防火牆雙機熱備架構
- 0關注
- 0收藏,1084瀏覽
問題描述:
兩台防火牆做二層透明部署,上下級聯兩個核心區域交換機,上下兩台核心各自堆疊,中間的鏈路能否按此圖上實現聚合組網?如果無法實現,此處應該怎麼去部署
- 2024-01-25提問
- 舉報
-
(0)
最佳答案
您好,請知:
可以考慮使用HA或者IRF
以下是配置案例,請參考:
1.22.5 HA透明主備直路組網典型配置舉例
1. 組網需求
如圖1-23所示,某公司以Device作為網絡邊界安全防護設備,連接公司內部網絡和Internet,Device的上、下行業務接口均為二層接口。為提高業務穩定性,使用兩台Device進行HA組網,Device A作為主設備,Device B作為備設備。當Device A或其鏈路發生故障時,由Device B接替Device A繼續工作,保證業務不中斷。
2. 組網圖
圖1-23 HA透明主備直路組網圖
3. 配置步驟
(1) 確保主備設備的軟硬件環境一致
# 在配置HA功能之前,請先保證主/備設備的硬件環境和軟件環境的一致性。
(2) 配置Switch A
# 在Switch A上創建VLAN 10,並將連接Device A、Device B和Router的接口設置成工作在二層模式,接口鏈路類型為Access,並將接口加入VLAN 10。
(3) 配置Switch B
# 在Switch B上創建VLAN 10,並將連接Device A、Device B和Host的接口設置成工作在二層模式,接口鏈路類型為Access,並將此接口加入VLAN 10。
(4) 配置Device A
a. 配置VLAN
# 使接口GigabitEthernet1/0/1和GigabitEthernet1/0/2工作在二層模式,具體配置步驟如下。
<DeviceA> system-view
[DeviceA] interface range gigabitethernet 1/0/1 to gigabitethernet 1/0/2
[DeviceA-if-range] port link-mode bridge
[DeviceA-if-range] quit
# 根據組網圖中規劃的信息,創建VLAN 10,並將接口加入VLAN,具體配置步驟如下。
[DeviceA] vlan 10
[DeviceA-vlan10] port gigabitethernet 1/0/1
[DeviceA-vlan10] port gigabitethernet 1/0/2
[DeviceA-vlan10] quit
b. 配置接口IPv4地址
# 根據組網圖中規劃的信息,配置各接口的IPv4地址,具體配置步驟如下。
[DeviceA] interface gigabitethernet 1/0/3
[DeviceA-GigabitEthernet1/0/3] ip address 10.2.1.1 255.255.255.0
[DeviceA-GigabitEthernet1/0/3] quit
c. 配置接口加入安全域。
# 請根據組網圖中規劃的信息,將接口加入對應的安全域,具體配置步驟如下。
[DeviceA] security-zone name untrust
[DeviceA-security-zone-Untrust] import interface gigabitethernet 1/0/1 vlan 10
[DeviceA-security-zone-Untrust] quit
[DeviceA] security-zone name trust
[DeviceA-security-zone-Trust] import interface gigabitethernet 1/0/2 vlan 10
[DeviceA-security-zone-Trust] quit
d. 配置安全策略,允許所需的業務報文通過
此部分安全策略隻需在主管理設備配置,HA組網完成後,從管理設備會自動同步這些安全策略配置信息。
# 配置名稱為trust-untrust的安全策略規則,使10.1.1.0/24網段的內網用戶可以主動訪問Internet,但是Internet上的用戶不能訪問內網,具體配置步驟如下。
[DeviceA] security-policy ip
[DeviceA-security-policy-ip] rule name trust-untrust
[DeviceA-security-policy-ip-3-trust-untrust] source-zone trust
[DeviceA-security-policy-ip-3-trust-untrust] destination-zone untrust
[DeviceA-security-policy-ip-3-trust-untrust] source-ip-subnet 10.1.1.0 24
[DeviceA-security-policy-ip-3-trust-untrust] action pass
[DeviceA-security-policy-ip-3-trust-untrust] quit
[DeviceA-security-policy-ip] quit
e. 配置高可靠性
本舉例僅用以太網接口作為控製通道和數據通道接口使用。對於設備同時擁有HA接口和以太網接口的情況,建議使用HA接口作為控製通道和數據通道接口使用,這樣能夠更好地保護設備的安全性和穩定性。HA接口不能作為業務接口使用。
# 使用兩台Device進行HA組網,Device A作為主設備,Device B作為備設備。當Device A或其鏈路發生故障時,由Device B接替Device A繼續工作,保證業務不中斷。
[DeviceA] remote-backup group
[DeviceA-remote-backup-group] remote-ip 10.2.1.2
[DeviceA-remote-backup-group] local-ip 10.2.1.1
[DeviceA-remote-backup-group] >gigabitethernet 1/0/3
[DeviceA-remote-backup-group] device-role primary
RBM_P[DeviceA-remote-backup-group] undo backup-mode
RBM_P[DeviceA-remote-backup-group] hot-backup enable
RBM_P[DeviceA-remote-backup-group] configuration auto-sync enable
RBM_P[DeviceA-remote-backup-group] configuration sync-check interval 12
# 配置HA監控VLAN 10的狀態。
RBM_P[DeviceA-remote-backup-group] track vlan 10
RBM_P[DeviceA-remote-backup-group] quit
f. 配置安全業務
# 以上有關HA的配置部署完成後,可以配置各種安全業務。對於HA支持配置信息備份的功能模塊僅需要在此主管理設備上(Device A)進行配置即可。
(5) 配置Device B
a. 配置VLAN
# 使接口GigabitEthernet1/0/1和GigabitEthernet1/0/2工作在二層模式,具體配置步驟如下。
<DeviceB> system-view
[DeviceB] interface range gigabitethernet 1/0/1 to gigabitethernet 1/0/2
[DeviceB-if-range] port link-mode bridge
[DeviceB-if-range] quit
# 根據組網圖中規劃的信息,創建VLAN 10,並將接口加入VLAN,具體配置步驟如下。
[DeviceB] vlan 10
[DeviceB-vlan10] port gigabitethernet 1/0/1
[DeviceB-vlan10] port gigabitethernet 1/0/2
[DeviceB-vlan10] quit
b. 配置接口IPv4地址
# 根據組網圖中規劃的信息,配置各接口的IPv4地址,具體配置步驟如下。
[DeviceB] interface gigabitethernet 1/0/3
[DeviceB-GigabitEthernet1/0/3] ip address 10.2.1.2 255.255.255.0
[DeviceB-GigabitEthernet1/0/3] quit
c. 配置接口加入安全域。
# 請根據組網圖中規劃的信息,將接口加入對應的安全域,具體配置步驟如下。
[DeviceB] security-zone name untrust
[DeviceB-security-zone-Untrust] import interface gigabitethernet 1/0/1 vlan 10
[DeviceB-security-zone-Untrust] quit
[DeviceB] security-zone name trust
[DeviceB-security-zone-Trust] import interface gigabitethernet 1/0/2 vlan 10
[DeviceB-security-zone-Trust] quit
d. 配置高可靠性
本舉例僅用以太網接口作為控製通道和數據通道接口使用。對於設備同時擁有HA接口和以太網接口的情況,建議使用HA接口作為控製通道和數據通道接口使用,這樣能夠更好地保護設備的安全性和穩定性。HA接口不能作為業務接口使用。
# 使用兩台Device進行HA組網,Device A作為主設備,Device B作為備設備。當Device A或其鏈路發生故障時,由Device B接替Device A繼續工作,保證業務不中斷。
[DeviceB] remote-backup group
[DeviceB-remote-backup-group] remote-ip 10.2.1.1
[DeviceB-remote-backup-group] local-ip 10.2.1.2
[DeviceB-remote-backup-group] >gigabitethernet 1/0/3
[DeviceB-remote-backup-group] device-role secondary
RBM_S[DeviceB-remote-backup-group] undo backup-mode
RBM_S[DeviceB-remote-backup-group] hot-backup enable
RBM_S[DeviceB-remote-backup-group] configuration auto-sync enable
RBM_S[DeviceB-remote-backup-group] configuration sync-check interval 12
# 配置HA監控VLAN 10的狀態。
RBM_S[DeviceB-remote-backup-group] track vlan 10
RBM_S[DeviceB-remote-backup-group] quit
(6) 配置Host
# 配置Host的默認網關為10.1.1.1。
- 2024-01-25回答
- 評論(0)
- 舉報
-
(0)
暫無評論
編輯答案
親~登錄後才可以操作哦!
確定你的郵箱還未認證,請認證郵箱或綁定手機後進行當前操作
舉報
×
侵犯我的權益
×
侵犯了我企業的權益
×
- 1. 您舉報的內容是什麼?(請在郵件中列出您舉報的內容和鏈接地址)
- 2. 您是誰?(身份證明材料,可以是身份證或護照等證件)
- 3. 是哪家企業?(營業執照,單位登記證明等證件)
- 4. 您與該企業的關係是?(您是企業法人或被授權人,需提供企業委托授權書)
抄襲了我的內容
×
原文鏈接或出處
誹謗我
×
- 1. 您舉報的內容以及侵犯了您什麼權益?(請在郵件中列出您舉報的內容、鏈接地址,並給出簡短的說明)
- 2. 您是誰?(身份證明材料,可以是身份證或護照等證件)
對根叔社區有害的內容
×
不規範轉載
×
舉報說明
暫無評論