- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
43-雙機熱備典型配置舉例
本章節下載: 43-雙機熱備典型配置舉例 (951.38 KB)
本章包含內容如下:
· 簡介
· 配置前提
· 使用限製
· HA聯動VRRP三層直連主備組網典型配置舉例(IPv4)
· HA聯動VRRP三層直連雙主組網典型配置舉例(IPv4)
· HA聯動VRRP三層直連主備組網典型配置舉例(IPv6)
本文檔介紹HA(High Availability,高可靠性)的典型配置舉例,下文中使用的HA概念無特殊說明的情況下均指雙機熱備(RBM)技術。
本文檔不嚴格與具體軟、硬件版本對應,如果使用過程中與產品實際情況有差異,請以設備實際情況為準。
本文檔中的配置均是在實驗室環境下進行的配置和驗證,配置前設備的所有參數均采用出廠時的缺省配置。如果您已經對設備進行了配置,為了保證配置效果,請確認現有配置和以下舉例中的配置不衝突。
本文檔假設您已了解雙機熱備、VRRP、Track等特性。
在部署HA功能之前,請先保證主/備設備的硬件環境的一致和軟件環境的一致。
部署HA前,請先保證主/備設備硬件環境的一致,具體要求如下:
· 主/備設備的型號必須一致。
· 主/備設備上主控板、業務板、交換網板和接口板的類型、位置和數量必須一致。
· 主/備設備上管理接口、業務接口、控製通道接口和數據通道接口需要分別使用相互獨立的接口,且所使用的相關接口編號和類型必須一致。
· 主/備設備上硬盤的類型、位置和數量建議一致。未安裝硬盤的設備日誌存儲量將遠低於安裝了硬盤的設備,而且部分日誌和報表功能不可用。
部署HA前,請先保證主/備設備軟件環境的一致性,具體要求如下:
· 主/備設備的係統軟件環境及其版本必須一致,如:Boot包、System包、Feature包和補丁包等等。
· 主/備設備上被授權的特征庫和特性環境必須一致,如:特征庫的種類,每類特征庫的版本、授權時間範圍、授權的資源數等等。
· 主/備設備的接口編號必須一致。
· 主/備設備之間建立HA控製通道和數據通道的接口類型、速率和編號等信息必須一致,推薦使用靜態聚合接口。
· 主/備設備上聚合接口的編號、成員接口編號必須一致。
· 主/備設備相同編號的接口必須加入相同的安全域。
在HA聯動VRRP的組網環境中,必須將NAT相關配置(NAT策略、NAT動態轉換、NAT靜態轉換、NAT內部服務器)與VRRP備份組進行綁定,否則NAT無法正常工作。
在HA組網環境中,必須在SSL VPN的”全局配置”中配置SSL VPN在雙機熱備中傳輸用戶數據的端口,否則SSL VPN功能在HA組網環境中不能正常使用。
SSL VPN功能僅支持在HA+VRR的主備模式下進行可靠性部署,不支持在HA的其他主備和雙主模式下進行可靠性部署。
在HA透明直連雙主的非對稱路徑組網環境中,需要使用應用安全相關業務時,必須在應用安全的“高級配置”中開啟DPI業務支持雙機熱備功能。否則,可能會出現應用安全業務無法準確識別和處理報文的問題。
如圖-1所示,某公司以Device作為網絡邊界安全防護設備,連接公司內部網絡和Internet。為提高業務穩定性,使用兩台Device進行HA組網,Device A作為主設備,Device B作為備設備。當Device A或其鏈路發生故障時,由Device B接替Device A繼續工作,保證業務不中斷。
圖-1 HA聯動VRRP三層直連主備組網圖
本舉例是在F1000-AI-55的R8860版本上進行配置和驗證的。
此典型配置舉例中各設備上的具體配置步驟如下。
# 在Switch A上創建VLAN 10,並將連接Device A、Device B和Router的接口設置成工作在二層模式,接口鏈路類型為Access,並將此接口加入VLAN 10。
# 在Switch B上創建VLAN 10,並將連接Device A、Device B和Host的接口設置成工作在二層模式,接口鏈路類型為Access,並將此接口加入VLAN 10。
# 配置接口GigabitEthernet1/0/7的IPv4地址為2.1.1.15/24。
# 配置路由信息,去往內網流量的下一跳IPv4地址為VRRP備份組1的虛擬IPv4地址2.1.1.3,去往Internet流量的下一跳IPv4地址為出接口對端的IPv4地址。
1. 配置接口的IP地址
# 選擇“網絡 > 接口 > 接口”,進入接口配置頁麵。
# 單擊接口GE1/0/1右側的<編輯>按鈕,配置如下。
· 安全域:Untrust
· 選擇“IPv4地址”頁簽,配置IP地址/掩碼:2.1.1.1/24
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成接口IP地址和安全域的配置。
# 按照同樣的步驟配置接口GE1/0/2,配置如下。
· 加入到安全域:Trust
· IP地址/掩碼:10.1.1.1/24
· 其他配置項使用缺省值
# 按照同樣的步驟配置接口GE1/0/3,配置如下。
· IP地址/掩碼:10.2.1.1/24
· 其他配置項使用缺省值
2. 配置路由
本舉例僅以靜態路由為例,若實際組網中需采用動態路由,請配置對應的動態路由協議。
# 選擇“網絡 > 路由 > 靜態路由 > IPv4靜態路由”,單擊<新建>按鈕,進入新建IPv4靜態路由頁麵。
# 新建IPv4靜態路由,並進行如下配置:
· 目的IP地址:0.0.0.0
· 掩碼長度:0
· 下一跳IP地址:2.1.1.15
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成靜態路由的配置。
3. 配置安全策略,允許所需的業務報文通過
此部分安全策略隻需在主管理設備配置,HA組網完成後,從管理設備會自動同步這些安全策略配置信息。
# 選擇“策略 > 安全策略 > 安全策略”,單擊<新建>按鈕,選擇新建策略,進入新建安全策略頁麵。
# 新建安全策略,並進行如下配置:
· 名稱:trust-untrust
· 源安全域:Trust
· 目的安全域:Untrust
· 類型:IPv4
· 動作:允許
· 源IPv4地址:10.1.1.0/24
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成安全策略的配置。
4. 配置安全策略,允許VRRP協議報文通過
當HA通道斷開時,使Device A與Device B之間可以交換VRRP報文,進行VRRP角色競選,保證網絡互通。
此部分安全策略隻需在主管理設備配置,HA組網完成後,從管理設備會自動同步這些安全策略配置信息。
# 選擇“策略 > 安全策略 > 安全策略”,單擊<新建>按鈕,選擇新建策略,進入新建安全策略頁麵。
# 新建安全策略,並進行如下配置:
· 名稱:vrrp1
· 源安全域:Trust
· 目的安全域:Local
· 類型:IPv4
· 動作:允許
· 服務對象組:vrrp
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成安全策略的配置。
# 新建安全策略,並進行如下配置:
· 名稱:vrrp2
· 源安全域:Local
· 目的安全域:Trust
· 類型:IPv4
· 動作:允許
· 服務對象組:vrrp
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成安全策略的配置。
# 新建安全策略,並進行如下配置:
· 名稱:vrrp3
· 源安全域:Untrust
· 目的安全域:Local
· 類型:IPv4
· 動作:允許
· 服務對象組:vrrp
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成安全策略的配置。
# 新建安全策略,並進行如下配置:
· 名稱:vrrp4
· 源安全域:Local
· 目的安全域:Untrust
· 類型:IPv4
· 動作:允許
· 服務對象組:vrrp
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成安全策略的配置。
# 選擇“係統 > 高可靠性 > 雙機熱備”,單擊<配置>按鈕,進入配置雙機熱備頁麵。具體配置如下圖所示。
圖-2 配置雙機熱備
# 單擊<確定>按鈕,完成配置。
# 選擇“係統 > 高可靠性 > VRRP”,單擊<新建>按鈕,進入新建VRRP備份組頁麵。具體配置如下圖所示。
圖-3 配置HA聯動VRRP備份組1
圖-4 配置HA聯動VRRP備份組2
# 單擊<確定>按鈕,完成配置。
# 以上有關HA的配置部署完成後,可以配置各種安全業務。對於HA支持配置信息備份的功能模塊僅需要在此主管理設備上(Device A)進行配置即可。
1. 配置接口的IP地址
# 選擇“網絡 > 接口 > 接口”,進入接口配置頁麵。
# 單擊接口GE1/0/1右側的<編輯>按鈕,配置如下。
· 安全域:Untrust
· 選擇“IPv4地址”頁簽,配置IP地址/掩碼:2.1.1.2/24
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成接口IP地址和安全域的配置。
# 按照同樣的步驟配置接口GE1/0/2,配置如下。
· 加入到安全域:Trust
· IP地址/掩碼:10.1.1.2/24
· 其他配置項使用缺省值
# 按照同樣的步驟配置接口GE1/0/3,配置如下。
· IP地址/掩碼:10.2.1.2/24
· 其他配置項使用缺省值
2. 配置路由
本舉例僅以靜態路由為例,若實際組網中需采用動態路由,請配置對應的動態路由協議。
# 選擇“網絡 > 路由 > 靜態路由 > IPv4靜態路由”,單擊<新建>按鈕,進入新建IPv4靜態路由頁麵。
# 新建IPv4靜態路由,並進行如下配置:
· 目的IP地址:0.0.0.0
· 掩碼長度:0
· 下一跳IP地址:2.1.1.15
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成靜態路由的配置。
# 選擇“係統 > 高可靠性 > 雙機熱備”,單擊<配置>按鈕,進入配置雙機熱備頁麵。具體配置如下圖所示。
圖-5 配置雙機熱備
# 單擊<確定>按鈕,完成配置。
# 選擇“係統 > 高可靠性 > VRRP”,單擊<新建>按鈕,進入新建VRRP備份組頁麵。具體配置如下圖所示。
圖-6 配置HA聯動VRRP備份組1
圖-7 配置HA聯動VRRP備份組2
# 單擊<確定>按鈕,完成配置。
# 配置Host的默認網關為VRRP備份組2的虛擬IPv4地址10.1.1.3。
# 在安全域Trust與Untrust的安全策略上開啟記錄日誌功能後,當內網Host與Internet之間有流量經過時,Device A上會有日誌生成,而Device B上沒有日誌生成。
如圖-8所示,某公司以Device作為網絡邊界安全防護設備,連接公司內部網絡和Internet。為提高業務穩定性,使用兩台Device進行HA組網,需要兩台Device同時處理業務,提高業務處理能力。但是當Device A或其鏈路發生故障時,Device B可以接替Device A繼續工作,保證業務不會中斷。
圖-8 HA聯動VRRP三層直連雙主組網圖
本舉例是在F1000-AI-55的R8860版本上進行配置和驗證的。
此典型配置舉例中各設備上的具體配置步驟如下。
# 在Switch A上創建VLAN 10,並將連接Device A、Device B和Router的接口設置成工作在二層模式,接口鏈路類型為Access,並將此接口加入VLAN 10。
# 在Switch B上創建VLAN 10,並將連接Device A、Device B和Host的接口設置成工作在二層模式,接口鏈路類型為Access,並將此接口加入VLAN 10。
# 配置接口GigabitEthernet1/0/7的IPv4地址為2.1.1.15/24。
# 配置路由信息,去往一部分內網流量(如Host 1)的下一跳IPv4地址為VRRP備份組1的虛擬IPv4地址2.1.1.3,去往另一部分內網流量(如Host 3)的下一跳IPv4地址為VRRP備份組2的虛擬IPv4地址2.1.1.4,去往Internet流量的下一跳IPv4地址為出接口對端的IPv4地址。
1. 配置接口的IP地址
# 選擇“網絡 > 接口 > 接口”,進入接口配置頁麵。
# 單擊接口GE1/0/1右側的<編輯>按鈕,配置如下。
· 安全域:Untrust
· 選擇“IPv4地址”頁簽,配置IP地址/掩碼:2.1.1.1/24
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成接口IP地址和安全域的配置。
# 按照同樣的步驟配置接口GE1/0/2,配置如下。
· 加入到安全域:Trust
· IP地址/掩碼:10.1.1.1/24
· 其他配置項使用缺省值
# 按照同樣的步驟配置接口GE1/0/3,配置如下。
· IP地址/掩碼:10.2.1.1/24
· 其他配置項使用缺省值
2. 配置路由
本舉例僅以靜態路由為例,若實際組網中需采用動態路由,請配置對應的動態路由協議。
# 選擇“網絡 > 路由 > 靜態路由 > IPv4靜態路由”,單擊<新建>按鈕,進入新建IPv4靜態路由頁麵。
# 新建IPv4靜態路由,並進行如下配置:
· 目的IP地址:0.0.0.0
· 掩碼長度:0
· 下一跳IP地址:2.1.1.15
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成靜態路由的配置。
3. 配置安全策略,允許所需的業務報文通過
此部分安全策略隻需在主管理設備配置,HA組網完成後,從管理設備會自動同步這些安全策略配置信息。
# 選擇“策略 > 安全策略 > 安全策略”,單擊<新建>按鈕,選擇新建策略,進入新建安全策略頁麵。
# 新建安全策略,並進行如下配置:
· 名稱:trust-untrust
· 源安全域:Trust
· 目的安全域:Untrust
· 類型:IPv4
· 動作:允許
· 源IPv4地址:10.1.1.0/24
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成安全策略的配置。
4. 配置安全策略,允許VRRP協議報文通過
當HA通道斷開時,使Device A與Device B之間可以交換VRRP報文,進行VRRP角色競選,保證網絡互通。
此部分安全策略隻需在主管理設備配置,HA組網完成後,從管理設備會自動同步這些安全策略配置信息。
# 選擇“策略 > 安全策略 > 安全策略”,單擊<新建>按鈕,選擇新建策略,進入新建安全策略頁麵。
# 新建安全策略,並進行如下配置:
· 名稱:vrrp1
· 源安全域:Trust
· 目的安全域:Local
· 類型:IPv4
· 動作:允許
· 服務對象組:vrrp
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成安全策略的配置。
# 新建安全策略,並進行如下配置:
· 名稱:vrrp2
· 源安全域:Local
· 目的安全域:Trust
· 類型:IPv4
· 動作:允許
· 服務對象組:vrrp
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成安全策略的配置。
# 新建安全策略,並進行如下配置:
· 名稱:vrrp3
· 源安全域:Untrust
· 目的安全域:Local
· 類型:IPv4
· 動作:允許
· 服務對象組:vrrp
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成安全策略的配置。
# 新建安全策略,並進行如下配置:
· 名稱:vrrp4
· 源安全域:Local
· 目的安全域:Untrust
· 類型:IPv4
· 動作:允許
· 服務對象組:vrrp
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成安全策略的配置。
# 選擇“係統 > 高可靠性 > 雙機熱備”,單擊<配置>按鈕,進入配置雙機熱備頁麵。具體配置如下圖所示。
圖-9 配置雙機熱備
# 單擊<確定>按鈕,完成配置。
# 選擇“係統 > 高可靠性 > VRRP”,單擊<新建>按鈕,進入新建VRRP備份組頁麵。具體配置如下圖所示。
圖-10 配置HA聯動VRRP備份組1
圖-11 配置HA聯動VRRP備份組2
圖-12 配置HA聯動VRRP備份組3
圖-13 配置HA聯動VRRP備份組4
# 單擊<確定>按鈕,完成配置。
# 以上有關HA的配置部署完成後,可以配置各種安全業務。對於HA支持配置信息備份的功能模塊僅需要在此主管理設備上(Device A)進行配置即可。
1. 配置接口的IP地址
# 選擇“網絡 > 接口 > 接口”,進入接口配置頁麵。
# 單擊接口GE1/0/1右側的<編輯>按鈕,配置如下。
· 安全域:Untrust
· 選擇“IPv4地址”頁簽,配置IP地址/掩碼:2.1.1.2/24
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成接口IP地址和安全域的配置。
# 按照同樣的步驟配置接口GE1/0/2,配置如下。
· 加入到安全域:Trust
· IP地址/掩碼:10.1.1.2/24
· 其他配置項使用缺省值
# 按照同樣的步驟配置接口GE1/0/3,配置如下。
· IP地址/掩碼:10.2.1.2/24
· 其他配置項使用缺省值
2. 配置路由
本舉例僅以靜態路由為例,若實際組網中需采用動態路由,請配置對應的動態路由協議。
# 選擇“網絡 > 路由 > 靜態路由 > IPv4靜態路由”,單擊<新建>按鈕,進入新建IPv4靜態路由頁麵。
# 新建IPv4靜態路由,並進行如下配置:
· 目的IP地址:0.0.0.0
· 掩碼長度:0
· 下一跳IP地址:2.1.1.15
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成靜態路由的配置。
# 選擇“係統 > 高可靠性 > 雙機熱備”,單擊<配置>按鈕,進入配置雙機熱備頁麵。具體配置如下圖所示。
圖-14 配置雙機熱備
# 單擊<確定>按鈕,完成配置。
# 選擇“係統 > 高可靠性 > VRRP”,單擊<新建>按鈕,進入新建VRRP備份組頁麵。具體配置如下圖所示。
圖-15 配置HA聯動VRRP備份組1
圖-16 配置HA聯動VRRP備份組2
圖-17 配置HA聯動VRRP備份組3
圖-18 配置HA聯動VRRP備份組4
# 單擊<確定>按鈕,完成配置。
# 配置一部分Host(如Host 1)的默認網關為VRRP備份組3的虛擬IPv4地址10.1.1.3,配置另一部分Host(如Host 3)的默認網關為VRRP備份組4的虛擬IPv4地址10.1.1.4。
# 在安全域Trust與Untrust的安全策略上開啟記錄日誌功能後,當內網Host 1、Host 2與Internet之間有流量經過時,Device A上會有日誌生成,而Device B上沒有日誌生成。當內Host 3與Internet之間有流量經過時,Device B上會有日誌生成,而Device A上沒有日誌生成。
如圖-19所示,某公司以Device作為網絡邊界安全防護設備,連接公司內部網絡和Internet。Device的上、下行業務接口均為三層接口,上下行連接路由器,Device與路由器之間運行OSPFv2協議。為提高業務穩定性,使用兩台Device進行HA組網,Device A作為主設備,Device B作為備設備。當Device A或其鏈路發生故障時,由Device B接替Device A繼續工作,保證業務不中斷。
圖-19 HA聯動路由三層直連主備組網圖
本舉例是在F1000-AI-55的R8860版本上進行配置和驗證的。
此典型配置舉例中各設備上的具體配置步驟如下。
# 配置接口GigabitEthernet1/0/7的IPv4地址為2.1.1.2/24。
# 配置接口GigabitEthernet1/0/8的IPv4地址為2.1.10.2/24。
# 配置OSPF路由協議,保證路由可達,具體步驟略。
# 配置接口GigabitEthernet1/0/7的IPv4地址為10.1.1.2/24。
# 配置接口GigabitEthernet1/0/8的IPv4地址為10.1.10.2/24。
# 配置OSPF路由協議,保證路由可達,具體步驟略。
1. 配置接口的IP地址
# 選擇“網絡 > 接口 > 接口”,進入接口配置頁麵。
# 單擊接口GE1/0/1右側的<編輯>按鈕,配置如下。
· 安全域:Untrust
· 選擇“IPv4地址”頁簽,配置IP地址/掩碼:2.1.1.1/24
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成接口IP地址和安全域的配置。
# 按照同樣的步驟配置接口GE1/0/2,配置如下。
· 加入到安全域:Trust
· IP地址/掩碼:10.1.1.1/24
· 其他配置項使用缺省值
# 按照同樣的步驟配置接口GE1/0/3,配置如下。
· IP地址/掩碼:10.2.1.1/24
· 其他配置項使用缺省值
2. 配置路由
本舉例僅以OSPF為例,若實際組網中需采用其他動態路由,請配置對應的動態路由協議。
# 選擇“網絡 > 路由 > OSPF”,進入OSPF配置頁麵。
# 在OSPF配置頁麵,單擊<新建>按鈕,創建OSPF實例,並進行如下配置:
· 版本:OSPFv2
· 實例名稱:1
· 路由器標識:2.1.1.1
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成OSPF實例創建。
# 在OSPF配置頁麵,單擊目標OSPF實例“OSPF區域數目”列中的數字,跳轉至OSPF區域配置頁麵,單擊<新建>按鈕,配置OSPF區域,並進行如下配置:
· 區域ID:0.0.0.0
· 網絡:添加網段2.1.1.0/24和10.1.1.0/24
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成OSPF區域配置。
3. 配置安全策略,允許所需的業務報文通過
此部分安全策略隻需在主管理設備配置,HA組網完成後,從管理設備會自動同步這些安全策略配置信息。
# 選擇“策略 > 安全策略 > 安全策略”,單擊<新建>按鈕,選擇新建策略,進入新建安全策略頁麵。
# 新建安全策略,並進行如下配置:
· 名稱:trust-untrust
· 源安全域:Trust
· 目的安全域:Untrust
· 類型:IPv4
· 動作:允許
· 源IPv4地址:20.1.1.0/24
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成安全策略的配置。
4. 配置安全策略,允許OSPF協議報文通過
此部分安全策略隻需在主管理設備配置,HA組網完成後,從管理設備會自動同步這些安全策略配置信息。
# 選擇“策略 > 安全策略 > 安全策略”,單擊<新建>按鈕,選擇新建策略,進入新建安全策略頁麵。
# 新建安全策略,並進行如下配置:
· 名稱:ospf1
· 源安全域:Trust
· 目的安全域:Local
· 類型:IPv4
· 動作:允許
· 服務對象組:ospf
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成安全策略的配置。
# 新建安全策略,並進行如下配置:
· 名稱:ospf2
· 源安全域:Local
· 目的安全域:Trust
· 類型:IPv4
· 動作:允許
· 服務對象組:ospf
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成安全策略的配置。
# 新建安全策略,並進行如下配置:
· 名稱:ospf3
· 源安全域:Untrust
· 目的安全域:Local
· 類型:IPv4
· 動作:允許
· 服務對象組:ospf
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成安全策略的配置。
# 新建安全策略,並進行如下配置:
· 名稱:ospf4
· 源安全域:Local
· 目的安全域:Untrust
· 類型:IPv4
· 動作:允許
· 服務對象組:ospf
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成安全策略的配置。
# 選擇“係統 > 高可靠性 > Track”,單擊<新建>按鈕,進入新建Track項頁麵,並進行如下配置:
· Track項:1
· 監測模塊:接口
· 監測接口:GE1/0/1
· 其他配置項使用缺省值
# 按照以上同樣的步驟創建Track項2,監測接口GE1/0/2的狀態,具體配置步驟略。
# 選擇“係統 > 高可靠性 > 雙機熱備”,單擊<配置>按鈕,進入配置雙機熱備頁麵。具體配置如下圖所示。
圖-20 配置雙機熱備
# 單擊<確定>按鈕,完成配置。
# 以上有關HA的配置部署完成後,可以配置各種安全業務。對於HA支持配置信息備份的功能模塊僅需要在此主管理設備上(Device A)進行配置即可。
1. 配置接口的IP地址
# 選擇“網絡 > 接口 > 接口”,進入接口配置頁麵。
# 單擊接口GE1/0/1右側的<編輯>按鈕,配置如下。
· 安全域:Untrust
· 選擇“IPv4地址”頁簽,配置IP地址/掩碼:2.1.10.1/24
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成接口IP地址和安全域的配置。
# 按照同樣的步驟配置接口GE1/0/2,配置如下。
· 加入到安全域:Trust
· IP地址/掩碼:10.1.10.1/24
· 其他配置項使用缺省值
# 按照同樣的步驟配置接口GE1/0/3,配置如下。
· IP地址/掩碼:10.2.1.2/24
· 其他配置項使用缺省值
2. 配置路由
本舉例僅以OSPF為例,若實際組網中需采用其他動態路由,請配置對應的動態路由協議。
# 選擇“網絡 > 路由 > OSPF”,進入OSPF配置頁麵。
# 在OSPF配置頁麵,單擊<新建>按鈕,創建OSPF實例,並進行如下配置:
· 版本:OSPFv2
· 實例名稱:1
· 路由器標識:2.1.10.1
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成OSPF實例創建。
# 在OSPF配置頁麵,單擊目標OSPF實例“OSPF區域數目”列中的數字,跳轉至OSPF區域配置頁麵,單擊<新建>按鈕,配置OSPF區域,並進行如下配置:
· 區域ID:0.0.0.0
· 網絡:添加網段2.1.10.0/24和10.1.10.0/24
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成OSPF區域配置。
# 選擇“係統 > 高可靠性 > Track”,單擊<新建>按鈕,進入新建Track項頁麵,並進行如下配置:
· Track項:1
· 監測模塊:接口
· 監測接口:GE1/0/1
· 其他配置項使用缺省值
# 按照以上同樣的步驟創建Track項2,監測接口GE1/0/2的狀態,具體配置步驟略。
# 選擇“係統 > 高可靠性 > 雙機熱備”,單擊<配置>按鈕,進入配置雙機熱備頁麵。具體配置如下圖所示。
圖-21 配置雙機熱備
# 單擊<確定>按鈕,完成配置。
# 配置Host的默認網關為20.1.1.1。
# 在安全域Trust與Untrust的安全策略上開啟記錄日誌功能後,當內網Host與Internet之間有流量經過時,Device A上會有日誌生成,而Device B上沒有日誌生成。
如圖-22所示,某公司以Device作為網絡邊界安全防護設備,連接公司內部網絡和Internet。Device的上、下行業務接口均為三層接口,上下行連接路由器,Device與路由器之間運行OSPFv2協議。為提高業務穩定性,使用兩台Device進行HA組網,需要兩台Device同時處理業務,提高業務處理能力。但是當Device A或其鏈路發生故障時,Device B可以接替Device A繼續工作,保證業務不會中斷。
圖-22 HA聯動路由三層直連雙主組網圖
本舉例是在F1000-AI-55的R8860版本上進行配置和驗證的。
此典型配置舉例中各設備上的具體配置步驟如下。
# 配置接口GigabitEthernet1/0/7的IPv4地址為2.1.1.2/24。
# 配置接口GigabitEthernet1/0/8的IPv4地址為2.1.10.2/24。
# 配置OSPF路由協議,保證路由可達,具體步驟略。
# 配置IP轉發模式為逐流的負載分擔方式。
# 配置接口GigabitEthernet1/0/7的IPv4地址為10.1.1.2/24。
# 配置接口GigabitEthernet1/0/8的IPv4地址為10.1.10.2/24。
# 配置OSPF路由協議,保證路由可達,具體步驟略。
# 配置IP轉發模式為逐流的負載分擔方式。
1. 配置接口的IP地址
# 選擇“網絡 > 接口 > 接口”,進入接口配置頁麵。
# 單擊接口GE1/0/1右側的<編輯>按鈕,配置如下。
· 安全域:Untrust
· 選擇“IPv4地址”頁簽,配置IP地址/掩碼:2.1.1.1/24
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成接口IP地址和安全域的配置。
# 按照同樣的步驟配置接口GE1/0/2,配置如下。
· 加入到安全域:Trust
· IP地址/掩碼:10.1.1.1/24
· 其他配置項使用缺省值
# 按照同樣的步驟配置接口GE1/0/3,配置如下。
· IP地址/掩碼:10.2.1.1/24
· 其他配置項使用缺省值
2. 配置路由
本舉例僅以OSPF為例,若實際組網中需采用其他動態路由,請配置對應的動態路由協議。
# 選擇“網絡 > 路由 > OSPF”,進入OSPF配置頁麵。
# 在OSPF配置頁麵,單擊<新建>按鈕,創建OSPF實例,並進行如下配置:
· 版本:OSPFv2
· 實例名稱:1
· 路由器標識:2.1.1.1
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成OSPF實例創建。
# 在OSPF配置頁麵,單擊目標OSPF實例“OSPF區域數目”列中的數字,跳轉至OSPF區域配置頁麵,單擊<新建>按鈕,配置OSPF區域,並進行如下配置:
· 區域ID:0.0.0.0
· 網絡:添加網段2.1.1.0/24和10.1.1.0/24
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成OSPF區域配置。
3. 配置安全策略,允許所需的業務報文通過
此部分安全策略隻需在主管理設備配置,HA組網完成後,從管理設備會自動同步這些安全策略配置信息。
# 選擇“策略 > 安全策略 > 安全策略”,單擊<新建>按鈕,選擇新建策略,進入新建安全策略頁麵。
# 新建安全策略,並進行如下配置:
· 名稱:trust-untrust
· 源安全域:Trust
· 目的安全域:Untrust
· 類型:IPv4
· 動作:允許
· 源IPv4地址:20.1.1.0/24
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成安全策略的配置。
4. 配置安全策略,允許OSPF協議報文通過
此部分安全策略隻需在主管理設備配置,HA組網完成後,從管理設備會自動同步這些安全策略配置信息。
# 選擇“策略 > 安全策略 > 安全策略”,單擊<新建>按鈕,選擇新建策略,進入新建安全策略頁麵。
# 新建安全策略,並進行如下配置:
· 名稱:ospf1
· 源安全域:Trust
· 目的安全域:Local
· 類型:IPv4
· 動作:允許
· 服務對象組:ospf
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成安全策略的配置。
# 新建安全策略,並進行如下配置:
· 名稱:ospf2
· 源安全域:Local
· 目的安全域:Trust
· 類型:IPv4
· 動作:允許
· 服務對象組:ospf
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成安全策略的配置。
# 新建安全策略,並進行如下配置:
· 名稱:ospf3
· 源安全域:Untrust
· 目的安全域:Local
· 類型:IPv4
· 動作:允許
· 服務對象組:ospf
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成安全策略的配置。
# 新建安全策略,並進行如下配置:
· 名稱:ospf4
· 源安全域:Local
· 目的安全域:Untrust
· 類型:IPv4
· 動作:允許
· 服務對象組:ospf
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成安全策略的配置。
# 選擇“係統 > 高可靠性 > Track”,單擊<新建>按鈕,進入新建Track項頁麵,並進行如下配置:
· Track項:1
· 監測模塊:接口
· 監測接口:GE1/0/1
· 其他配置項使用缺省值
# 按照以上同樣的步驟創建Track項2,監測接口GE1/0/2的狀態,具體配置步驟略。
# 選擇“係統 > 高可靠性 > 雙機熱備”,單擊<配置>按鈕,進入配置雙機熱備頁麵。具體配置如下圖所示。
圖-23 配置雙機熱備
# 單擊<確定>按鈕,完成配置。
# 以上有關HA的配置部署完成後,可以配置各種安全業務。對於HA支持配置信息備份的功能模塊僅需要在此主管理設備上(Device A)進行配置即可。
1. 配置接口的IP地址
# 選擇“網絡 > 接口 > 接口”,進入接口配置頁麵。
# 單擊接口GE1/0/1右側的<編輯>按鈕,配置如下。
· 安全域:Untrust
· 選擇“IPv4地址”頁簽,配置IP地址/掩碼:2.1.10.1/24
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成接口IP地址和安全域的配置。
# 按照同樣的步驟配置接口GE1/0/2,配置如下。
· 加入到安全域:Trust
· IP地址/掩碼:10.1.10.1/24
· 其他配置項使用缺省值
# 按照同樣的步驟配置接口GE1/0/3,配置如下。
· IP地址/掩碼:10.2.1.2/24
· 其他配置項使用缺省值
2. 配置路由
本舉例僅以OSPF為例,若實際組網中需采用其他動態路由,請配置對應的動態路由協議。
# 選擇“網絡 > 路由 > OSPF”,進入OSPF配置頁麵。
# 在OSPF配置頁麵,單擊<新建>按鈕,創建OSPF實例,並進行如下配置:
· 版本:OSPFv2
· 實例名稱:1
· 路由器標識:2.1.10.1
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成OSPF實例創建。
# 在OSPF配置頁麵,單擊目標OSPF實例“OSPF區域數目”列中的數字,跳轉至OSPF區域配置頁麵,單擊<新建>按鈕,配置OSPF區域,並進行如下配置:
· 區域ID:0.0.0.0
· 網絡:添加網段2.1.10.0/24和10.1.10.0/24
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成OSPF區域配置。
# 選擇“係統 > 高可靠性 > Track”,單擊<新建>按鈕,進入新建Track項頁麵,並進行如下配置:
· Track項:1
· 監測模塊:接口
· 監測接口:GE1/0/1
· 其他配置項使用缺省值
# 按照以上同樣的步驟創建Track項2,監測接口GE1/0/2的狀態,具體配置步驟略。
# 選擇“係統 > 高可靠性 > 雙機熱備”,單擊<配置>按鈕,進入配置雙機熱備頁麵。具體配置如下圖所示。
圖-24 配置雙機熱備
# 單擊<確定>按鈕,完成配置。
# 配置Host的默認網關為20.1.1.1。
# 在安全域Trust與Untrust的安全策略上開啟記錄日誌功能後,當內網Host與Internet之間有流量經過時,Device A和Device B上均會有日誌生成。
如圖-25所示,某公司以Device作為網絡邊界安全防護設備,連接公司內部網絡和Internet。Device的上、下行業務接口均為二層接口。為提高業務穩定性,使用兩台Device進行HA組網,Device A作為主設備,Device B作為備設備。當Device A或其鏈路發生故障時,由Device B接替Device A繼續工作,保證業務不中斷。
圖-25 HA透明直連主備組網圖
本舉例是在F1000-AI-55的R8860版本上進行配置和驗證的。
此典型配置舉例中各設備上的具體配置步驟如下。
# 在Switch A上創建VLAN 10,並將連接Device A、Device B和Router的接口設置成工作在二層模式,接口鏈路類型為Access,並將接口加入VLAN 10。
# 在Switch B上創建VLAN 10,並將連接Device A、Device B和Host的接口設置成工作在二層模式,接口鏈路類型為Access,並將此接口加入VLAN 10。
1. 配置二層業務接口
# 選擇“網絡 > 鏈路 > VLAN”,進入VLAN配置頁麵。
# 單擊<新建>按鈕,進入新建VLAN頁麵,並進行如下配置。
· VLAN列表:10
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成相關配置。
# 選擇“網絡 > 接口 > 接口”,進入接口配置頁麵。
# 單擊接口GE1/0/1右側的<編輯>按鈕,配置如下。
· 首先將此接口的工作模式設置為:二層模式
· 安全域:Untrust,VLAN:10
· 選擇“VLAN地址”頁簽,進行如下配置:
○ 鏈路類型:Acess
○ PVID:10
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成相關配置。
# 按照同樣的步驟配置接口GE1/0/2,配置如下。
· 首先將此接口的工作模式設置為:二層模式
· 安全域:Trust,VLAN:10
· 選擇“VLAN地址”頁簽,進行如下配置:
○ 鏈路類型:Acess
○ PVID:10
· 其他配置項使用缺省值
2. 配置接口的IP地址
# 選擇“網絡 > 接口 > 接口”,進入接口配置頁麵。
# 單擊接口GE1/0/3右側的<編輯>按鈕,配置如下。
· 選擇“IPv4地址”頁簽,配置IP地址/掩碼:10.2.1.1/24
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成接口IP地址和安全域的配置。
3. 配置安全策略,允許所需的業務報文通過
此部分安全策略隻需在主管理設備配置,HA組網完成後,從管理設備會自動同步這些安全策略配置信息。
# 選擇“策略 > 安全策略 > 安全策略”,單擊<新建>按鈕,選擇新建策略,進入新建安全策略頁麵。
# 新建安全策略,並進行如下配置:
· 名稱:trust-untrust
· 源安全域:Trust
· 目的安全域:Untrust
· 類型:IPv4
· 動作:允許
· 源IPv4地址:10.1.1.0/24
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成安全策略的配置。
# 選擇“係統 > 高可靠性 > 雙機熱備”,單擊<配置>按鈕,進入配置雙機熱備頁麵。具體配置如下圖所示。
圖-26 配置雙機熱備
# 單擊<確定>按鈕,完成配置。
# 以上有關HA的配置部署完成後,可以配置各種安全業務。對於HA支持配置信息備份的功能模塊僅需要在此主管理設備上(Device A)進行配置即可。
1. 配置二層業務接口
# 選擇“網絡 > 鏈路 > VLAN”,進入VLAN配置頁麵。
# 單擊<新建>按鈕,進入新建VLAN頁麵,並進行如下配置。
· VLAN列表:10
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成相關配置。
# 選擇“網絡 > 接口 > 接口”,進入接口配置頁麵。
# 單擊接口GE1/0/1右側的<編輯>按鈕,配置如下。
· 首先將此接口的工作模式設置為:二層模式
· 安全域:Untrust,VLAN:10
· 選擇“VLAN地址”頁簽,進行如下配置:
○ 鏈路類型:Acess
○ PVID:10
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成相關配置。
# 按照同樣的步驟配置接口GE1/0/2,配置如下。
· 首先將此接口的工作模式設置為:二層模式
· 安全域:Trust,VLAN:10
· 選擇“VLAN地址”頁簽,進行如下配置:
○ 鏈路類型:Acess
○ PVID:10
· 其他配置項使用缺省值
2. 配置接口的IP地址
# 選擇“網絡 > 接口 > 接口”,進入接口配置頁麵。
# 單擊接口GE1/0/3右側的<編輯>按鈕,配置如下。
· 選擇“IPv4地址”頁簽,配置IP地址/掩碼:10.2.1.2/24
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成接口IP地址和安全域的配置。
# 選擇“係統 > 高可靠性 > 雙機熱備”,單擊<配置>按鈕,進入配置雙機熱備頁麵。具體配置如下圖所示。
圖-27 配置雙機熱備
# 單擊<確定>按鈕,完成配置。
# 配置Host的默認網關為10.1.1.1。
# 在安全域Trust與Untrust的安全策略上開啟記錄日誌功能後,當內網Host與Internet之間有流量經過時,Device A上會有日誌生成,而Device B上沒有日誌生成。
如圖-28所示,某公司以Device作為網絡邊界安全防護設備,連接公司內部網絡和Internet。Device的上、下行業務接口均為二層接口。為提高業務穩定性,使用兩台Device進行HA組網,需要兩台Device同時處理業務,提高業務處理能力。但是當Device A或其鏈路發生故障時,Device B可以接替Device A繼續工作,保證業務不會中斷。
圖-28 HA透明直連雙主組網圖
本舉例是在F1000-AI-55的R8860版本上進行配置和驗證的。
此典型配置舉例中各設備上的具體配置步驟如下。
# 在Router A上配置OSPF功能使流量可以到達Internet和內網主機,同時保證Router A到達內網主機的流量可以在兩條鏈路上進行負載分擔。
# 在Router B上配置OSPF功能使流量可以到達Internet和內網主機,同時保證Router B到達Internet的流量可以在兩條鏈路上進行負載分擔。
1. 配置二層業務接口
# 選擇“網絡 > 鏈路 > VLAN”,進入VLAN配置頁麵。
# 單擊<新建>按鈕,進入新建VLAN頁麵,並進行如下配置。
· VLAN列表:10
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成相關配置。
# 選擇“網絡 > 接口 > 接口”,進入接口配置頁麵。
# 單擊接口GE1/0/1右側的<編輯>按鈕,配置如下。
· 首先將此接口的工作模式設置為:二層模式
· 安全域:Untrust,VLAN:10
· 選擇“VLAN地址”頁簽,進行如下配置:
○ 鏈路類型:Acess
○ PVID:10
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成相關配置。
# 按照同樣的步驟配置接口GE1/0/2,配置如下。
· 首先將此接口的工作模式設置為:二層模式
· 安全域:Trust,VLAN:10
· 選擇“VLAN地址”頁簽,進行如下配置:
○ 鏈路類型:Acess
○ PVID:10
· 其他配置項使用缺省值
2. 配置接口的IP地址
# 選擇“網絡 > 接口 > 接口”,進入接口配置頁麵。
# 單擊接口GE1/0/3右側的<編輯>按鈕,配置如下。
· 選擇“IPv4地址”頁簽,配置IP地址/掩碼:10.2.1.1/24
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成接口IP地址和安全域的配置。
3. 配置安全策略,允許所需的業務報文通過
此部分安全策略隻需在主管理設備配置,HA組網完成後,從管理設備會自動同步這些安全策略配置信息。
# 選擇“策略 > 安全策略 > 安全策略”,單擊<新建>按鈕,選擇新建策略,進入新建安全策略頁麵。
# 新建安全策略,並進行如下配置:
· 名稱:trust-untrust
· 源安全域:Trust
· 目的安全域:Untrust
· 類型:IPv4
· 動作:允許
· 源IPv4地址:10.1.1.0/24
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成安全策略的配置。
4. 配置安全策略,允許OSPF協議報文通過
此部分安全策略隻需在主管理設備配置,HA組網完成後,從管理設備會自動同步這些安全策略配置信息。
# 選擇“策略 > 安全策略 > 安全策略”,單擊<新建>按鈕,選擇新建策略,進入新建安全策略頁麵。
# 新建安全策略,並進行如下配置:
· 名稱:ospf1
· 源安全域:Trust
· 目的安全域:Untrust
· 類型:IPv4
· 動作:允許
· 服務對象組:ospf
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成安全策略的配置。
# 新建安全策略,並進行如下配置:
· 名稱:ospf2
· 源安全域:Untrust
· 目的安全域:Trust
· 類型:IPv4
· 動作:允許
· 服務對象組:ospf
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成安全策略的配置。
# 選擇“係統 > 高可靠性 > 雙機熱備”,單擊<配置>按鈕,進入配置雙機熱備頁麵。具體配置如下圖所示。
圖-29 配置雙機熱備
# 單擊<確定>按鈕,完成配置。
# 以上有關HA的配置部署完成後,可以配置各種安全業務。對於HA支持配置信息備份的功能模塊僅需要在此主管理設備上(Device A)進行配置即可。
1. 配置二層業務接口
# 選擇“網絡 > 鏈路 > VLAN”,進入VLAN配置頁麵。
# 單擊<新建>按鈕,進入新建VLAN頁麵,並進行如下配置。
· VLAN列表:10
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成相關配置。
# 選擇“網絡 > 接口 > 接口”,進入接口配置頁麵。
# 單擊接口GE1/0/1右側的<編輯>按鈕,配置如下。
· 首先將此接口的工作模式設置為:二層模式
· 安全域:Untrust,VLAN:10
· 選擇“VLAN地址”頁簽,進行如下配置:
○ 鏈路類型:Acess
○ PVID:10
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成相關配置。
# 按照同樣的步驟配置接口GE1/0/2,配置如下。
· 首先將此接口的工作模式設置為:二層模式
· 安全域:Trust,VLAN:10
· 選擇“VLAN地址”頁簽,進行如下配置:
○ 鏈路類型:Acess
○ PVID:10
· 其他配置項使用缺省值
2. 配置接口的IP地址
# 選擇“網絡 > 接口 > 接口”,進入接口配置頁麵。
# 單擊接口GE1/0/3右側的<編輯>按鈕,配置如下。
· 選擇“IPv4地址”頁簽,配置IP地址/掩碼:10.2.1.2/24
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成接口IP地址和安全域的配置。
# 選擇“係統 > 高可靠性 > 雙機熱備”,單擊<配置>按鈕,進入配置雙機熱備頁麵。具體配置如下圖所示。
圖-30 配置雙機熱備
# 單擊<確定>按鈕,完成配置。
# 配置Host的默認網關為10.1.1.1。
# 在安全域Trust與Untrust的安全策略上開啟記錄日誌功能後,當內網Host與Internet之間有流量經過時,Device A和Device B上均會有日誌生成。
如圖-31所示,某公司以Device作為網絡邊界安全防護設備,連接公司內部網絡和Internet。為提高業務穩定性,使用兩台Device進行HA組網,Device A作為主設備,Device B作為備設備。當Device A或其鏈路發生故障時,由Device B接替Device A繼續工作,保證業務不中斷。
圖-31 HA聯動VRRP三層直連主備組網圖
本舉例是在F1000-AI-55的R8860版本上進行配置和驗證的。
此典型配置舉例中各設備上的具體配置步驟如下。
# 在Switch A上創建VLAN 10,並將連接Device A、Device B和Router的接口設置成工作在二層模式,接口鏈路類型為Access,並將此接口加入VLAN 10。
# 在Switch B上創建VLAN 10,並將連接Device A、Device B和Host的接口設置成工作在二層模式,接口鏈路類型為Access,並將此接口加入VLAN 10。
# 配置接口GigabitEthernet1/0/7的IPv6地址為3003::15/64。
# 配置路由信息,去往內網流量的下一跳IPv6地址為VRRP備份組1的虛擬IPv6地址3003::3/64,去往Internet流量的下一跳IPv6地址為出接口對端的IPv6地址。
1. 配置接口的IPv6地址
# 選擇“網絡 > 接口 > 接口”,進入接口配置頁麵。
# 單擊接口GE1/0/1右側的<編輯>按鈕,配置如下。
· 安全域:Untrust
· 選擇“IPv6地址”頁簽,配置內容如下:
○ 全球單播地址:地址為3003::1,前綴長度為64
○ 鏈路本地地址:fe80::3:1
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成接口IPv6地址和安全域的配置。
# 按照同樣的步驟配置接口GE1/0/2,配置如下。
· 加入到安全域:Trust
· 選擇“IPv6地址”頁簽,配置內容如下:
○ 全球單播地址:地址為3001::1,前綴長度為64
○ 鏈路本地地址:fe80::1:1
· 其他配置項使用缺省值
# 按照同樣的步驟配置接口GE1/0/3,配置如下。
· 選擇“IPv6地址”頁簽,配置內容如下:
○ 全球單播地址:地址為3005::1,前綴長度為64
○ 鏈路本地地址:選擇自動方式生成
· 其他配置項使用缺省值
2. 配置路由
本舉例僅以靜態路由為例,若實際組網中需采用動態路由,請配置對應的動態路由協議。
# 選擇“網絡 > 路由 > 靜態路由 > IPv6靜態路由”,單擊<新建>按鈕,進入新建IPv6靜態路由頁麵。
# 新建IPv6靜態路由,並進行如下配置:
· 目的IPv6地址:0::0
· 前綴長度:0
· 下一跳IPv6地址:3003::15
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成靜態路由的配置。
3. 配置安全策略,允許所需的業務報文通過
此部分安全策略隻需在主管理設備配置,HA組網完成後,從管理設備會自動同步這些安全策略配置信息。
# 選擇“策略 > 安全策略 > 安全策略”,單擊<新建>按鈕,選擇新建策略,進入新建安全策略頁麵。
# 新建安全策略,並進行如下配置:
· 名稱:trust-untrust
· 源安全域:Trust
· 目的安全域:Untrust
· 類型:IPv6
· 動作:允許
· 源IPv6地址:3001::0/64
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成安全策略的配置。
4. 配置安全策略,允許VRRP協議報文通過
當HA通道斷開時,使Device A與Device B之間可以交換VRRP報文,進行VRRP角色競選,保證網絡互通。
此部分安全策略隻需在主管理設備配置,HA組網完成後,從管理設備會自動同步這些安全策略配置信息。
# 選擇“策略 > 安全策略 > 安全策略”,單擊<新建>按鈕,選擇新建策略,進入新建安全策略頁麵。
# 新建安全策略,並進行如下配置:
· 名稱:vrrp1
· 源安全域:Trust
· 目的安全域:Local
· 類型:IPv6
· 動作:允許
· 服務對象組:vrrp
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成安全策略的配置。
# 新建安全策略,並進行如下配置:
· 名稱:vrrp2
· 源安全域:Local
· 目的安全域:Trust
· 類型:IPv6
· 動作:允許
· 服務對象組:vrrp
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成安全策略的配置。
# 新建安全策略,並進行如下配置:
· 名稱:vrrp3
· 源安全域:Untrust
· 目的安全域:Local
· 類型:IPv6
· 動作:允許
· 服務對象組:vrrp
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成安全策略的配置。
# 新建安全策略,並進行如下配置:
· 名稱:vrrp4
· 源安全域:Local
· 目的安全域:Untrust
· 類型:IPv6
· 動作:允許
· 服務對象組:vrrp
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成安全策略的配置。
# 選擇“係統 > 高可靠性 > 雙機熱備”,單擊<配置>按鈕,進入配置雙機熱備頁麵。具體配置如下圖所示。
圖-32 配置雙機熱備
# 單擊<確定>按鈕,完成配置。
# 選擇“係統 > 高可靠性 > VRRP”,單擊<新建>按鈕,進入新建VRRP備份組頁麵。具體配置如下圖所示。
圖-33 配置HA聯動VRRP備份組1
圖-34 配置HA聯動VRRP備份組2
# 單擊<確定>按鈕,完成配置。
# 以上有關HA的配置部署完成後,可以配置各種安全業務。對於HA支持配置信息備份的功能模塊僅需要在此主管理設備上(Device A)進行配置即可。
1. 配置接口的IPv6地址
# 選擇“網絡 > 接口 > 接口”,進入接口配置頁麵。
# 單擊接口GE1/0/1右側的<編輯>按鈕,配置如下。
· 安全域:Untrust
· 選擇“IPv6地址”頁簽,配置內容如下:
○ 全球單播地址:地址為3003::2,前綴長度為64
○ 鏈路本地地址:fe80::3:2
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成接口IPv6地址和安全域的配置。
# 按照同樣的步驟配置接口GE1/0/2,配置如下。
· 加入到安全域:Trust
· 選擇“IPv6地址”頁簽,配置內容如下:
○ 全球單播地址:地址為3001::2,前綴長度為64
○ 鏈路本地地址:fe80::1:2
· 其他配置項使用缺省值
# 按照同樣的步驟配置接口GE1/0/3,配置如下。
· 選擇“IPv6地址”頁簽,配置內容如下:
○ 全球單播地址:地址為3005::2,前綴長度為64
○ 鏈路本地地址:選擇自動方式生成
· 其他配置項使用缺省值
2. 配置路由
本舉例僅以靜態路由為例,若實際組網中需采用動態路由,請配置對應的動態路由協議。
# 選擇“網絡 > 路由 > 靜態路由 > IPv6靜態路由”,單擊<新建>按鈕,進入新建IPv6靜態路由頁麵。
# 新建IPv6靜態路由,並進行如下配置:
· 目的IPv6地址:0::0
· 前綴長度:0
· 下一跳IPv6地址:3003::15
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成靜態路由的配置。
# 選擇“係統 > 高可靠性 > 雙機熱備”,單擊<配置>按鈕,進入配置雙機熱備頁麵。具體配置如下圖所示。
圖-35 配置雙機熱備
# 單擊<確定>按鈕,完成配置。
# 選擇“係統 > 高可靠性 > VRRP”,單擊<新建>按鈕,進入新建VRRP備份組頁麵。具體配置如下圖所示。
圖-36 配置HA聯動VRRP備份組1
圖-37 配置HA聯動VRRP備份組2
# 單擊<確定>按鈕,完成配置。
# 配置Host的默認網關為VRRP備份組2的虛擬IPv6地址3001::3。
# 在安全域Trust與Untrust的安全策略上開啟記錄日誌功能後,當內網Host與Internet之間有流量經過時,Device A上會有日誌生成,而Device B上沒有日誌生成。
如圖-38所示,某公司以Device作為網絡邊界安全防護設備,連接公司內部網絡和Internet。Device的上、下行業務接口均為三層接口,上下行連接路由器,Device與路由器之間運行OSPFv3協議。為提高業務穩定性,使用兩台Device進行HA組網,需要兩台Device同時處理業務,提高業務處理能力。但是當Device A或其鏈路發生故障時,Device B可以接替Device A繼續工作,保證業務不會中斷。
圖-38 HA聯動路由三層直連雙主組網圖
本舉例是在F1000-AI-55的R8860版本上進行配置和驗證的。
此典型配置舉例中各設備上的具體配置步驟如下。
# 配置接口GigabitEthernet1/0/7的IPv6地址為3003::2/64。
# 配置接口GigabitEthernet1/0/8的IPv6地址為3004::2/64。
# 配置OSPFv3路由協議,保證路由可達,具體步驟略。
# 配置IP轉發模式為逐流的負載分擔方式。
# 配置接口GigabitEthernet1/0/7的IPv6地址為3001::2/64。
# 配置接口GigabitEthernet1/0/8的IPv6地址為3002::2/64。
# 配置OSPFv3路由協議,保證路由可達,具體步驟略。
# 配置IP轉發模式為逐流的負載分擔方式。
1. 配置接口的IPv6地址
# 選擇“網絡 > 接口 > 接口”,進入接口配置頁麵。
# 單擊接口GE1/0/1右側的<編輯>按鈕,配置如下。
· 安全域:Untrust
· 選擇“IPv6地址”頁簽,配置內容如下:
○ 全球單播地址:地址為3003::1,前綴長度為64
○ 鏈路本地地址:選擇自動方式生成
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成接口IPv6地址和安全域的配置。
# 按照同樣的步驟配置接口GE1/0/2,配置如下。
· 加入到安全域:Trust
· 選擇“IPv6地址”頁簽,配置內容如下:
○ 全球單播地址:地址為3001::1,前綴長度為64
○ 鏈路本地地址:選擇自動方式生成
· 其他配置項使用缺省值
# 按照同樣的步驟配置接口GE1/0/3,配置如下。
· 選擇“IPv6地址”頁簽,配置內容如下:
○ 全球單播地址:地址為3005::1,前綴長度為64
○ 鏈路本地地址:選擇自動方式生成
· 其他配置項使用缺省值
2. 配置路由
本舉例僅以OSPF為例,若實際組網中需采用其他動態路由,請配置對應的動態路由協議。
# 選擇“網絡 > 路由 > OSPF”,進入OSPF配置頁麵。
# 在OSPF配置頁麵,單擊<新建>按鈕,創建OSPFv3實例,並進行如下配置:
· 版本:OSPFv3
· 實例名稱:1
· 路由器標識:2.1.1.1
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成OSPFv3實例創建。
# 在OSPF配置頁麵,單擊目標OSPFv3實例“OSPF區域數目”列中的數字,跳轉至OSPFv3區域配置頁麵,單擊<新建>按鈕,配置OSPFv3區域,並進行如下配置:
· 區域ID:0.0.0.0
· 其他配置項使用缺省值
# 在OSPF配置頁麵,單擊目標OSPFv3實例“已啟用接口數目”列中的數字,跳轉至0SPFv3接口實例配置頁麵,單擊<新建>按鈕,並進行如下配置:
· 區域ID:0.0.0.0
· 接口名稱:GE1/0/1
· 接口實例ID:1
# 單擊<確定>按鈕,完成OSPF接口實例配置。
# 按照同樣的步驟配置接口GE1/0/2,配置如下。
· 區域ID:0.0.0.0
· 接口名稱:GE1/0/2
· 接口實例ID:1
3. 配置安全策略,允許所需的業務報文通過
此部分安全策略隻需在主管理設備配置,HA組網完成後,從管理設備會自動同步這些安全策略配置信息。
# 選擇“策略 > 安全策略 > 安全策略”,單擊<新建>按鈕,選擇新建策略,進入新建安全策略頁麵。
# 新建安全策略,並進行如下配置:
· 名稱:trust-untrust
· 源安全域:Trust
· 目的安全域:Untrust
· 類型:IPv6
· 動作:允許
· 源IPv4地址:2001::0/64
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成安全策略的配置。
4. 配置安全策略,允許OSPF協議報文通過
此部分安全策略隻需在主管理設備配置,HA組網完成後,從管理設備會自動同步這些安全策略配置信息。
# 選擇“策略 > 安全策略 > 安全策略”,單擊<新建>按鈕,選擇新建策略,進入新建安全策略頁麵。
# 新建安全策略,並進行如下配置:
· 名稱:ospf1
· 源安全域:Trust
· 目的安全域:Local
· 類型:IPv6
· 動作:允許
· 服務對象組:ospf
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成安全策略的配置。
# 新建安全策略,並進行如下配置:
· 名稱:ospf2
· 源安全域:Local
· 目的安全域:Trust
· 類型:IPv6
· 動作:允許
· 服務對象組:ospf
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成安全策略的配置。
# 新建安全策略,並進行如下配置:
· 名稱:ospf3
· 源安全域:Untrust
· 目的安全域:Local
· 類型:IPv6
· 動作:允許
· 服務對象組:ospf
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成安全策略的配置。
# 新建安全策略,並進行如下配置:
· 名稱:ospf4
· 源安全域:Local
· 目的安全域:Untrust
· 類型:IPv6
· 動作:允許
· 服務對象組:ospf
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成安全策略的配置。
# 選擇“係統 > 高可靠性 > Track”,單擊<新建>按鈕,進入新建Track項頁麵,並進行如下配置:
· Track項:1
· 監測模塊:接口
· 監測接口:GE1/0/1
· 其他配置項使用缺省值
# 按照以上同樣的步驟創建Track項2,監測接口GE1/0/2的狀態,具體配置步驟略。
# 選擇“係統 > 高可靠性 > 雙機熱備”,單擊<配置>按鈕,進入配置雙機熱備頁麵。具體配置如下圖所示。
圖-39 配置雙機熱備
# 單擊<確定>按鈕,完成配置。
# 以上有關HA的配置部署完成後,可以配置各種安全業務。對於HA支持配置信息備份的功能模塊僅需要在此主管理設備上(Device A)進行配置即可。
1. 配置接口的IPv6地址
# 選擇“網絡 > 接口 > 接口”,進入接口配置頁麵。
# 單擊接口GE1/0/1右側的<編輯>按鈕,配置如下。
· 安全域:Untrust
· 選擇“IPv6地址”頁簽,配置內容如下:
○ 全球單播地址:地址為3004::1,前綴長度為64
○ 鏈路本地地址:選擇自動方式生成
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成接口IPv6地址和安全域的配置。
# 按照同樣的步驟配置接口GE1/0/2,配置如下。
· 加入到安全域:Trust
· 選擇“IPv6地址”頁簽,配置內容如下:
○ 全球單播地址:地址為3002::1,前綴長度為64
○ 鏈路本地地址:選擇自動方式生成
· 其他配置項使用缺省值
# 按照同樣的步驟配置接口GE1/0/3,配置如下。
· 選擇“IPv6地址”頁簽,配置內容如下:
○ 全球單播地址:地址為3005::2,前綴長度為64
○ 鏈路本地地址:選擇自動方式生成
· 其他配置項使用缺省值
2. 配置路由
本舉例僅以OSPF為例,若實際組網中需采用其他動態路由,請配置對應的動態路由協議。
# 選擇“網絡 > 路由 > OSPF”,進入OSPF配置頁麵。
# 在OSPF配置頁麵,單擊<新建>按鈕,創建OSPFv3實例,並進行如下配置:
· 版本:OSPFv3
· 實例名稱:1
· 路由器標識:2.1.10.1
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成OSPFv3實例創建。
# 在OSPF配置頁麵,單擊目標OSPFv3實例“OSPF區域數目”列中的數字,跳轉至OSPFv3區域配置頁麵,單擊<新建>按鈕,配置OSPFv3區域,並進行如下配置:
· 區域ID:0.0.0.0
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成OSPv3F區域配置。
# 在OSPF配置頁麵,單擊目標OSPFv3實例“已啟用接口數目”列中的數字,跳轉至0SPFv3接口實例配置頁麵,單擊<新建>按鈕,並進行如下配置:
· 區域ID:0.0.0.0
· 接口名稱:GE1/0/1
· 接口實例ID:1
# 單擊<確定>按鈕,完成OSPF接口實例配置。
# 按照同樣的步驟配置接口GE1/0/2,配置如下。
· 區域ID:0.0.0.0
· 接口名稱:GE1/0/2
· 接口實例ID:1
# 選擇“係統 > 高可靠性 > Track”,單擊<新建>按鈕,進入新建Track項頁麵,並進行如下配置:
· Track項:1
· 監測模塊:接口
· 監測接口:GE1/0/1
· 其他配置項使用缺省值
# 按照以上同樣的步驟創建Track項2,監測接口GE1/0/2的狀態,具體配置步驟略。
# 選擇“係統 > 高可靠性 > 雙機熱備”,單擊<配置>按鈕,進入配置雙機熱備頁麵。具體配置如下圖所示。
圖-40 配置雙機熱備
# 單擊<確定>按鈕,完成配置。
# 配置Host的默認網關為2002::1。
# 在安全域Trust與Untrust的安全策略上開啟記錄日誌功能後,當內網Host與Internet之間有流量經過時,Device A和Device B上均會有日誌生成。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
