• 全部
  • 經驗案例
  • 典型配置
  • 技術公告
  • FAQ
  • 漏洞說明
  • 全部
  • 全部
  • 大數據引擎
  • 知了引擎
產品線
搜索
取消
案例類型
發布者
是否解決
是否官方
時間
搜索引擎
匹配模式
高級搜索

防火牆雙機熱備架構

2024-01-25提問
  • 0關注
  • 0收藏,1047瀏覽
粉絲:0人 關注:1人

問題描述:

兩台防火牆做二層透明部署,上下級聯兩個核心區域交換機,上下兩台核心各自堆疊,中間的鏈路能否按此圖上實現聚合組網?如果無法實現,此處應該怎麼去部署

最佳答案

粉絲:119人 關注:8人

RBM實現不了,IRF可以實現

現在防火牆推薦配置RBM:

1.22.5 HA透明主備直路組網典型配置舉例


暫無評論

2 個回答
已采納
粉絲:20人 關注:9人

您好,請知:

可以考慮使用HA或者IRF

以下是配置案例,請參考:

1.22.5  HA透明主備直路組網典型配置舉例

1. 組網需求

圖1-23所示,某公司以Device作為網絡邊界安全防護設備,連接公司內部網絡和Internet,Device的上、下行業務接口均為二層接口。為提高業務穩定性,使用兩台Device進行HA組網,Device A作為主設備,Device B作為備設備。當Device A或其鏈路發生故障時,由Device B接替Device A繼續工作,保證業務不中斷。

2. 組網圖

圖1-23 HA透明主備直路組網圖

3. 配置步驟

(1)     確保主備設備的軟硬件環境一致

# 在配置HA功能之前,請先保證主/備設備的硬件環境和軟件環境的一致性。

(2)     配置Switch A

# 在Switch A上創建VLAN 10,並將連接Device A、Device B和Router的接口設置成工作在二層模式,接口鏈路類型為Access,並將接口加入VLAN 10。

(3)     配置Switch B

# 在Switch B上創建VLAN 10,並將連接Device A、Device B和Host的接口設置成工作在二層模式,接口鏈路類型為Access,並將此接口加入VLAN 10。

(4)     配置Device A

a.     配置VLAN

# 使接口GigabitEthernet1/0/1和GigabitEthernet1/0/2工作在二層模式,具體配置步驟如下。

<DeviceA> system-view

[DeviceA] interface range gigabitethernet 1/0/1 to gigabitethernet 1/0/2

[DeviceA-if-range] port link-mode bridge

[DeviceA-if-range] quit

# 根據組網圖中規劃的信息,創建VLAN 10,並將接口加入VLAN,具體配置步驟如下。

[DeviceA] vlan 10

[DeviceA-vlan10] port gigabitethernet 1/0/1

[DeviceA-vlan10] port gigabitethernet 1/0/2

[DeviceA-vlan10] quit

b.     配置接口IPv4地址

# 根據組網圖中規劃的信息,配置各接口的IPv4地址,具體配置步驟如下。

[DeviceA] interface gigabitethernet 1/0/3

[DeviceA-GigabitEthernet1/0/3] ip address 10.2.1.1 255.255.255.0

[DeviceA-GigabitEthernet1/0/3] quit

c.     配置接口加入安全域。

# 請根據組網圖中規劃的信息,將接口加入對應的安全域,具體配置步驟如下。

[DeviceA] security-zone name untrust

[DeviceA-security-zone-Untrust] import interface gigabitethernet 1/0/1 vlan 10

[DeviceA-security-zone-Untrust] quit

[DeviceA] security-zone name trust

[DeviceA-security-zone-Trust] import interface gigabitethernet 1/0/2 vlan 10

[DeviceA-security-zone-Trust] quit

d.     配置安全策略,允許所需的業務報文通過

此部分安全策略隻需在主管理設備配置,HA組網完成後,從管理設備會自動同步這些安全策略配置信息。

# 配置名稱為trust-untrust的安全策略規則,使10.1.1.0/24網段的內網用戶可以主動訪問Internet,但是Internet上的用戶不能訪問內網,具體配置步驟如下。

[DeviceA] security-policy ip

[DeviceA-security-policy-ip] rule name trust-untrust

[DeviceA-security-policy-ip-3-trust-untrust] source-zone trust

[DeviceA-security-policy-ip-3-trust-untrust] destination-zone untrust

[DeviceA-security-policy-ip-3-trust-untrust] source-ip-subnet 10.1.1.0 24

[DeviceA-security-policy-ip-3-trust-untrust] action pass

[DeviceA-security-policy-ip-3-trust-untrust] quit

[DeviceA-security-policy-ip] quit

e.     配置高可靠性

本舉例僅用以太網接口作為控製通道和數據通道接口使用。對於設備同時擁有HA接口和以太網接口的情況,建議使用HA接口作為控製通道和數據通道接口使用,這樣能夠更好地保護設備的安全性和穩定性。HA接口不能作為業務接口使用。

# 使用兩台Device進行HA組網,Device A作為主設備,Device B作為備設備。當Device A或其鏈路發生故障時,由Device B接替Device A繼續工作,保證業務不中斷。

[DeviceA] remote-backup group

[DeviceA-remote-backup-group] remote-ip 10.2.1.2

[DeviceA-remote-backup-group] local-ip 10.2.1.1

[DeviceA-remote-backup-group] >gigabitethernet 1/0/3

[DeviceA-remote-backup-group] device-role primary

RBM_P[DeviceA-remote-backup-group] undo backup-mode

RBM_P[DeviceA-remote-backup-group] hot-backup enable

RBM_P[DeviceA-remote-backup-group] configuration auto-sync enable

RBM_P[DeviceA-remote-backup-group] configuration sync-check interval 12

# 配置HA監控VLAN 10的狀態。

RBM_P[DeviceA-remote-backup-group] track vlan 10

RBM_P[DeviceA-remote-backup-group] quit

f.     配置安全業務

# 以上有關HA的配置部署完成後,可以配置各種安全業務。對於HA支持配置信息備份的功能模塊僅需要在此主管理設備上(Device A)進行配置即可。

(5)     配置Device B

a.     配置VLAN

# 使接口GigabitEthernet1/0/1和GigabitEthernet1/0/2工作在二層模式,具體配置步驟如下。

<DeviceB> system-view

[DeviceB] interface range gigabitethernet 1/0/1 to gigabitethernet 1/0/2

[DeviceB-if-range] port link-mode bridge

[DeviceB-if-range] quit

# 根據組網圖中規劃的信息,創建VLAN 10,並將接口加入VLAN,具體配置步驟如下。

[DeviceB] vlan 10

[DeviceB-vlan10] port gigabitethernet 1/0/1

[DeviceB-vlan10] port gigabitethernet 1/0/2

[DeviceB-vlan10] quit

b.     配置接口IPv4地址

# 根據組網圖中規劃的信息,配置各接口的IPv4地址,具體配置步驟如下。

[DeviceB] interface gigabitethernet 1/0/3

[DeviceB-GigabitEthernet1/0/3] ip address 10.2.1.2 255.255.255.0

[DeviceB-GigabitEthernet1/0/3] quit

c.     配置接口加入安全域。

# 請根據組網圖中規劃的信息,將接口加入對應的安全域,具體配置步驟如下。

[DeviceB] security-zone name untrust

[DeviceB-security-zone-Untrust] import interface gigabitethernet 1/0/1 vlan 10

[DeviceB-security-zone-Untrust] quit

[DeviceB] security-zone name trust

[DeviceB-security-zone-Trust] import interface gigabitethernet 1/0/2 vlan 10

[DeviceB-security-zone-Trust] quit

d.     配置高可靠性

本舉例僅用以太網接口作為控製通道和數據通道接口使用。對於設備同時擁有HA接口和以太網接口的情況,建議使用HA接口作為控製通道和數據通道接口使用,這樣能夠更好地保護設備的安全性和穩定性。HA接口不能作為業務接口使用。

# 使用兩台Device進行HA組網,Device A作為主設備,Device B作為備設備。當Device A或其鏈路發生故障時,由Device B接替Device A繼續工作,保證業務不中斷。

[DeviceB] remote-backup group

[DeviceB-remote-backup-group] remote-ip 10.2.1.1

[DeviceB-remote-backup-group] local-ip 10.2.1.2

[DeviceB-remote-backup-group] >gigabitethernet 1/0/3

[DeviceB-remote-backup-group] device-role secondary

RBM_S[DeviceB-remote-backup-group] undo backup-mode

RBM_S[DeviceB-remote-backup-group] hot-backup enable

RBM_S[DeviceB-remote-backup-group] configuration auto-sync enable

RBM_S[DeviceB-remote-backup-group] configuration sync-check interval 12

# 配置HA監控VLAN 10的狀態。

RBM_S[DeviceB-remote-backup-group] track vlan 10

RBM_S[DeviceB-remote-backup-group] quit

(6)     配置Host

# 配置Host的默認網關為10.1.1.1。

暫無評論

粉絲:104人 關注:0人

您好,直接HA或者IRF

暫無評論

編輯答案

你正在編輯答案

如果你要對問題或其他回答進行點評或詢問,請使用評論功能。

分享擴散:

提出建議

    +

親~登錄後才可以操作哦!

確定

親~檢測到您登陸的賬號未在http://hclhub.h3c.com進行注冊

注冊後可訪問此模塊

跳轉hclhub

你的郵箱還未認證,請認證郵箱或綁定手機後進行當前操作

舉報

×

侵犯我的權益 >
對根叔社區有害的內容 >
辱罵、歧視、挑釁等(不友善)

侵犯我的權益

×

泄露了我的隱私 >
侵犯了我企業的權益 >
抄襲了我的內容 >
誹謗我 >
辱罵、歧視、挑釁等(不友善)
騷擾我

泄露了我的隱私

×

您好,當您發現根叔知了上有泄漏您隱私的內容時,您可以向根叔知了進行舉報。 請您把以下內容通過郵件發送到pub.zhiliao@h3c.com 郵箱,我們會盡快處理。
  • 1. 您認為哪些內容泄露了您的隱私?(請在郵件中列出您舉報的內容、鏈接地址,並給出簡短的說明)
  • 2. 您是誰?(身份證明材料,可以是身份證或護照等證件)

侵犯了我企業的權益

×

您好,當您發現根叔知了上有關於您企業的造謠與誹謗、商業侵權等內容時,您可以向根叔知了進行舉報。 請您把以下內容通過郵件發送到 pub.zhiliao@h3c.com 郵箱,我們會在審核後盡快給您答複。
  • 1. 您舉報的內容是什麼?(請在郵件中列出您舉報的內容和鏈接地址)
  • 2. 您是誰?(身份證明材料,可以是身份證或護照等證件)
  • 3. 是哪家企業?(營業執照,單位登記證明等證件)
  • 4. 您與該企業的關係是?(您是企業法人或被授權人,需提供企業委托授權書)
我們認為知名企業應該坦然接受公眾討論,對於答案中不準確的部分,我們歡迎您以正式或非正式身份在根叔知了上進行澄清。

抄襲了我的內容

×

原文鏈接或出處

誹謗我

×

您好,當您發現根叔知了上有誹謗您的內容時,您可以向根叔知了進行舉報。 請您把以下內容通過郵件發送到pub.zhiliao@h3c.com 郵箱,我們會盡快處理。
  • 1. 您舉報的內容以及侵犯了您什麼權益?(請在郵件中列出您舉報的內容、鏈接地址,並給出簡短的說明)
  • 2. 您是誰?(身份證明材料,可以是身份證或護照等證件)
我們認為知名企業應該坦然接受公眾討論,對於答案中不準確的部分,我們歡迎您以正式或非正式身份在根叔知了上進行澄清。

對根叔社區有害的內容

×

垃圾廣告信息
色情、暴力、血腥等違反法律法規的內容
政治敏感
不規範轉載 >
辱罵、歧視、挑釁等(不友善)
騷擾我
誘導投票

不規範轉載

×

舉報說明