高端防火墙双机热备典型组网
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
UnRegistered 动态路由模式组网 .......................................................................................................10
2007-04-27
H3C 机密,未经许可不得扩散
习比VRRP切换慢,所以路由模式的双机热备主用设备切换时间较长;在这两
种组网的基础上又可以配置为双主用模式、主备用模式;
5、 目前版本仅支持对称路径的双机热备份,即报文来回都要通过同一台防火墙;
2007-04-27
H3C 机密,未经许可不得扩散
文档名称
文档密级
若出报文从A出,回来的报文从B返回的话,称为非对称路径,在以后的版本将 支持非对称的报文转发。 6、 两台SecbladeII 与 两台F1000E都可以做双机配置,以下的组网配置稍作修改两 者即可使用,后面不再说明。
文档名称
文档密级
名称Product name
密级Confidentiality level 内部公开
Total pages 共页
高端防火墙双机热备典型组网
(仅供内部参考) For internal use only
拟制:
d Prepared by 审核:
e Reviewed by r 审核: te Reviewed by
文档名称
文档密级
因为V5的secpath防火墙多样化的组网方式,双机的组网也会很多种,本文试举几例。
1 组网说明
1.1 V5 双机热备的特点
同V3的双机热备相比,V5的双机热备有如下特点:
1、 配置方法的不同,在命令行下无法配置双机热备,只能在WEB页面上配置;
WEB配置页面:
2、 3、
istered 必须配置一个心跳口,心跳口也须在WEB页面上配置,指定一个物理口后保存, g 重启,心跳口开始工作,心跳口在命令行和WEB页面下的接口管理中都不可见, e 但是双机热备配置页面下可见。(以后的版本中,将实现配置心跳口后不需要 R 重启立刻生效,而且心跳口可见,也将支持配置多个心跳口以支持大量的会话 n 信息的相互备份。) U没有主备设备之分,工作中的设备称为主用设备比较合适些,两台防火墙的会
nat outbound static track vrrp 1
2007-04-27
H3C 机密,未经许可不得扩散
文档名称
文档密级
nat outbound 3001 address-group 1 track vrrp 1 nat server protocol icmp global 102.0.0.13 inside 102.0.0.13 track vrrp 1 nat server protocol udp global 102.0.0.13 any inside 101.0.0.13 any track vrrp 1 #(track vrrp关键字,意思是当接口收到对nat 地址的arp查询时以vrrp 1的虚接地址作 为应答!)
nat outbound 3001 address-group 1 track vrrp 1
nat server protocol icmp global 102.0.0.13 inside 102.0.0.13 track vrrp 1
nat server protocol udp global 102.0.0.13 any inside 101.0.0.13 any track vrrp 1
2.2
2.1.1 静态路由模式主备组网:........................................................................... 5 2.1.2 静态路由模式双主组网:........................................................................... 7
#
interface GigabitEthernet0/2
port link-mode route
ip address 102.0.0.253 255.255.0.0
vrrp vrid 1 virtual-ip 102.0.0.1
vrrp vrid 1 track interface GigabitEthernet0/1
1.1 V5双机热备的特点 ........................................................................................................3 1.2 测试设备 .........................................................................................................................4 1.3 测试组网 .........................................................................................................................4
vrrp vrid 1 virtual-ip 101.0.0.1
vrrp vrid 1 priority 105
2007-04-27
H3C 机密,未经许可不得扩散
文档名称
文档密级
vrrp vrid 1 track interface GigabitEthernet0/2
vrrp vrid 2 virtual-ip 101.0.0.2
文档密级
2.1.1 静态路由模式主备组网:
所谓主备组网就是只有一台防火墙处于工作状态,另一台处于备用状态,当主用设备
Down机后,备用设备会接管工作。 配置如下: F1000E-1 配置 :(作为主用设备)
d # e nat address-group 1 102.0.1.1 102.0.1.254 level 1 r # te acl number 3001 is rule 0 permit ip source 101.0.5.0 0.0.0.255
1.2 测试设备
Secpath F1000E两台; S75E与secblade II 两套 S85 S75 交换机;
1.3 测试组网 UnRegistered
2007-04-27
H3C 机密,未经许可不得扩散
文档名称
2 典型组网
2.1 静态路由模式双机热备
静态路由模式需要同时配置Vrrp以支持主备用设备的切换。
2 典型组网 .................................................................................................................................5
2.1 静态路由模式双机热备 .................................................................................................5
批准:
UnRegis Granted by
陈发明 05883 赵彪 04708
日期: Date 日期: Date 日期: Date 日期: Date
2008-11-20
2007-04-27
H3C 机密,未经许可不得扩散
文档名称
文档密级
1 组网说明 .................................................................................................................................3
nat address-group 2 102.0.2.1 102.0.2.254 level 1
g # e acl number 3001 R rule 0 permit ip source 101.0.5.0 0.0.0.255 n rule 5 permit ip source 101.0.6.0 0.0.0.255 U acl number 3002
vrrp vrid 1 priority 105
vrrp vrid 1 track interface GigabitEthernet0/2
ห้องสมุดไป่ตู้
#
interface GigabitEthernet0/2
port link-mode route
ip address 102.0.0.254 255.255.0.0
话信息相互备份,主用设备上产生的会话会自动通过心跳口备份到备用设备上,
目前只有稳态的会话才会进行备份;
4、 主要有两种模式的组网:静态路由模式和动态路由模式,静态路由模式组网依
赖于VRRP,当一台设备Down机后,Vrrp的主备状态发生切换,工作的防火墙
随之切换;动态路由模式依赖于动态路由协议,由于动态路由协议进行路由学
vrrp vrid 2 track interface GigabitEthernet0/2
#
interface GigabitEthernet0/2
port link-mode route
vrrp vrid 1 virtual-ip 102.0.0.1
2007-04-27
H3C 机密,未经许可不得扩散
文档名称
文档密级
vrrp vrid 1 priority 105
vrrp vrid 1 track interface GigabitEthernet0/1
nat outbound static track vrrp 1
rule 5 permit ip source 101.0.6.0 0.0.0.255
eg # R interface GigabitEthernet0/1 n port link-mode route U ip address 101.0.0.254 255.255.0.0
vrrp vrid 1 virtual-ip 101.0.0.1
#(track vrrp关键字,意思是当接口收到对nat 地址的arp查询时以vrrp 1的虚接地址作
为应答!)
F1000E-2配置:(作为备用设备) #
d nat address-group 1 102.0.1.1 102.0.1.254 level 1 e # r acl number 3001 te rule 0 permit ip source 101.0.5.0 0.0.0.255 is rule 5 permit ip source 101.0.6.0 0.0.0.255
rule 0 permit ip source 101.0.7.0 0.0.0.255
rule 5 permit ip source 101.0.8.0 0.0.0.255
#
interface GigabitEthernet0/1
port link-mode route
ip address 101.0.0.254 255.255.0.0
2.1.2 静态路由模式双主组网:
双主组网就是两台防火墙都处于工作状态,每台设备负责转发一部分流量,实现负载分 担,而当任一台设备Down机后,另一台设备会接管全部工作,要实现双主组网要配置至少 两个VRRP组以产生两个网关,每台设备分别是一个网关的主用设备,若使用NAT则至少要
d 配置两个地址池以进行地址转换。 e 该组网要注意报文来回路径要保持一致。 r F1000E-1配置: te # is nat address-group 1 102.0.1.1 102.0.1.254 level 1
#(这儿与主用设备配置要一致!)
g # e interface GigabitEthernet0/1 R port link-mode route n ip address 101.0.0.253 255.255.0.0 U vrrp vrid 1 virtual-ip 101.0.0.1
vrrp vrid 1 track interface GigabitEthernet0/2
2007-04-27
H3C 机密,未经许可不得扩散
习比VRRP切换慢,所以路由模式的双机热备主用设备切换时间较长;在这两
种组网的基础上又可以配置为双主用模式、主备用模式;
5、 目前版本仅支持对称路径的双机热备份,即报文来回都要通过同一台防火墙;
2007-04-27
H3C 机密,未经许可不得扩散
文档名称
文档密级
若出报文从A出,回来的报文从B返回的话,称为非对称路径,在以后的版本将 支持非对称的报文转发。 6、 两台SecbladeII 与 两台F1000E都可以做双机配置,以下的组网配置稍作修改两 者即可使用,后面不再说明。
文档名称
文档密级
名称Product name
密级Confidentiality level 内部公开
Total pages 共页
高端防火墙双机热备典型组网
(仅供内部参考) For internal use only
拟制:
d Prepared by 审核:
e Reviewed by r 审核: te Reviewed by
文档名称
文档密级
因为V5的secpath防火墙多样化的组网方式,双机的组网也会很多种,本文试举几例。
1 组网说明
1.1 V5 双机热备的特点
同V3的双机热备相比,V5的双机热备有如下特点:
1、 配置方法的不同,在命令行下无法配置双机热备,只能在WEB页面上配置;
WEB配置页面:
2、 3、
istered 必须配置一个心跳口,心跳口也须在WEB页面上配置,指定一个物理口后保存, g 重启,心跳口开始工作,心跳口在命令行和WEB页面下的接口管理中都不可见, e 但是双机热备配置页面下可见。(以后的版本中,将实现配置心跳口后不需要 R 重启立刻生效,而且心跳口可见,也将支持配置多个心跳口以支持大量的会话 n 信息的相互备份。) U没有主备设备之分,工作中的设备称为主用设备比较合适些,两台防火墙的会
nat outbound static track vrrp 1
2007-04-27
H3C 机密,未经许可不得扩散
文档名称
文档密级
nat outbound 3001 address-group 1 track vrrp 1 nat server protocol icmp global 102.0.0.13 inside 102.0.0.13 track vrrp 1 nat server protocol udp global 102.0.0.13 any inside 101.0.0.13 any track vrrp 1 #(track vrrp关键字,意思是当接口收到对nat 地址的arp查询时以vrrp 1的虚接地址作 为应答!)
nat outbound 3001 address-group 1 track vrrp 1
nat server protocol icmp global 102.0.0.13 inside 102.0.0.13 track vrrp 1
nat server protocol udp global 102.0.0.13 any inside 101.0.0.13 any track vrrp 1
2.2
2.1.1 静态路由模式主备组网:........................................................................... 5 2.1.2 静态路由模式双主组网:........................................................................... 7
#
interface GigabitEthernet0/2
port link-mode route
ip address 102.0.0.253 255.255.0.0
vrrp vrid 1 virtual-ip 102.0.0.1
vrrp vrid 1 track interface GigabitEthernet0/1
1.1 V5双机热备的特点 ........................................................................................................3 1.2 测试设备 .........................................................................................................................4 1.3 测试组网 .........................................................................................................................4
vrrp vrid 1 virtual-ip 101.0.0.1
vrrp vrid 1 priority 105
2007-04-27
H3C 机密,未经许可不得扩散
文档名称
文档密级
vrrp vrid 1 track interface GigabitEthernet0/2
vrrp vrid 2 virtual-ip 101.0.0.2
文档密级
2.1.1 静态路由模式主备组网:
所谓主备组网就是只有一台防火墙处于工作状态,另一台处于备用状态,当主用设备
Down机后,备用设备会接管工作。 配置如下: F1000E-1 配置 :(作为主用设备)
d # e nat address-group 1 102.0.1.1 102.0.1.254 level 1 r # te acl number 3001 is rule 0 permit ip source 101.0.5.0 0.0.0.255
1.2 测试设备
Secpath F1000E两台; S75E与secblade II 两套 S85 S75 交换机;
1.3 测试组网 UnRegistered
2007-04-27
H3C 机密,未经许可不得扩散
文档名称
2 典型组网
2.1 静态路由模式双机热备
静态路由模式需要同时配置Vrrp以支持主备用设备的切换。
2 典型组网 .................................................................................................................................5
2.1 静态路由模式双机热备 .................................................................................................5
批准:
UnRegis Granted by
陈发明 05883 赵彪 04708
日期: Date 日期: Date 日期: Date 日期: Date
2008-11-20
2007-04-27
H3C 机密,未经许可不得扩散
文档名称
文档密级
1 组网说明 .................................................................................................................................3
nat address-group 2 102.0.2.1 102.0.2.254 level 1
g # e acl number 3001 R rule 0 permit ip source 101.0.5.0 0.0.0.255 n rule 5 permit ip source 101.0.6.0 0.0.0.255 U acl number 3002
vrrp vrid 1 priority 105
vrrp vrid 1 track interface GigabitEthernet0/2
ห้องสมุดไป่ตู้
#
interface GigabitEthernet0/2
port link-mode route
ip address 102.0.0.254 255.255.0.0
话信息相互备份,主用设备上产生的会话会自动通过心跳口备份到备用设备上,
目前只有稳态的会话才会进行备份;
4、 主要有两种模式的组网:静态路由模式和动态路由模式,静态路由模式组网依
赖于VRRP,当一台设备Down机后,Vrrp的主备状态发生切换,工作的防火墙
随之切换;动态路由模式依赖于动态路由协议,由于动态路由协议进行路由学
vrrp vrid 2 track interface GigabitEthernet0/2
#
interface GigabitEthernet0/2
port link-mode route
vrrp vrid 1 virtual-ip 102.0.0.1
2007-04-27
H3C 机密,未经许可不得扩散
文档名称
文档密级
vrrp vrid 1 priority 105
vrrp vrid 1 track interface GigabitEthernet0/1
nat outbound static track vrrp 1
rule 5 permit ip source 101.0.6.0 0.0.0.255
eg # R interface GigabitEthernet0/1 n port link-mode route U ip address 101.0.0.254 255.255.0.0
vrrp vrid 1 virtual-ip 101.0.0.1
#(track vrrp关键字,意思是当接口收到对nat 地址的arp查询时以vrrp 1的虚接地址作
为应答!)
F1000E-2配置:(作为备用设备) #
d nat address-group 1 102.0.1.1 102.0.1.254 level 1 e # r acl number 3001 te rule 0 permit ip source 101.0.5.0 0.0.0.255 is rule 5 permit ip source 101.0.6.0 0.0.0.255
rule 0 permit ip source 101.0.7.0 0.0.0.255
rule 5 permit ip source 101.0.8.0 0.0.0.255
#
interface GigabitEthernet0/1
port link-mode route
ip address 101.0.0.254 255.255.0.0
2.1.2 静态路由模式双主组网:
双主组网就是两台防火墙都处于工作状态,每台设备负责转发一部分流量,实现负载分 担,而当任一台设备Down机后,另一台设备会接管全部工作,要实现双主组网要配置至少 两个VRRP组以产生两个网关,每台设备分别是一个网关的主用设备,若使用NAT则至少要
d 配置两个地址池以进行地址转换。 e 该组网要注意报文来回路径要保持一致。 r F1000E-1配置: te # is nat address-group 1 102.0.1.1 102.0.1.254 level 1
#(这儿与主用设备配置要一致!)
g # e interface GigabitEthernet0/1 R port link-mode route n ip address 101.0.0.253 255.255.0.0 U vrrp vrid 1 virtual-ip 101.0.0.1
vrrp vrid 1 track interface GigabitEthernet0/2