去年給某銀行部署過華為防火牆雙齣口冗餘,主備模式,但是規定隻能用他們的電腦調試,更不可能截圖或者帶備份配置文件齣來,所以寫這篇文章完全沒有素材,隻能用模擬器搭一下,實物照片,也是沒有的,手機都不得帶入機房。
進機房的時候還被告知,如果發生火情,務必在30秒內離開機房,因為30秒後,機房門窗會自動鎖死,空氣將被抽空,人在裏麵的話可相而知……
言歸正傳,先看今天的拓撲圖。
AR1代錶運營商雙齣口網絡,事實上並不存在這台設備;並且,銀行也並沒有采用PPPOE鏈路,此處隻是為瞭順便展示一下PPPOE的配置而已,這個必須事先聲明,不然評論區肯定是一片質疑聲;就算我現在聲明瞭,還有很多人根本沒看到,然後就會吐槽,哪個銀行會用PPPOE鏈路?編故事也要像一點啊!
算瞭隨他去吧,簡單說說配置過程吧,當然其實上的鏈路遠不止兩條,畢竟銀行都有內外網。
兩台華為的防火牆,fw1為主,fw2為備;兩台華為核心交換機,沒有采用堆疊技術,而是采用VRRP技術進行配置。
準備工作: 先讓外網鏈路就位吧,在模擬器裏麵配置一下AR1,實際環境中是沒有這一步的;
aaa
local-user test password cipher huawei //創建一個寬帶賬戶密碼
local-user test service-type ppp
ip pool pppoe //創建PPPOE地址池,並且保留1-10不分配;
network 202.1.1.0 mask 255.255.255.0
excluded-ip-address 202.1.1.1 202.1.1.10
interface Virtual-Template1 //創建模闆,設定用戶鑒權模式、指明IP地址池
ppp authentication-mode chap
remote address pool pppoe
ip address 202.1.1.1 255.255.255.0
interface GigabitEthernet0/0/0 //pppoe-server應用到接口
pppoe-server bind Virtual-Template 1
#
interface GigabitEthernet0/0/1 //與FW2連接的接口,配置IP地址即可
ip address 202.2.2.1 255.255.255.0
以下纔是真正的配置工作:
一、兩台防火牆配置VRRP,主備模式
[FW1]vlan 100
[FW1]int g1/0/3
[FW1-GigabitEthernet1/0/3]portswitch //默認是L3接口,開啓L2功能
[FW1-GigabitEthernet1/0/3]p l t //端口配置為trunk模式
[FW1-GigabitEthernet1/0/3]p t a v a //放行所有VLAN
[FW1-GigabitEthernet1/0/3]q
[FW1]int vlan 100
[FW1-Vlanif100]ip ad 192.168.100.11 24
[FW1-Vlanif100]vrrp vrid 1 virtual-ip 192.168.100.254 active //加入VGMP組,FW1為主
[FW1]firewall zone dmz //vlan100是放服務器的,所以劃到dmz區域
[FW1-zone-dmz]add int vlan 100
[FW1-zone-dmz]q
FW2的配置就兩處不同:
[FW2-Vlanif100]ip add 192.168.100.12 24
[FW2-Vlanif100]vrrp vrid 1 virtual-ip 192.168.100.254 standby //加入VGMP組,FW2為備
Display vrrp,查看vrrp配置是否正確:
二、防火牆配置上行鏈路
1、FW1配置PPPOE撥號:
interface Dialer0
link-protocol ppp
ppp chap user test
ppp chap password cipher huawei
mtu 1400
ip address ppp-negotiate
dialer user test
dialer bundle 1
dialer-group 1
firewall zone untrust
add interface Dialer 0
dialer-rule 1 ip permit
ip route-static 0.0.0.0 0 Dialer 0 //配置默認路由,PPPOE撥號的,沒有固定的下一跳地址
2、FW2配置固定IP:
[FW2]int g1/0/2
[FW2-GigabitEthernet1/0/0]ip add 202.2.2.2 24
[FW2-GigabitEthernet1/0/0]q
[FW2]firewall zone untrust
[FW2-zone-untrust]add int g1/0/2
[FW2-zone-untrust]q
[FW2]ip route-static 0.0.0.0 0 202.2.2.1 //配置默認路由,下一跳是路由器接口IP
外部鏈路雖然配置好瞭,但是沒有安全策略放行,是不能上網的。
三、防火牆配置下行鏈路
1、FW1的配置:
[FW1]vlan 111
[FW1]int vlan 111
[FW1-Vlanif111]ip add 172.16.111.11 24
[FW1-Vlanif111]ser ping permit
[FW1-Vlanif111]q
[FW1]firewall zone trust
[FW1-zone-trust]add int vlan 111
[FW1-zone-trust]q
[FW1]ospf router-id 172.1.1.11
[FW1-ospf-1]area 0
[FW1-ospf-1-area-0.0.0.0]net 192.168.100.11 0.0.0.0
[FW1-ospf-1-area-0.0.0.0]net 172.16.111.11 0.0.0.0
[FW1-ospf-1-area-0.0.0.0]q
2、FW2的配置:
[FW2]vlan 112
[FW2]int vlan 112
[FW2-Vlanif112]ip add 172.16.112.12 24
[FW2-Vlanif112]ser ping permit
[FW2-Vlanif112]q
[FW2]firewall zone trust
[FW2-zone-trust]add int vlan 112
[FW2-zone-trust]q
[FW2]ospf router-id 172.1.1.12
[FW2-ospf-1]area 0
[FW2-ospf-1-area-0.0.0.0]net 192.168.100.12 0.0.0.0
[FW2-ospf-1-area-0.0.0.0]net 172.16.112.12 0.0.0.0
[FW2-ospf-1-area-0.0.0.0]q
下麵的核心交換機還沒配置,這個時候,OSFP是起不來的,不急於查看。現在可以 配置 兩台防火牆的 心跳綫 瞭:
[FW1]int g1/0/0
[FW1-GigabitEthernet1/0/0]ip add 10.1.12.1 24
[FW1-GigabitEthernet1/0/0]q
[FW1]firewall zone trust
[FW1-zone-trust]undo add int g1/0/0
[FW1-zone-trust]q
[FW1]firewall zone dmz
[FW1-zone-dmz]add int g1/0/0
[FW1-zone-dmz]q
其實心跳綫接口可以放在trunst區域,當然要放在DMZ區域也無可厚非。
[FW2]int g1/0/0
[FW2-GigabitEthernet1/0/0]ip add 10.1.12.2 24
[FW2-GigabitEthernet1/0/0]q
[FW2]firewall zone trust
[FW2-zone-trust]undo add interface g1/0/0
[FW2-zone-trust]q
[FW2]firewall zone dmz
[FW2-zone-dmz]add int g1/0/0
[FW2-zone-dmz]q
指定hrp鏈路,設置參數heartbeat-only,指定該備份通道隻用於傳輸HRP控製協商報文,不備份連接狀態,保證雙機狀態的穩定。
[FW1]hrp interface g1/0/0 remote 10.1.12.2 heartbeat-only
[FW2]hrp interface g1/0/0 remote 10.1.12.1 heartbeat-only
[FW2]hrp standby-device //設置FW2為備份設備
在hrp主設備上定義相關參數:
[FW1]hrp standby config enable //備用設備也可以參與配置。 默認standy設備不可以自行管理,必須從master設備同步配置
[FW1]hrp auto-sync config //開啓配置命令和會話的自動同步,這個同步是相互的
[FW1]hrp mirror session enable //設置session的快速備份
[FW1]hrp timer hello 1000 //心跳綫keepalive周期1sec,單位msec,默認就是1s一次
[FW1]hrp preempt delay 60 //如果Master設備故障恢復,需要保持60sec纔可以恢復成Master身份,防止頻繁震蕩
[FW1]hrp preempt //開啓恢復搶占
參數定義完成後,兩端開啓HRP
[FW1]hrp enable
[FW2]hrp enable
到這裏,防火牆的主備冗餘是基本上配置完成後,與核心交換機的互聯,以及NAT、安全策略的配置,留到下一篇文章繼續說明。
責任編輯: