HUAWEI ASG2000 应用安全网关 V100R001 典型配置案例 07

HUAWEI ASG2000 应用安全网关V100R001
典型配置案例
文档版本07
发布日期2015-07-10
版权所有 © 华为技术有限公司 2015。

保留一切权利。

非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。

商标声明
和其他华为商标均为华为技术有限公司的商标。

本文档提及的其他所有商标或注册商标，由各自的所有人拥有。

注意
您购买的产品、服务或特性等应受华为公司商业合同和条款的约束，本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。

除非合同另有约定，华为公司对本文档内容不做任何明示或默示的声明或保证。

由于产品版本升级或其他原因，本文档内容会不定期进行更新。

除非另有约定，本文档仅作为使用指导，本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。

华为技术有限公司
地址：深圳市龙岗区坂田华为总部办公楼邮编：518129
网址：
前言
产品版本
与本文档相对应的产品版本如下所示。

读者对象
本文档针对HUAWEI ASG2050/2100/2150/2200/2600/2800 应用安全网关（以下简称为
ASG）的各类典型应用场景，介绍了各种功能的配置方法。

本文档主要适用于以下工程师：
l数据配置工程师
符号约定
在本文中可能出现下列标志，它们所代表的含义如下。

命令行格式约定
图形界面元素引用约定
修订记录
修改记录累积了每次文档更新的说明。

最新版本的文档包含以前所有文档版本的更新内
容。

文档版本 07 (2015-07-10)
第七次正式发布。

文档版本 06 (2014-01-26)
第六次正式发布。

增强带宽管理整体可用性，同步刷新举例：上网行为管理和带宽管理
综合场景。

文档版本 05 (2013-08-05)
第五次正式发布。

文档版本 04 (2013-06-03)
第四次正式发布。

网关模式快速向导增加“管理口”配置，应用控制界面易用性优化。

文档版本 03 (2012-12-03)
第三次正式发布。

新增ASG2050和ASG2150两个型号。

文档版本 02 (2012-08-23)
第二次正式发布。

文档版本 01 (2012-07-18)
第一次正式发布。

典型配置案例目录
目录
前言 (ii)
1 部署模式综合案例 (1)
1.1 举例：双上行网关模式 (2)
1.2 举例：内网存在Trunk类型的多个VLAN时网关模式部署 (14)
1.3 举例：旁路模式部署 (20)
1.4 主备备份方式双机热备配置举例 (25)
1.4.1 举例：业务接口工作在二层 (26)
1.4.2 举例：业务接口工作在三层 (31)
1.4.3 举例：双机热备与NAT功能结合 (37)
1.5 负载分担方式双机热备配置举例 (42)
1.5.1 举例：业务接口工作在二层 (42)
1.5.2 举例：业务接口工作在三层 (46)
1.6 举例：多台ASG设备集中部署 (50)
2 典型功能综合案例 (56)
2.1 举例：上网行为管理和带宽管理综合场景 (57)
2.2 举例：在TSM服务器已经从AD域控制器完成账号同步的情况下使用TSM单点登录认证 (67)
2.3 举例：支持NAT穿越的点到多点IPSec隧道（策略模板） (74)
2.4 举例：使用VPN Client通过L2TP over IPSec接入总部 (80)
1部署模式综合案例关于本章
介绍ASG以双上行网关、旁路、双机热备和多台设备集中部署时的典型组网和配置步
骤。

其他典型部署模式请参见《从这里开始》。

1.1 举例：双上行网关模式
介绍ASG作为出口网关，通过两个ISP接入Internet的网络部署过程。

具体上网行为管理
业务不在本例介绍。

1.2 举例：内网存在Trunk类型的多个VLAN时网关模式部署
当内部网络中存在多个Trunk类型的VLAN，ASG作为网关部署在企业出口时，需要在
ASG上启用Trunk配置。

1.3 举例：旁路模式部署
介绍ASG以旁路模式接入网络的快速向导配置和接入网络后的审计策略配置。

1.4 主备备份方式双机热备配置举例
举例说明如何配置主备备份方式的双机热备功能。

1.5 负载分担方式双机热备配置举例
举例说明如何配置负载分担方式的双机热备功能。

1.6 举例：多台ASG设备集中部署
通过本配置举例，您可以了解到如何通过ASG管理中心对多台ASG设备进行集中统一管
理，从而实现规范员工上网行为的目的。

1.1 举例：双上行网关模式
介绍ASG作为出口网关，通过两个ISP接入Internet的网络部署过程。

具体上网行为管理
业务不在本例介绍。

组网需求
如图1-1所示，ASG以网关模式部署在企业网络出口处，管理内网用户的上网行为。

企
业可以通过两个ISP接入Internet（静态IP方式），两条链路进行流量分担，并且一条链
路故障流量可以切换到另一条链路。

具体需求如下：
l内网用户上网需求：企业可根据实际情况选择上网流量的分担方式。

本例中同时介绍两种方式的配置过程，请根据实际需求配置对应步骤。

–方式一：根据访问的外网地址所属的ISP进行选路，也就是去往不同运营商的流
量由ASG上连接对应运营商的接口转发。

–方式二：根据内网用户选路，不同的部门走不同的出口。

l外网访问企业服务器需求：企业内部Web Server对外公布2个公网地址供访问。

配置思路
1.运行快速向导完成基本参数配置（配置界面：选择“网络 > 快速向导”）。

快速向导中包含设备系统参数、网关部署模式及接口配置（包括基于接口的源
NAT）、设备与ASG管理中心对接参数。

2.企业通过两个ISP接入Internet进行上网流量分担，配置方式二选一（配置界面：选
择“网络 > 路由 > ISP选路”或者选择“网络 > 路由 > 策略路由”）。

l方式一：根据访问的外网地址所属的ISP进行选路。

配置到不同ISP网段的明细路由，使到不同ISP的流量从不同接口转发。

配置两条
缺省路由（向导中配置缺省网关时会自动下发），实现当一条链路故障时，流
量可以切换到另一条链路。

l方式二：根据内网用户进行选路。

配置策略路由，使来自不同用户的流量从不同接口转发。

配置两条缺省路由
（向导中配置缺省网关时会自动下发），当策略路由失效时走缺省路由，并且一
条链路故障可以切换到另一条链路。

3.配置地址映射，使企业内部的Web Server对外公布两个公网IP供外网访问（配置界
面：选择“网络 > NAT > 虚拟服务器”）。

操作步骤
步骤1运行快速向导部署网关模式的ASG。

1.选择“网络 > 快速向导”。

2.单击“开始配置”。

3.配置基本信息，单击“下一步”。

4.配置系统时间，单击“下一步”。

如果设备所在地存在夏时制，需要选中“根据夏时制自动调节时钟”配置夏时制的起止时间和偏移时间，系统在夏时制期间可以自动调节时钟。

5.选择“网关”部署模式，单击“下一步”。

6.分别选择LAN域接口、WAN域接口和DMZ域接口添加至右侧的对应列表中，单击
“下一步”。

7.分别配置两个WAN口的参数，单击“下一步”。

注意两个接口都要启用接口NAT。

多上行组网下，只支持接口NAT，不支持应用在域间的NAT。

8.配置LAN口参数，单击“下一步”。

“启用接口DHCP服务”表示ASG为上网PC自动分配IP地址，地址范围是与LAN口同网段的IP地址。

9.配置DMZ口参数，单击“下一步”。

10.可选: 配置管理口，单击“下一步”。

共享密钥需要与将设备加入ASG管理中心时设置的“登录密码”一致。

备。

运行向导后需要重启设备，向导中未使用的接口配置将被清空。

如果要使用其他接
口需要选择“网络 > 接口”将接口加入安全区域并配置IP地址等参数。

步骤2配置路由实现上网流量的负载分担，配置方式二选一。

向导中配置WAN口的缺省网关后将自动生成两条缺省路由，可以选择“网络 > 路由 > 静态路
由”进行检查。

l方式一：收集各ISP的网段信息，配置到各网段的明细路由。

访问的目的地址属于ISP1的流量由GigabitEthernet 0/0/4转发，访问的目的地址属于ISP2的流量由GigabitEthernet
0/0/5转发。

1.选择“网络 > 路由 > ISP选路”。

2.收集运营商网段信息并编辑CSV文件，每个运营商一个文件。

设备预置了一些
常用运营商的网段信息文件方便使用。

如果需要创建新的文件，推荐导出一个文件在其上修改。

每一行是一个网段，
格式是x.x.x.x-x.x.x.x。

3.单击“导入”，导入准备好的CSV文件。

4.在文件列表中，单击导入的文件所在行的配置下一跳地址。

ISP1对应的下一跳地址为ISP1的网关1.1.1.1，ISP2对应的下一跳地址为ISP2的网
关2.1.1.1。

5.选中文件所在行的“启用”，设备自动根据网段和下一跳生成静态路由。

6.选择“网络 > 路由 > 静态路由”，检查路由列表中是否正确增加了路由。

l方式二：根据内网用户配置策略路由，部门A的流量由GigabitEthernet 0/0/4转发，部门B的流量由GigabitEthernet 0/0/5转发。

1.选择“网络 > 路由 > 策略路由”。

2.单击“新建”，输入名称并选择与部门A连接的接口，然后单击“确定”。

3.单击节点0所在行的，选择部门A的地址范围及部门名称，并配置下一跳为ISP1
的网关。

也就是使部门A的流量从与ISP1相连的接口转发。

部门结构和认证的配置不在本例介绍，这里直接使用配置好的部门名称。

也可以只指定
IP范围不指定用户。

l重复以上步骤配置策略路由ISP2。

应用策略路由的接口为与部门B连接的接口，下一跳为ISP2的网关。

步骤3配置地址映射。

1.选择“网络 > NAT > 虚拟服务器”
2.单击“新建”，分别配置两个虚拟服务器。

一个内部地址映射多个外部地址时，“允许服务器使用该外部地址上网”需要处于
未选中状态。

此时Web Server不能主动访问外网，如需访问需要单独配置源NAT。

步骤4配置内网PC的IP地址获取方式为“自动获取IP地址”（本例中ASG自动为内网PC分配IP 地址）。

步骤5配置Web Server的网关为GigabitEthernet 0/0/3的IP地址10.1.1.1。

----结束
结果验证
1.验证内网用户上网。

在内网PC上访问属于ISP1的外网服务器（IP地址为200.2.1.2）。

此时选择“网络 >
监控 > 会话表”查看会话表，可以看到源地址由私网IP地址192.168.1.2转换为与ISP1
相连的外网接口的IP地址1.1.1.8。

查看详细信息，可以看到出接口是与ISP1相连的外网接口GigabitEthernet 0/0/4。

如果是配置策略路由的方式，ASG根据内网用户的范围选路。

192.168.1.0/24网段的
内网用户的出接口是GigabitEthernet 0/0/4；192.168.2.0/24网段的内网用户的出接口
是GigabitEthernet 0/0/5。

2.验证外网访问内网服务器。

外网用户访问内网Web Server的公网IP地址1.1.1.100。

此时选择“网络 > 监控 > 会
话表”查看会话表，可以看到目的地址转换为Web Server实际的私网IP地址
10.1.1.2。

1.0.0.0/8
2.0.0.0/8
配置思路
以下所有配置均在“快速向导中”（菜单路径为“网络 > 快速向导”）中完成。

1.配置ASG以网关模式接入。

2.配置WAN口以静态IP方式接入Internet，且启用接口NAT。

3.配置LAN口启用Trunk功能，配置VLAN10和VLAN20，并启用接口DHCP服务。

4.配置DMZ口和管理中心。

操作步骤
步骤1配置基本信息和系统时间。

1.选择“网络 > 快速向导”。

2.单击“开始配置”。

3.在“配置基本信息”页签中设置ASG的主机名，如果是首次登录建议修改密码。

单
击“下一步”。

4.在“配置系统时间”页签中选择时区、日期和时间等参数。

单击“下一步”。

步骤2在“选择部署模式”页签中选择“网关”。

单击“下一步”。

步骤3将接口加入安全区域并配置LAN、WAN和DMZ区域的接口。

1.在“配置接口”页签中将“GE0/0/1”、“GE0/0/2”和“GE0/0/3”分别加入LAN、
WAN和DMZ安全区域。

单击“下一步”。

2.在“配置WAN口”页签中选择或输入“GE0/0/2”的各项参数。

单击“下一步”。

3.在“配置LAN口”页签中选择或输入“GE0/0/1”的各项参数。

单击“下一步”。

4.在“配置DMZ口”页签中选择或输入“GE0/0/3”的各项参数。

单击“下一步”。

步骤4可选: 配置管理口，单击“下一步”。

击“下一步”。

步骤6在“核对配置信息”页签中确认配置，单击“应用”完成配置。

至此完成了Trunk类型的网关模式部署，后续的业务配置主要包括用户管理、上网策略和带宽策略
等，具体参见功能配置举例。

----结束
具体需求如下：
l需求一：对员工访问公司内部Web服务器的流量不审计，只审计访问Internet的流量。

l需求二：记录内外用户访问的网站、通过网页提交的文本内容和不大于8MB的外发文件。

l需求三：记录外发邮件的内容和不大于8MB的附件。

配置思路
1.配置快速向导，选择以旁路模式部署。

菜单路径为“网络 > 快速向导”。

2.配置全局排除地址，将内部Web服务器加入全局排除地址列表，不对内部员工访问
Web服务器的流量进行审计。

菜单路径为“系统 > 全局排除地址”。

3.配置审计策略，启用“WEB审计”和“邮件审计”，并根据需求配置具体审计内
容。

菜单路径为“策略管理 > 上网策略”，在“上网策略列表”中单击“新建”，选择
“审计策略”。

镜像流量应该包括从与Internet连接的交换机接口出去和进来的流量。

操作步骤
步骤1配置ASG以旁路模式部署，实现ASG仅审计不控制的目的。

1.选择“网络 > 快速向导”。

2.单击“开始配置”。

3.在“配置基本信息”页签中设置ASG的主机名，如果是首次登录建议修改密码。

单
击“下一步”。

4.在“配置系统时间”页签中选择时区、日期和时间等参数。

单击“下一步”。

5.在“选择部署模式”页签中选择“旁路”。

单击“下一步”。

6.在“配置接口”页签中选择或输入相关参数。

单击“下一步”。

7.在“配置内网IP”页签中输入“部门A”所在的网段。

单击“下一步”。

8.在“配置管理中心”页签中输入管理中心的IP地址和共享密钥。

单击“下一步”。

9.在“核对配置信息”页签中核对前面所配置的信息。

单击“应用”。

快速向导配置完成后，ASG自动重启，向导配置重启后生效。

后续的全局排除地址和审计策
略在重启完成后再配置。

步骤2将Web服务器地址加入全局排除地址列表，达到内部员工访问Web服务器流量不进行审计的目的。

1.选择“系统 > 全局排除地址”。

2.在“全局排除地址”中单击“新建”。

3.输入相关参数。

单击“确定”。

步骤3配置审计策略，达到审计内部员工访问Internet的目的。

1.选择“策略管理 > 上网策略”。

2.在“上网策略列表”中单击“新建”，选择“审计策略”。

3.选择或输入相关参数。

4.选择“部门和用户”页签。

5.单击“添加”，将该策略分配给“部门A”。

6.单击“确定”。

----结束
结果验证
配置完成后，“部门A”用户可以正常访问Web服务器和Internet。

登录管理中心后，没
有访问Web服务器的相关日志，执行如下操作查看访问Internet的日志明细。

1.在“报表 > 日志明细 > 网站查询”中查看“部门A”用户访问的网站。

2.在“报表 > 日志明细”中的“HTTP信息查询”和“文件收发查询”查看通过网页
提交的文本内容和外发的文件。

3.在“报表 > 日志明细”中的“邮件查询”和“文件收发查询”查看外发邮件内容和
外发附件。

1.4 主备备份方式双机热备配置举例
举例说明如何配置主备备份方式的双机热备功能。

配置思路
1.由于ASG的业务接口工作在二层，不能配置IP地址。

因此本举例选择将两个业务接
口加入到同一VLAN，并且由管理组监控VLAN。

2.由于希望实现主备备份方式，需要在ASG_A上配置Active管理组监控VLAN，在
ASG_B上配置Standby管理组监控VLAN。

3.为了使ASG_B能够备份ASG_A的关键配置命令和会话表状态信息，需要在两台ASG
上指定HRP备份通道，然后启用HRP功能。

4.配置上下行设备。

上下行是交换机或路由器时，ASG上的配置除了步骤4在上下行是交换机时可以不配置，其他配置都相
同。

操作步骤
步骤1在ASG_A上配置接口GE0/0/2的IP地址，将业务接口GE0/0/1和GE0/0/3加入VLAN2，并将各个接口加入安全区域。

如果使用快速向导配置ASG为网桥模式，接口缺省已加入VLAN 1。

1.选择“网络 > 接口”。

2.在“接口列表”中，单击GE0/0/1对应的。

3.在“修改GigabitEthernet”界面中，配置如下：
l安全区域：LAN
l模式：交换
l连接类型：Access
l Access VLAN ID：2
4.单击“确定”。

5.在“接口列表”中，单击GE0/0/2对应的。

6.在“修改GigabitEthernet”界面中，配置如下：
l安全区域：DMZ
l模式：路由
l连接类型：静态IP
l IP地址：10.100.20.2
l子网掩码：255.255.255.0
7.单击“确定”。

8.在“接口列表”中，单击GE0/0/3对应的。

9.在“修改GigabitEthernet”界面中，配置如下：
l安全区域：WAN
l模式：交换
l连接类型：Access
l Access VLAN ID：2
10.单击“确定”。

步骤2在ASG_A上指定HRP备份通道后，启用HRP功能。

1.选择“系统 > 高可靠性 > 双机热备”。

2.在“配置双机热备”界面中选择HRP备份通道，启用HRP功能。

3.单击“确定”。

步骤3在ASG_A上配置Active管理组监控VLAN2。

1.在“配置双机热备”界面中，单击“高级”前的，展开高级选项。

2.单击“配置HRP状态监控组”后的“配置”按钮。

3.在“配置状态监控组”界面中，配置Active管理组监控VLAN2。

4.单击。

5.单击“关闭”，退出“配置状态监控组”界面。

步骤4在ASG_A上配置抢占延时为60秒。

路由协议的收敛速度没有双机热备的主备状态切换速度快，为了保证业务不中断，需要在路由协议收敛之后再进行主备状态切换。

因此当设备运行OSPF动态路由协议时，建议将抢占延时设置为60s。

1.在“高级”选项中，选中“主动抢占”对应的复选框后，输入延时值。

2.单击“确定”。

步骤5配置Link Group，将业务接口GE0/0/1和GE0/0/3加入Link Group1，保证链路故障时路由快速收敛。

1.选择“系统 > 高可靠性 > Link Group”。

2.在“Link Group”中，单击“Link Group号1”对应的。

3.在“修改Link Group”界面中，选中接口GE0/0/1和GE0/0/3后，单击。

4.单击“应用”。

步骤6配置ASG_B。

ASG_B和ASG_A的配置基本相同，不同之处在于：
l ASG_B的接口GE0/0/2的IP地址与ASG_A的接口GE0/0/2的IP地址不相同，但在同一个网段。

l在ASG_B上需要配置Standby管理组监控VLAN2。

步骤7配置上下行设备：路由器或交换机。

l路由器
在路由器上配置OSPF，具体配置命令请参考路由器的相关文档。

为了保证业务流量通过主用设备ASG_A转发，连接ASG_A的路由器的接口OSPF Cost
值需要小于连接ASG_B的路由器的接口OSPF Cost值。

l交换机
将交换机的三个接口加入同一个VLAN，具体配置请参考交换机的相关文档。

----结束
结果验证
l查看ASG_A的HRP状态和管理组状态。

图1-5主用设备的状态
如图1-5所示，主用设备ASG_A的HRP状态为Active，主组状态为Active，备组状态
为Initialize，状态正常。

l查看ASG_B的HRP状态和管理组状态。

图1-6备用设备的状态
配置思路
上下行连接路由器和上下行连接交换机的场景有差异，具体如下：路由器：
1.（共同）为了使ASG_B 能够备份ASG_A 的关键配置命令和会话表状态信息，需要在
两台ASG 上指定HRP 备份通道，然后启用HRP 功能。

2.（差异）为了保证正常情况下，业务流量通过主用设备ASG_A 转发，需要在网络中
的各台设备上配置OSPF
，并且连接ASG_A 的路由器的接口OSPF Cost 值需要小于连接ASG_B 的路由器的接口OSPF Cost 值。

3.（差异）为了保证主备设备状态切换后，业务流量能够被正确引导到备用设备上，
需要在ASG 上配置根据HRP 状态调整OSPF 的Cost 值功能。

由于在两台ASG 和上下行连接的路由器上配置了OSPF ，因此ASG 的业务口不需要配置管理组和VRRP ，直接由OSPF 监控。

交换机：
1.（差异）由于ASG 的业务接口工作在三层，能够配置IP 地址。

而且ASG 上下行连接
交换机，交换机能够透传VRRP 报文。

因此本举例选择在业务接口上配置IP 地址和VRRP 备份组，由VRRP 备份组监控接口状态。

2.（差异）为了实现主备备份方式，需要将ASG_A 的VRRP 备份组加入Active 管理组，
ASG_B 的VRRP 备份组加入Standby 管理组，由管理组统一监控接口状态。

3.（共同）为了使ASG_B 能够备份ASG_A 的关键配置命令和会话表状态信息，需要在
两台ASG 上指定HRP 备份通道，然后启用HRP 功能。

4.（差异）为了保证正常情况下路由可达，且主备设备状态切换后业务流量能够被正
确引导到备用设备上，需要在内网的PC 或设备上配置静态路由，下一跳为VRRP 备份组的虚拟IP 地址。

操作步骤
步骤1（共同）配置ASG_A 各接口的IP 地址，并把接口加入相应的安全区域。

1.选择“网络 > 接口”。

2.在“接口列表”中，单击GE0/0/1对应的。

3.
在“修改GigabitEthernet ”界面中，配置如下：
l 安全区域：LAN l IP 地址：10.100.10.2l 子网掩码：255.255.255.0
4.单击“确定”。

5.在“接口列表”中，单击GE0/0/2对应的。

6.在“修改GigabitEthernet”界面中，配置如下：
l安全区域：DMZ
l IP地址：10.100.20.2
l子网掩码：255.255.255.0
7.单击“确定”。

8.在“接口列表”中，单击GE0/0/3对应的。

9.在“修改GigabitEthernet”界面中，配置如下：
l安全区域：WAN
l IP地址：110.100.20.2
l子网掩码：255.255.255.0
10.单击“确定”。

步骤2（共同）在ASG_A上指定HRP备份通道后，启用HRP功能。

1.选择“系统 > 高可靠性 > 双机热备”。

2.在“配置双机热备”界面中选择HRP备份通道，启用HRP功能。

3.单击“应用”。

步骤3（差异，适用路由器）在ASG_A上配置运行OSPF动态路由协议。

1.选择“网络 > 路由 > OSPF”。

2.在“OSPF列表”中，单击“新建”。

3.在“新建OSPF”界面中，设置“进程ID”为100后，单击“确定”。

4.在“OSPF列表”中，单击进程ID“100”所在行的。

5.在“区域配置列表”中，单击“新建”。

6.在“新建区域”界面中，配置如下：
l区域：0.0.0.0
l网段IP：10.100.10.0
l正/反掩码：0.0.0.255
7.单击“确定”。

8.在“OSPF进程ID: 100”导航树中，选择“基本配置 > 网络配置”。

9.在“网络配置列表”中，单击“新建”。

10.在“新建网络”界面中，配置如下：
l区域：0.0.0.0
l网段IP：110.100.20.0
l正/反掩码：0.0.0.255
11.单击“确定”。

步骤4（差异，适用路由器）在ASG_A上配置根据HRP状态调整OSPF的Cost值功能。

1.在“高级”选项中，选中“设置OSPF Cost值”对应的复选框后，输入OSPF Cost
值。

2.单击“应用”。

步骤5（差异，适用路由器）在ASG_A上配置抢占延时为60秒。

路由协议的收敛速度没有双机热备的主备状态切换速度快，为了保证业务不中断，需要在路由协议收敛之后再进行主备状态切换。

因此当设备运行OSPF动态路由协议时，建议将抢占延时设置为60s。

1.在“高级”选项中，选中“主动抢占”对应的复选框后，输入延时值。

2.单击“应用”。

步骤6（差异，适用路由器）配置备份通道的VRRP。

步骤7（差异，适用路由器）配置ASG_B。

ASG_B和ASG_A的配置基本相同，不同之处在于：
l ASG_B各接口的IP地址与ASG_A各接口的IP地址不相同。

l在ASG_B上配置OSPF动态路由协议时，应该发布ASG_B的业务接口所在网段的路由。

步骤8（差异，适用路由器）配置路由器。

在路由器上配置OSPF，具体配置命令请参考路由器的相关文档。

为了保证业务流量通过主用设备ASG_A转发，连接ASG_A的路由器的接口OSPF Cost值需要小于连接ASG_B的路由器的接口OSPF Cost值。

步骤9（差异，适用交换机）配置ASG_A的VRRP备份组，并将VRRP备份组加入状态为Active 的管理组。

1.选择“系统 > 高可靠性 > 双机热备”。

2.在“VRID列表”中，单击“新建”。

3.在“新建VRID”界面中，配置VRRP备份组1。

4.单击“确定”。

5.在“VRID列表”中，单击“新建”。

6.在“新建VRID”界面中，配置VRRP备份组2。

7.单击“确定”。

步骤10（差异，适用交换机）配置ASG_B。

ASG_B和上述ASG_A的配置基本相同，不同之处在于：
l ASG_B各接口的IP地址与ASG_A各接口的IP地址不相同。

l ASG_B的业务接口GE0/0/1和GE0/0/3加入Standby管理组。

步骤11（差异，适用交换机）配置交换机。

将交换机的三个接口加入同一个VLAN，具体配置命令请参考交换机的相关文档。

步骤12（差异，适用交换机）在内网中的PC上配置静态路由，静态路由的下一跳地址为VRRP 备份组1的虚拟IP地址10.100.10.1/24。

----结束
结果验证
l查看ASG_A的HRP状态和管理组状态。

图1-8主用设备的状态
如图1-8所示，主用设备ASG_A的HRP状态为Active，主组状态为Active，备组状态
为Initialize，状态正常。

l查看ASG_B的HRP状态和管理组状态。

配置思路
1.由于ASG的业务接口工作在三层，能够配置IP地址。

而且ASG上下行连接交换机，
交换机能够透传VRRP报文。

因此本举例选择在业务接口上配置IP地址和VRRP备份
组，由VRRP备份组监控接口状态。

2.为了实现主备备份方式，需要将ASG_A的VRRP备份组加入Active管理组，ASG_B
的VRRP备份组加入Standby管理组，由管理组统一监控接口状态。

3.为了使内网用户能够使用公网IP地址访问Internet，需要配置Trust与Untrust域间的源
NAT。

当NAT地址池中的地址与VRRP备份组的虚拟IP地址在同一网段时，为了避
免业务冲突，需要配置NAT地址池与管理组绑定。

4.为了使ASG_B能够备份ASG_A的关键配置命令和会话表状态信息，需要在两台ASG
上指定HRP备份通道，然后启用HRP功能。

5.为了保证正常情况下路由可达，且主备设备状态切换后流量能够被正确地引导到备
用设备上，需要在内网的PC或设备上配置静态路由，下一跳为VRRP备份组的虚拟
IP地址。

操作步骤
步骤1配置ASG_A各接口的IP地址，并把接口加入相应的安全区域。

1.选择“网络 > 接口”。

2.在“接口列表”中，单击GE0/0/1对应的。

3.在“修改GigabitEthernet”界面中，配置如下：
l安全区域：LAN
l IP地址：10.100.10.2
l子网掩码：255.255.255.0
4.单击“确定”。

5.在“接口列表”中，单击GE0/0/2对应的。

6.在“修改GigabitEthernet”界面中，配置如下：
l安全区域：DMZ
l IP地址：10.100.20.2
l子网掩码：255.255.255.0
7.单击“确定”。

8.在“接口列表”中，单击GE0/0/3对应的。

9.在“修改GigabitEthernet”界面中，配置如下：
l安全区域：WAN
l IP地址：110.100.30.2
l子网掩码：255.255.255.0
10.单击“确定”。

步骤2配置ASG_A的VRRP备份组，并将VRRP备份组加入状态为Active的管理组。

1.选择“系统 > 高可靠性 > 双机热备”。

2.在“VRID列表”中，单击。

3.在“新建VRID”界面中，配置VRRP备份组1。