华为设备全冗余网络防火墙热备配置
需求说明:
FW1和FW2工作在路由模式。现要求实现Firewall 1能正常工作的情况下,SW2- A通过FW1访问SW1区域。当FW1故障时, SW2-B通过FW2访问SW1区域。当FW-A与SW2-B同时发现故障时,SW2-A可以通过FWB访问SW1区域。现实双机热备模式下的多线路热备。
图1 配置双冗余方式下的双机热备组网图
相关基础配置
1. 在USG_A上完成以下基本配置。
# 配置GigabitEthernet 0/0/0的IP地址。
<USG_A> system-view
[USG_A] interface GigabitEthernet 0/0/0
[USG_A-GigabitEthernet0/0/0] ip address 100.100.100.1 24
[USG_A-GigabitEthernet0/0/0] quit
# 配置GigabitEthernet 0/0/1的IP地址及虚拟IP地址。
请确保虚拟IP地址和任何接口的实际IP地址不同。
[USG_A] interface GigabitEthernet 0/0/1
[USG_A-GigabitEthernet0/0/1] ip address 172.168.1.1 24
[USG_A-GigabitEthernet0/0/2] vrrp vrid 1 virtual-ip 172.168.1.3 master
[USG_A-GigabitEthernet0/0/1] quit
# 配置GigabitEthernet 0/0/2的IP地址及虚拟IP地址。。
[USG_A] interface GigabitEthernet 0/0/2
[USG_A-GigabitEthernet0/0/2] ip address 172.168.2.1 24
[USG_A-GigabitEthernet0/0/2] vrrp vrid 1 virtual-ip 172.168.2.3 master
[USG_A-GigabitEthernet0/0/2] quit
# 配置GigabitEthernet 0/0/1的IP地址及虚拟IP地址。。
[USG_A] interface GigabitEthernet 0/0/3
[USG_A-GigabitEthernet0/0/3] ip address 172.168.3.1 24
[USG_A-GigabitEthernet0/0/3] vrrp vrid 1 virtual-ip 172.168.3.3 master
[USG_A-GigabitEthernet0/0/3] quit
# 配置GigabitEthernet 0/0/2的IP地址。
[USG_A] interface GigabitEthernet 0/0/4
[USG_A-GigabitEthernet0/0/4] ip address 172.168.4.1 24
[USG_A-GigabitEthernet0/0/4] vrrp vrid 1 virtual-ip 172.168.4.3 master
[USG_A-GigabitEthernet0/0/4] quit
# 配置GigabitEthernet 0/0/1、GigabitEthernet 0/0/2加入Trust区域。
[USG_A] firewall zone trust
[USG_A-zone-trust] add interface GigabitEthernet 0/0/1
[USG_A-zone-trust] add interface GigabitEthernet 0/0/2
[USG_A-zone-trust] quit
# 配置GigabitEthernet 0/0/0加入DMZ区域。
[USG_A] firewall zone dmz
[USG_A-zone-dmz] add interface GigabitEthernet 0/0/0
[USG_A-zone-dmz] quit
# 配置GigabitEthernet 0/0/3、 GigabitEthernet 0/0/4加入Untrust区域。
[USG_A] firewall zone untrust
[USG_A-zone-untrust] add interface GigabitEthernet 0/0/3
[USG_A-zone-untrust] add interface GigabitEthernet 0/0/4
[USG_A-zone-untrust] quit
# 配置HRP备份通道。
注意:主备USG的HRP备份通道接口必须直接相连,中间不能连接交换机。
[USG_A] hrp interface GigabitEthernet 0/0/0
# 启动HRP。
[USG_A] hrp enable
2. 配置USG_B。
USG_B和上述USG_A的配置基本相同,不同之处在于:
o USG_B各接口的IP地址与USG_A各接口的IP地址不相同。
o USG_B的VRRP指定的管理组应该设为Slave。
3. 在USG_A上启动配置命令的自动备份、配置Trust区域和Untrust区域的域间包过滤规则。
说明:当USG_A和USG_B都启动HRP功能完成后,在USG_A上开启配置命令的自动备份,这样在USG_A上配置的域间包过滤规则都将自动备份到USG_B。
# 启动配置命令的自动备份功能。
HRP_M[USG_A] hrp auto-sync config
# 配置域间包过滤规则,默认允许。
HRP_M[USG_A] firewall packet-filter default permit all
联系客服