_A-zone-untrust] quit

# 配置接口GigabitEthernet 0/0/1的VRRP备份组1，加入到VGMP的Master管理组。

说明：

配置接口加入VRRP备份组前，需要先完成接口IP地址的配置。

[USG_A] interface GigabitEthernet 0/0/1

[USG_A-GigabitEthernet0/0/1] vrrp vrid 1 virtual-ip 192.168.10.1 master [USG_A-GigabitEthernet0/0/1] quit

# 配置接口GigabitEthernet 0/0/3的VRRP备份组2，加入到VGMP的Master管理组。

[USG_A] interface GigabitEthernet 0/0/3

[USG_A-GigabitEthernet0/0/3] vrrp vrid 2 virtual-ip 10.100.30.1 master [USG_A-GigabitEthernet0/0/3] quit

2.完成USG_A的HRP备份通道配置。

# 配置GigabitEthernet 0/0/2的IP地址。

[USG_A] interface GigabitEthernet 0/0/2

[USG_A-GigabitEthernet0/0/2] ip address 192.168.100.2 24

[USG_A-GigabitEthernet0/0/2] quit

# 配置GigabitEthernet 0/0/2加入DMZ区域。

[USG_A] firewall zone dmz

[USG_A-zone-dmz] add interface GigabitEthernet 0/0/2

[USG_A-zone-dmz] quit

# 指定HRP备份通道。

[USG_A] hrp interface GigabitEthernet 0/0/2

3.开启HRP功能。

# 开启HRP功能。

[USG_A] hrp enable

4.配置USG_B。

USG_B和上述USG_A的配置基本相同，不同之处在于：

∙USG_B各接口的IP地址与USG_A各接口的IP地址不相同。

∙USG_B的业务接口加入VGMP的Slave管理组。

5.在USG_A上启动配置命令的自动备份、配置NAT地址池、配置ACL，并配置Trust区

域和Untrust区域的域间包过滤规则。

说明：

当USG_A和USG_B都启动HRP功能完成后，在USG_A上开启配置命令的自动备份，这样在USG_A上配置的ACL以及域间包过滤规则都将自动备份到USG_B，不需要再在USG_B上单独配置。

# 启动自动备份功能。

HRP_M[USG_A] hrp auto-sync

# 配置域间包过滤规则，使192.168.10.0/24网段用户可以访问Untrust区域。

HRP_M[USG_A] policy interzone trust untrust outbound

HRP_M[USG_A-policy-interzone-trust-untrust-outbound] policy 0

HRP_M[USG_A-policy-interzone-trust-untrust-outbound-0] policy source

192.168.10.0 0.0.0.255

HRP_M[USG_A-policy-interzone-trust-untrust-outbound-0] action permit

HRP_M[USG_A-policy-interzone-trust-untrust-outbound-0] quit

HRP_M[USG_A-policy-interzone-trust-untrust-outbound] quit

# 通过配置NAT功能，实现内网用户通过公网地址访问Internet。

说明：

当NAT地址池地址或者NAT Server的公网IP地址与VRRP组的虚拟IP地址在同一网段时，需要将地址池或者NAT Server绑定该VRRP组，防止上下行设备向NAT地址池