华为Eudemon一道门防火墙
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
配置路由模式下负载分担的双机热备份
两台Eudemon和4台路由器之间运行OSPF协议
Eudemon上下行业务端口加入到同一个link-group管理组,在链路故障时候能加快路由收敛。Eudemon的双机热备份功能基于VRRP实现,Eudemon的HRP备份链路上配置两个VRRP 组分别加入VGMP管理组的Master管理组和Slave管理组,组成负载分担网络。
PC0所在LAN为受保护区域,Eudemon的GE0/0/1端口连接,部署在Trust区域。
外部网络和Eudemon的GE0/0/3相连,部署在Untrust区域。
两台Eudemon之间互联的HRP备份通道接口GE0/0/2部署在DMZ区域。
其中DMZ区域对应的VRRP组虚拟地址分别为10.100.50.5和10.100.50.6
步骤1配置Eudemon A。
[Eudemon] interface gigabitethernet 0/0/1
[Eudemon-GigabitEthernet 0/0/0] ip address 10.100.10.2 24
[Eudemon-GigabitEthernet 0/0/0] quit
[Eudemon] interface gigabitethernet 0/0/2
[Eudemon-GigabitEthernet 0/0/1] ip address 10.100.50.2 24
[Eudemon-GigabitEthernet 0/0/1] quit
[Eudemon] interface gigabitethernet 0/0/3
[Eudemon-GigabitEthernet 0/0/2] ip address 10.100.30.2 24
[Eudemon-GigabitEthernet 0/0/2] quit
[Eudemon] firewall zone trust
[Eudemon-zone-trust] add interface gigabitethernet 0/0/1
[Eudemon-zone-trust] quit
[Eudemon] firewall zone dmz
[Eudemon-zone-dmz] add interface gigabitethernet 0/0/2
[Eudemon-zone-dmz] quit
[Eudemon] firewall zone untrust
[Eudemon-zone-untrust] add interface gigabitethernet 0/0/3
[Eudemon-zone-untrust] quit
[Eudemon] interface gigabitethernet 0/0/1
[Eudemon-GigabitEthernet 0/0/0] link-group 1
[Eudemon-GigabitEthernet 0/0/0] quit
[Eudemon] interface gigabitethernet 0/0/3
[Eudemon-GigabitEthernet 0/0/1] link-group 1
[Eudemon-GigabitEthernet 0/0/1] quit
# 配置统一安全网关的缺省过滤规则。
建议不配置缺省允许报文通过所有安全域间,否则会存在安全隐患。可以根据实际组网需求配置域间包过滤规则。
[Eudemon] firewall packet-filter default permit interzone trust untrust direction outbound [Eudemon] firewall packet-filter default permit interzone dmz untrust direction inbound [Eudemon] interface gigabitethernet 0/0/2
[Eudemon-GigabitEthernet 0/0/2] vrrp vrid 1 virtual-ip 10.100.50.5 master
[Eudemon-GigabitEthernet 0/0/2] vrrp vrid 2 virtual-ip 10.100.50.6 slave
[Eudemon-GigabitEthernet 0/0/2] quit
# 配置HRP通道
[Eudemon] hrp interface gigabitethernet 0/0/2
# 启动HRP。
[Eudemon] hrp enable
[Eudemon A] hrp auto-aync config 开启自动备份,配置该命令后Eudemon A上配置的ACL 以及包过滤规则都将自动备份到Eudemon B上,不需要再在Eudemon B上配置相关命令。
Eudemon B上面的配置DMZ区域对应的VRRP组时,其Master管理组为Eudemon A的Slave 管理组,其Slave管理组为Eudemon A的Master管理组。
配置混合模式下主备备份方式的双机热备份
在不改变现有网络拓扑结构的前提下,在网络出口部署两台Eudemon 1000E统一安全网关,通过LAN Switch连接内部网络。启动双机热备份功能,并配置统一安全网关以主备备份方式工作。其中Eudemon 1000E A作为主用,Eudemon 1000E B作为备用。
混合模式下的双机热备份组网图如图1-11所示。
配置步骤
配置Eudemon A
[Eudemon] interface gigabitethernet 0/0/0
[Eudemon-GigabitEthernet 0/0/0] ip address 3.3.3.1 255.0.0.0
[Eudemon-GigabitEthernet 0/0/0] vrrp vrid 16 virtual-ip 3.3.3.10
[Eudemon-GigabitEthernet 0/0/0] quit
[Eudemon] firewall zone dmz
[Eudemon-zone-dmz] add interface gigabitethernet 0/0/0
[Eudemon-zone-dmz] quit
[Eudemon] interface gigabitethernet 0/0/1
# 配置GigabitEthernet 0/0/1工作在透明模式。
[Eudemon-GigabitEthernet 0/0/1] portswitch
[Eudemon-GigabitEthernet 0/0/1] quit
[Eudemon] firewall zone trust
[Eudemon-zone-trust] add interface gigabitethernet 0/0/1
[Eudemon-zone-trust] quit
[Eudemon] interface gigabitethernet 0/0/2
# 配置GigabitEthernet 0/0/2工作在透明模式。
[Eudemon-GigabitEthernet 0/0/2] portswitch
[Eudemon-GigabitEthernet 0/0/2] quit
[Eudemon] firewall zone untrust
[Eudemon-zone-untrust] add interface gigabitethernet 0/0/2
[Eudemon-zone-untrust] quit
# 配置统一安全网关域间缺省规则为允许所有报文通过(可以根据实际需要使用其他配置策略)。