本舉例是在F1090的R8660P33版本上進行配置和驗證的。
如下圖所示,某公司以Device作為網絡邊界安全防護設備,連接公司內部網絡和Internet。為提高業務穩定性,使用兩台Device進行HA組網,同時需要兩台Device同時處理業務,提高業務處理能力。但是當Device A或其鏈路發生故障時,Device B可以接替Device A繼續工作,保證業務不會中斷。同時需要在Device上配置動態NAT功能保證內網用戶可以訪問Internet,該公司擁有2.1.1.1到2.1.1.10十個外網IPv4地址。
圖-1 HA聯動VRRP雙主模式中全局NAT功能組網圖
部署HA前,請先保證主/備設備硬件環境的一致性,具體要求如下:
主/備設備的型號必須一致。
主/備設備上管理接口、業務接口、HA通道接口需要分別使用相互獨立的接口,且所使用的接口編號和類型必須一致。
主/備設備上硬盤的位置、數量和類型建議一致。未安裝硬盤的設備日誌存儲量將遠低於安裝了硬盤的設備,而且部分日誌和報表功能不可用。
部署HA前,請先保證主/備設備軟件環境的一致性,具體要求如下:
主/備設備的係統軟件環境及其版本必須一致,如:Boot包、System包、Feature包和補丁包等等。
主/備設備上被授權的特征庫和特性環境必須一致,如:特征庫的種類,每類特征庫的版本、授權時間範圍、授權的資源數等等。
主/備設備的接口編號必須一致。
主/備設備之間建立HA通道的接口類型、速率和編號等信息必須一致,推薦使用聚合接口。
主/備設備上聚合接口的編號、成員接口編號必須一致。
主/備設備相同位置的接口必須加入到相同的安全域。
主/備設備的HASH選擇CPU模式以及HASH因子都必須相同(即forwarding policy命令)。
配置接口IPv4地址
# 根據組網圖中規劃的信息,配置各接口的IPv4地址,具體配置步驟如下。
<Router> system-view
[Router] interface gigabitethernet 1/0/7
[Router-GigabitEthernet1/0/7] ip address 2.1.1.15 255.255.255.0
[Router-GigabitEthernet1/0/7] quit
請參考以上步驟配置其他接口的IP地址,具體配置步驟略。
配置靜態路由,保證網絡路由可達
本舉例僅以靜態路由方式配置路由信息。實際組網中,請根據具體情況選擇相應的路由配置方式。
# 請根據組網圖中規劃的信息,配置靜態路由。本舉例假設去往一部分內網流量(如Host 1)的下一跳IPv4地址為VRRP備份組1的虛擬IPv4地址2.1.1.3,去往另一部分內網流量(如Host 3)的下一跳IPv4地址為VRRP備份組2的虛擬IPv4地址2.1.1.4,去往Internet流量的下一跳IPv4地址為3.1.1.15,實際環境中請以具體組網情況為準,具體配置步驟如下。
[Router] ip route-static 10.1.1.0 255.255.255.128 2.1.1.3
[Router] ip route-static 10.1.1.128 255.255.255.128 2.1.1.4
[Router] ip route-static 0.0.0.0 0.0.0.0 3.1.1.15
在Switch A上創建VLAN 10,並將連接Device A、Device B和Router的接口鏈路類型設置為Access,並將接口加入VLAN 10。
# 根據組網圖中規劃的信息,配置各接口加入VLAN,並設置鏈路類型,具體配置步驟如下。
<SwitchA> system-view
[SwitchA] vlan 10
[SwitchA-vlan10] quit
[SwitchA] interface gigabitethernet 1/0/1
[SwitchA-GigabitEthernet1/0/1] port access vlan 10
[SwitchA-GigabitEthernet1/0/1] quit
[SwitchA] interface gigabitethernet 1/0/2
[SwitchA-GigabitEthernet1/0/2] port access vlan 10
[SwitchA-GigabitEthernet1/0/2] quit
[SwitchA] interface gigabitethernet 1/0/3
[SwitchA-GigabitEthernet1/0/3] port access vlan 10
[SwitchA-GigabitEthernet1/0/3] quit
# 在Switch B上創建VLAN 10,並將連接Device A、Device B和Host的接口設置成工作在二層模式,接口鏈路類型為Access,並將此接口加入VLAN 10。
# 根據組網圖中規劃的信息,配置各接口加入VLAN,並設置鏈路類型,具體配置步驟如下。
<SwitchB> system-view
[SwitchB] vlan 10
[SwitchB-vlan10] quit
[SwitchB] interface gigabitethernet 1/0/1
[SwitchB-GigabitEthernet1/0/1] port access vlan 10
[SwitchB-GigabitEthernet1/0/1] quit
[SwitchB] interface gigabitethernet 1/0/2
[SwitchB-GigabitEthernet1/0/2] port access vlan 10
[SwitchB-GigabitEthernet1/0/2] quit
[SwitchB] interface gigabitethernet 1/0/3
[SwitchB-GigabitEthernet1/0/3] port access vlan 10
[SwitchB-GigabitEthernet1/0/3] quit
配置接口IPv4地址
# 根據組網圖中規劃的信息,配置各接口的IPv4地址,具體配置步驟如下。
<DeviceA> system-view
[DeviceA] interface gigabitethernet 1/0/1
[DeviceA-GigabitEthernet1/0/1] ip address 2.1.1.1 255.255.255.0
[DeviceA-GigabitEthernet1/0/1] quit
請參考以上步驟配置其他接口的IP地址,具體配置步驟略。
配置接口加入安全域。
# 請根據組網圖中規劃的信息,將接口加入對應的安全域,具體配置步驟如下。
[DeviceA] security-zone name untrust
[DeviceA-security-zone-Untrust] import interface gigabitethernet 1/0/1
[DeviceA-security-zone-Untrust] quit
[DeviceA] security-zone name trust
[DeviceA-security-zone-Trust] import interface gigabitethernet 1/0/2
[DeviceA-security-zone-Trust] quit
配置靜態路由,保證路由可達
本舉例僅以靜態路由方式配置路由信息。實際組網中,請根據具體情況選擇相應的路由配置方式。
# 請根據組網圖中規劃的信息,配置靜態路由使設備與內外網之間路由可達。本舉例假設到達外網的下一跳IPv4地址為2.1.1.15,實際環境中請以具體組網情況為準,具體配置步驟如下。
[DeviceA] ip route-static 0.0.0.0 0.0.0.0 2.1.1.15
配置安全策略,允許所需的業務報文通過
此部分安全策略隻需在主管理設備配置,HA組網完成後,從管理設備會自動同步這些安全策略配置信息。
# 配置名稱為trust-untrust的安全策略規則,使10.1.1.0/24網段的內網用戶可以主動訪問Internet,但是Internet上的用戶不能訪問內網,具體配置步驟如下。
[DeviceA] security-policy ip
[DeviceA-security-policy-ip] rule name trust-untrust
[DeviceA-security-policy-ip-0-trust-untrust] source-zone trust
[DeviceA-security-policy-ip-0-trust-untrust] destination-zone untrust
[DeviceA-security-policy-ip-0-trust-untrust] source-ip-subnet 10.1.1.0 24
[DeviceA-security-policy-ip-0-trust-untrust] action pass
[DeviceA-security-policy-ip-0-trust-untrust] quit
# 配置名稱為vrrp的安全策略規則,允許VRRP協議報文通過。當HA通道斷開時,使Device A與Device B之間可以交換VRRP報文,進行VRRP角色競選,保證網絡互通。
[DeviceA-security-policy-ip] rule name vrrp1
[DeviceA-security-policy-ip-1-vrrp1] source-zone trust
[DeviceA-security-policy-ip-1-vrrp1] destination-zone local
[DeviceA-security-policy-ip-1-vrrp1] service vrrp
[DeviceA-security-policy-ip-1-vrrp1] action pass
[DeviceA-security-policy-ip-1-vrrp1] quit
[DeviceA-security-policy-ip] rule name vrrp2
[DeviceA-security-policy-ip-2-vrrp2] source-zone local
[DeviceA-security-policy-ip-2-vrrp2] destination-zone trust
[DeviceA-security-policy-ip-2-vrrp2] service vrrp
[DeviceA-security-policy-ip-2-vrrp2] action pass
[DeviceA-security-policy-ip-2-vrrp2] quit
[DeviceA-security-policy-ip] rule name vrrp3
[DeviceA-security-policy-ip-3-vrrp3] source-zone untrust
[DeviceA-security-policy-ip-3-vrrp3] destination-zone local
[DeviceA-security-policy-ip-3-vrrp3] service vrrp
[DeviceA-security-policy-ip-3-vrrp3] action pass
[DeviceA-security-policy-ip-3-vrrp3] quit
[DeviceA-security-policy-ip] rule name vrrp4
[DeviceA-security-policy-ip-4-vrrp4] source-zone local
[DeviceA-security-policy-ip-4-vrrp4] destination-zone untrust
[DeviceA-security-policy-ip-4-vrrp4] service vrrp
[DeviceA-security-policy-ip-4-vrrp4] action pass
[DeviceA-security-policy-ip-4-vrrp4] quit
[DeviceA-security-policy-ip] quit
配置高可靠性
本舉例僅用以太網接口作為控製通道和數據通道接口使用。對於設備同時擁有HA接口和以太網接口的情況,建議使用HA接口作為控製通道和數據通道接口使用,這樣能夠更好地保護設備的安全性和穩定性。HA接口不能作為業務接口使用。
# 使用兩台Device進行HA組網,需要兩台Device同時處理業務,提高業務處理能力。但是當Device A或其鏈路發生故障時,Device B可以接替Device A繼續工作,保證業務不會中斷。
[DeviceA] remote-backup group
[DeviceA-remote-backup-group] remote-ip 10.2.1.2
[DeviceA-remote-backup-group] local-ip 10.2.1.1
[DeviceB-remote-backup-group] data-channel interface gigabitethernet 1/0/3
[DeviceA-remote-backup-group] device-role primary
RBM_P[DeviceA-remote-backup-group] backup-mode dual-active
RBM_P[DeviceA-remote-backup-group] hot-backup enable
RBM_P[DeviceA-remote-backup-group] configuration auto-sync enable
RBM_P[DeviceA-remote-backup-group] configuration sync-check interval 12
RBM_P[DeviceA-remote-backup-group] delay-time 1
RBM_P[DeviceA-remote-backup-group] quit
# 配置VRRP備份組,並與HA關聯。實現HA對VRRP備份組的統一管理和流量引導。
RBM_P[DeviceA] interface gigabitethernet 1/0/1
RBM_P[DeviceA-GigabitEthernet1/0/1] vrrp vrid 1 virtual-ip 2.1.1.3 active
RBM_P[DeviceA-GigabitEthernet1/0/1] vrrp vrid 2 virtual-ip 2.1.1.4 standby
RBM_P[DeviceA-GigabitEthernet1/0/1] quit
RBM_P[DeviceA] interface gigabitethernet 1/0/2
RBM_P[DeviceA-GigabitEthernet1/0/2] vrrp vrid 3 virtual-ip 10.1.1.3 active
RBM_P[DeviceA-GigabitEthernet1/0/2] vrrp vrid 4 virtual-ip 10.1.1.4 standby
RBM_P[DeviceA-GigabitEthernet1/0/2] quit
配置全局NAT
在此配置舉例中,僅需要在主管理設備Device A上進行NAT的相關配置,Device A上的NAT配置會自動同步到從管理設備Device B。
# 配置NAT地址組1,其地址成員範圍為2.1.1.5到2.1.1.7,並與VRRP備份組1綁定。
RBM_P<DeviceA> system-view
RBM_P[DeviceA] nat address-group 1
RBM_P[DeviceA-address-group-1] address 2.1.1.5 2.1.1.7
RBM_P[DeviceA-address-group-1] vrrp vrid 1
RBM_P[DeviceA-address-group-1] quit
# 配置NAT地址組2,其地址成員範圍為2.1.1.8到2.1.1.10,並與VRRP備份組2綁定。
RBM_P[DeviceA] nat address-group 2
RBM_P[DeviceA-address-group-2] address 2.1.1.8 2.1.1.10
RBM_P[DeviceA-address-group-2] vrrp vrid 2
RBM_P[DeviceA-address-group-2] quit
# 創建全局NAT規則rule1,使用地址組1中的地址對10.1.1.1/25網段用戶訪問Internet的流量進行源地址轉換,並在轉換過程中使用端口信息。
RBM_P[DeviceA] nat global-policy
RBM_P[DeviceA-nat-global-policy] rule name rule1
RBM_P[DeviceA-nat-global-policy-rule1] source-zone Trust
RBM_P[DeviceA-nat-global-policy-rule1] destination-zone Untrust
RBM_P[DeviceA-nat-global-policy-rule1] source-ip subnet 10.1.1.1 25
RBM_P[DeviceA-nat-global-policy-rule1] action snat address-group 1 vrrp 1
RBM_P[DeviceA-nat-global-policy-rule1] quit
# 創建全局NAT規則rule2,使用地址組2中的地址對10.1.1.129/25網段用戶訪問Internet的流量進行源地址轉換,並在轉換過程中使用端口信息。
RBM_P[DeviceA-nat-global-policy] rule name rule2
RBM_P[DeviceA-nat-global-policy-rule2] source-zone Trust
RBM_P[DeviceA-nat-global-policy-rule2] destination-zone Untrust
RBM_P[DeviceA-nat-global-policy-rule2] source-ip subnet 10.1.1.129 25
RBM_P[DeviceA-nat-global-policy-rule2] action snat address-group 2 vrrp 2
RBM_P[DeviceA-nat-global-policy-rule2] quit
RBM_P[DeviceA-nat-global-policy] quit
配置安全業務
# 以上有關HA的配置部署完成後,可以配置各種安全業務。對於HA支持配置信息備份的功能模塊僅需要在此主管理設備上(Device A)進行配置即可。
配置接口IPv4地址
# 根據組網圖中規劃的信息,配置各接口的IPv4地址,具體配置步驟如下。
<DeviceB> system-view
[DeviceB] interface gigabitethernet 1/0/1
[DeviceB-GigabitEthernet1/0/1] ip address 2.1.1.2 255.255.255.0
[DeviceB-GigabitEthernet1/0/1] quit
請參考以上步驟配置其他接口的IP地址,具體配置步驟略。
配置接口加入安全域。
# 請根據組網圖中規劃的信息,將接口加入對應的安全域,具體配置步驟如下。
[DeviceB] security-zone name untrust
[DeviceB-security-zone-Untrust] import interface gigabitethernet 1/0/1
[DeviceB-security-zone-Untrust] quit
[DeviceB] security-zone name trust
[DeviceB-security-zone-Trust] import interface gigabitethernet 1/0/2
[DeviceB-security-zone-Trust] quit
配置靜態路由,保證路由可達
本舉例僅以靜態路由方式配置路由信息。實際組網中,請根據具體情況選擇相應的路由配置方式。
# 請根據組網圖中規劃的信息,配置靜態路由使設備與內外網之間路由可達。本舉例假設到達外網的下一跳IPv4地址為2.1.1.15,實際環境中請以具體組網情況為準,具體配置步驟如下。
[DeviceB] ip route-static 0.0.0.0 0.0.0.0 2.1.1.15
配置高可靠性
本舉例僅用以太網接口作為控製通道和數據通道接口使用。對於設備同時擁有HA接口和以太網接口的情況,建議使用HA接口作為控製通道和數據通道接口使用,這樣能夠更好地保護設備的安全性和穩定性。HA接口不能作為業務接口使用。
# 使用兩台Device進行HA組網,需要兩台Device同時處理業務,提高業務處理能力。但是當Device A或其鏈路發生故障時,Device B可以接替Device A繼續工作,保證業務不會中斷。
[DeviceB] remote-backup group
[DeviceB-remote-backup-group] remote-ip 10.2.1.1
[DeviceB-remote-backup-group] local-ip 10.2.1.2
[DeviceB-remote-backup-group] data-channel interface gigabitethernet 1/0/3
[DeviceB-remote-backup-group] device-role secondary
RBM_S[DeviceB-remote-backup-group] backup-mode dual-active
RBM_S[DeviceB-remote-backup-group] hot-backup enable
RBM_S[DeviceB-remote-backup-group] configuration auto-sync enable
RBM_S[DeviceB-remote-backup-group] configuration sync-check interval 12
RBM_S[DeviceB-remote-backup-group] delay-time 1
RBM_S[DeviceB-remote-backup-group] quit
# 配置VRRP備份組,並與HA關聯。實現HA對VRRP備份組的統一管理和流量引導。
RBM_S[DeviceB] interface gigabitethernet 1/0/1
RBM_S[DeviceB-GigabitEthernet1/0/1] vrrp vrid 1 virtual-ip 2.1.1.3 standby
RBM_S[DeviceB-GigabitEthernet1/0/1] vrrp vrid 2 virtual-ip 2.1.1.4 active
RBM_S[DeviceB-GigabitEthernet1/0/1] quit
RBM_S[DeviceB] interface gigabitethernet 1/0/2
RBM_S[DeviceB-GigabitEthernet1/0/2] vrrp vrid 3 virtual-ip 10.1.1.3 standby
RBM_S[DeviceB-GigabitEthernet1/0/2] vrrp vrid 4 virtual-ip 10.1.1.4 active
RBM_S[DeviceB-GigabitEthernet1/0/2] quit
# 配置一部分Host(如Host 1)的默認網關為VRRP備份組3的虛擬IPv4地址10.1.1.3,配置另一部分Host(如Host 3)的默認網關為VRRP備份組4的虛擬IPv4地址10.1.1.4。
# 以上配置完成後,內網主機Host 1能夠通過Device A訪問Internet。在Device A設備上查看如下顯示信息,可以看到內網主機訪問外網時生成的NAT會話信息。
RBM_P[DeviceA] display nat session verbose
Slot 1:
Initiator:
Source IP/port: 10.1.1.100/52082
Destination IP/port: 202.38.1.10/80
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: TCP(6)
Inbound interface: GigabitEthernet1/0/2
Source security zone: Trust
Responder:
Source IP/port: 202.38.1.10/80
Destination IP/port: 2.1.1.5/1036
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: TCP(6)
Inbound interface: GigabitEthernet1/0/1
Source security zone: Untrust
State: TCP_ESTABLISHED
Application: HTTP
Rule ID: 2
Rule name: 3
Start time: 2019-1-29 16:16:59 TTL: 9995s
Initiator->Responder: 551 packets 32547 bytes
Responder->Initiator: 956 packets 1385514 bytes
Total sessions found: 1
# 以上配置完成後,內網主機Host 3能夠通過Device B訪問Internet。在Device B設備上查看如下顯示信息,可以看到內網主機訪問外網時生成的NAT會話信息。
RBM_S[DeviceB] display nat session verbose
Slot 1:
Initiator:
Source IP/port: 10.1.1.200/52082
Destination IP/port: 202.38.1.10/80
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: TCP(6)
Inbound interface:
Source security zone: Trust
Responder:
Source IP/port: 202.38.1.10/80
Destination IP/port: 2.1.1.8/1036
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: TCP(6)
Inbound interface:
Source security zone: Untrust
State: TCP_ESTABLISHED
Application: HTTP
Rule ID: 2
Rule name: 3
Start time: 2019-1-29 16:17:59 TTL: 9995s
Initiator->Responder: 551 packets 32547 bytes
Responder->Initiator: 956 packets 1385514 bytes
Total sessions found: 1
Router
#
interface GigabitEthernet1/0/7
port link-mode route
ip address 2.1.1.15 255.255.255.0
#
interface GigabitEthernet1/0/8
port link-mode route
ip address 3.1.1.14 255.255.255.0
#
ip route-static 0.0.0.0 0 3.1.1.15
ip route-static 10.1.1.0 25 2.1.1.3
ip route-static 10.1.1.128 25 2.1.1.4
SwitchA
#
vlan 10
#
interface GigabitEthernet1/0/1
port access vlan 10
#
interface GigabitEthernet1/0/2
port access vlan 10
#
interface GigabitEthernet1/0/3
port access vlan 10
SwitchB
#
vlan 10
#
interface GigabitEthernet1/0/1
port access vlan 10
#
interface GigabitEthernet1/0/2
port access vlan 10
#
interface GigabitEthernet1/0/3
port access vlan 10
DeviceA
#
nat address-group 1
address 2.1.1.5 2.1.1.7
vrrp vrid 1
#
nat address-group 2
address 2.1.1.8 2.1.1.10
vrrp vrid 2
#
interface GigabitEthernet1/0/1
port link-mode route
ip address 2.1.1.1 255.255.255.0
vrrp vrid 1 virtual-ip 2.1.1.3 active
vrrp vrid 2 virtual-ip 2.1.1.4 standby
#
interface GigabitEthernet1/0/2
port link-mode route
ip address 10.1.1.1 255.255.255.0
vrrp vrid 3 virtual-ip 10.1.1.3 active
vrrp vrid 4 virtual-ip 10.1.1.4 standby
#
interface GigabitEthernet1/0/3
port link-mode route
ip address 10.2.1.1 255.255.255.0
#
security-zone name Trust
import interface GigabitEthernet1/0/2
#
security-zone name Untrust
import interface GigabitEthernet1/0/1
#
ip route-static 0.0.0.0 0 2.1.1.15
#
nat global-policy
rule name rule1
source-zone trust
destination-zone untrust
source-ip subnet 10.1.1.0 25
action snat address-group 1 vrrp 1
rule name rule2
source-zone trust
destination-zone untrust
source-ip subnet 10.1.1.128 25
action snat address-group 2 vrrp 2
#
security-policy ip
rule 0 name trust-untrust
action pass
source-zone trust
destination-zone untrust
source-ip-subnet 10.1.1.0 255.255.255.0
rule 1 name vrrp1
action pass
source-zone trust
destination-zone local
service vrrp
rule 2 name vrrp2
action pass
source-zone local
destination-zone trust
service vrrp
rule 3 name vrrp3
action pass
source-zone untrust
destination-zone local
service vrrp
rule 4 name vrrp4
action pass
source-zone local
destination-zone untrust
service vrrp
#
remote-backup group
backup-mode dual-active
data-channel interface GigabitEthernet1/0/3
configuration sync-check interval 12
delay-time 1
local-ip 10.2.1.1
remote-ip 10.2.1.2
device-role primary
DeviceB
#
interface GigabitEthernet1/0/1
port link-mode route
ip address 2.1.1.2 255.255.255.0
vrrp vrid 1 virtual-ip 2.1.1.3 standby
vrrp vrid 2 virtual-ip 2.1.1.4 active
#
interface GigabitEthernet1/0/2
port link-mode route
ip address 10.1.1.2 255.255.255.0
vrrp vrid 3 virtual-ip 10.1.1.3 standby
vrrp vrid 4 virtual-ip 10.1.1.4 active
#
interface GigabitEthernet1/0/3
port link-mode route
ip address 10.2.1.2 255.255.255.0
#
security-zone name Trust
import interface GigabitEthernet1/0/2
#
security-zone name Untrust
import interface GigabitEthernet1/0/1
#
ip route-static 0.0.0.0 0 2.1.1.15
#
remote-backup group
data-channel interface GigabitEthernet1/0/3
configuration sync-check interval 12
local-ip 10.2.1.2
remote-ip 10.2.1.1