防火墻雙機熱備_第1頁
防火墻雙機熱備_第2頁
防火墻雙機熱備_第3頁
防火墻雙機熱備_第4頁
防火墻雙機熱備_第5頁
已閱讀5頁,還剩4頁未讀 繼續免費閱讀

下載本文檔

版權說明:本文檔由用戶提供并上傳,收益歸屬內容提供方,若內容存在侵權,請進行舉報或認領

文檔簡介

雙機熱備的配置環境如下:

需求如下:

LSW1和LSW2是二層交換機,FW1、FW2、LSW1、LSW2組成雙機熱備網絡,正常情況下,PC1發起的訪問R1的流量通過FW1轉發,當FW1出現故障時,在PC1不做任何調整的前提下,可以自動通過FW2轉發。推薦步驟:

按照拓撲圖配置基本網絡參數

防火墻接口加入不同區域

配置安全策略

配置NAT地址轉換使用PAPT

配置相互傳輸心跳

配置VRRP

防火墻配置默認路由

驗證開始配置:FW1配置如下:[FW1]intg1/0/0<!--進入該接口-->[FW1-GigabitEthernet1/0/0]ipadd10.1.1.124<!--接口配置IP地址-->[FW1-GigabitEthernet1/0/0]quit[FW1]intg1/0/1<!--進入該接口-->[FW1-GigabitEthernet1/0/1]ipadd10.2.1.124<!--接口配置IP地址-->[FW1-GigabitEthernet1/0/1]quit[FW1]intg1/0/2<!--進入該接口-->[FW1-GigabitEthernet1/0/2]ipadd10.3.1.124<!--接口配置IP地址-->[FW1-GigabitEthernet1/0/2]quit[FW1]iproute-static0.0.0.00.0.0.0GigabitEthernet1/0/01.1.1.2<!--配置去往untrust區域的默認路由-->[FW1]firewallzoneuntrust<!--進入untrust區域-->[FW1-zone-untrust]addintGigabitEthernet1/0/0<!--該接口加入untrust區域-->[FW1-zone-untrust]quit[FW1]firewallzonedmz<!--進入dmz區域-->[FW1-zone-dmz]addintGigabitEthernet1/0/1<!--該接口加入dmz區域-->[FW1-zone-dmz]quit[FW1]firewallzonetrust<!--進入trust區域-->[FW1-zone-trust]addintGigabitEthernet1/0/2<!--該接口加入trust區域-->[FW1-zone-trust]quit[FW1]security-policy<!--配置安全策略-->[FW1-policy-security]rulenameha<!--安全策略名字為ha-->[FW1-policy-security-rule-ha]source-zonelocal<!--指定源區域-->[FW1-policy-security-rule-ha]source-zonedmz<!--指定源區域-->[FW1-policy-security-rule-ha]destination-zonelocal<!--指定目標區域-->[FW1-policy-security-rule-ha]destination-zonedmz<!--指定目標區域-->[FW1-policy-security-rule-ha]actionpermit<!--允許dmz區域和local區域相互訪問-->[FW1-policy-security-rule-ha]quit[FW1-policy-security]quit[FW1]security-policy<!--配置安全策略-->[FW1-policy-security]rulenamenat<!--安全策略名字為nat-->[FW1-policy-security-rule-nat]source-zonetrust<!--指定源區域-->[FW1-policy-security-rule-nat]destination-zoneuntrust<!--指定目標區域-->[FW1-policy-security-rule-nat]actionpermit<!--允許流量通過-->[FW1-policy-security-rule-nat]quit[FW1-policy-security]qui[FW1]nataddress-groupNAPAT<!--地址池的名字為NAPAT-->[FW1-address-group-napat]section01.1.1.11.1.1.1<!--地址池范圍-->[FW1-address-group-napat]quit[FW1]nat-policy<!--配置NAT策略-->[FW1-policy-nat]rulenamenatpolicy<!--NAT策略名字為natpolicy-->[FW1-policy-nat-rule-natpolicy]source-zonetrust<!--定義轉換源區域-->[FW1-policy-nat-rule-natpolicy]destination-zoneuntrust<!--定義轉換目標區域-->[FW1-policy-nat-rule-natpolicy]actionnataddress-groupNAPAT<!--定義轉換源和地址池建立映射關系-->[FW1-policy-nat-rule-natpolicy]quit[FW1-policy-nat]quit[FW1]hrpintg1/0/1remote10.2.1.2<!--配置心跳信息傳輸到FW2-->[FW1]hrpenable<!--開啟hrp功能-->HRP_S[FW1]FW2配置如下:(請參照FW1注釋,FW1和FW2配置基本相同)[FW2]intg1/0/0[FW2-GigabitEthernet1/0/0]ipadd10.1.1.224[FW2-GigabitEthernet1/0/0]intg1/0/1[FW2-GigabitEthernet1/0/1]ipadd10.2.1.224[FW2-GigabitEthernet1/0/1]intg1/0/2[FW2-GigabitEthernet1/0/2]ipadd10.3.1.224[FW2-GigabitEthernet1/0/2]quit[FW2]iproute-static0.0.0.00.0.0.0GigabitEthernet1/0/01.1.1.2[FW2]firewallzoneuntrust[FW2-zone-untrust]addintGigabitEthernet1/0/0[FW2-zone-untrust]quit[FW2]firewallzonedmz[FW2-zone-dmz]addintGigabitEthernet1/0/1[FW2-zone-dmz]quit[FW2]firewallzonetrust[FW2-zone-trust]addintGigabitEthernet1/0/2[FW2-zone-trust]quit[FW2]security-policy[FW2-policy-security]rulenameha[FW2-policy-security-rule-ha]source-zonelocal[FW2-policy-security-rule-ha]source-zonedmz[FW2-policy-security-rule-ha]destination-zonelocal[FW2-policy-security-rule-ha]destination-zonedmz[FW2-policy-security-rule-ha]actionpermit[FW2-policy-security-rule-ha]quit[FW2-policy-security]quit[FW2]security-policy[FW2-policy-security]rulenamenat[FW2-policy-security-rule-nat]source-zonetrust[FW2-policy-security-rule-nat]destination-zoneuntrust[FW2-policy-security-rule-nat]actionpermit[FW2-policy-security-rule-nat]quit[FW2-policy-security]quit[FW2]nataddress-groupNAPAT[FW2-address-group-napat]section01.1.1.11.1.1.1[FW2-address-group-napat]quit[FW2]nat-policy[FW2-policy-nat]rulenamenatpolicy[FW2-policy-nat-rule-natpolicy]source-zonetrust[FW2-policy-nat-rule-natpolicy]destination-zoneuntrust[FW2-policy-nat-rule-natpolicy]actionnataddress-groupNAPAT[FW2-policy-nat-rule-natpolicy]quit[FW2-policy-nat]quit[FW2]hrpintg1/0/1remote10.2.1.1[FW2]hrpenableHRP_S[FW2]hrpstandby-device開始配置VRRPFW1配置VRRP如下:HRP_M[FW1]intg1/0/0(+B)<!--進入接口-->HRP_M[FW1-GigabitEthernet1/0/0]vrrpvrid1virtual-ip1.1.1.1255.255.255.0active<!--VRRP1組主設備,虛擬IP網關1.1.1.1-->HRP_M[FW1-GigabitEthernet1/0/0]quitHRP_M[FW1]intg1/0/2(+B)<!--進入接口-->HRP_M[FW1-GigabitEthernet1/0/2]vrrpvrid2virtual-ip10.3.1.3active<!--VRRP2組主設備,虛擬IP網關10.3.1.3-->HRP_M[FW1-GigabitEthernet1/0/2]quitFW2配置VRRP如下:HRP_S[FW2]intg1/0/0<!--進入接口-->HRP_S[FW2-GigabitEthernet1/0/0]vrrpvrid1virtual-ip1.1.1.1255.255.255.0standby<!--VRRP1備份設備,虛擬IP網關1.1.1.1-->HRP_S[FW2-GigabitEthernet1/0/0]quitHRP_S[FW2]intg1/0/2<!--進入接口-->HRP_S[FW2-GigabitEthernet1/0/2]vrrpvrid2virtual-ip10.3.1.3standby<!--VRRP2組備份設備,虛擬IP網關10.3.1.3-->HRP_S[FW2-GigabitEthernet1/0/2]quitHRP_S[FW2]dishrpstate<!--查看hrp狀態-->配置R1和PC的IP地址,并pingR1的IP地址。

R1配置如下:[R1]intg0/0/0[R1-GigabitEthernet0/0/0]ipadd1.1.1.224[R1-GigabitEthernet0/0/0]quit<!--進入接口給接口配置IP地址-->[R1]iproute-static10.3.1.02410.1.1.1[R1]iproute-static10.3.1.02410.1.1.2<!--添加兩條去往內網的路由,在實際環境中,可是不會有這條路由的哦,實際中一般會將內網的地址映射為和該路由器同一網段的公網IP。-->PC配置如下:驗證

用PC1pingR1路由器,然后去FW1和FW2防火墻上分別查看會話表,他們的內容是不一樣的FW1會話表:

抓包查看流量轉換

模擬FW1的F1/0/0接口故障,客戶端ping路由器R1HRP_M[FW1]intg1/0/0(+B)<!--進入接口-->HRP_M[FW1-GigabitEthernet1/0/0]shutdown<!--關

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯系上傳者。文件的所有權益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網頁內容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經權益所有人同意不得將文件中的內容挪作商業或盈利用途。
  • 5. 人人文庫網僅提供信息存儲空間,僅對用戶上傳內容的表現方式做保護處理,對用戶上傳分享的文檔內容本身不做任何修改或編輯,并不能對任何下載內容負責。
  • 6. 下載文件中如有侵權或不適當內容,請與我們聯系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論