Admin
2017-02-17 15:09:12
如图1所示,两台NGFW的业务接口都工作在三层,上下行分别连接二层交换机。
上行的两台交换机分别连接到不同的运营商,其中ISP1分配给企业的IP地址为1.1.1.1、1.1.1.2、1.1.1.3,ISP2分配给企业的IP地址为2.2.2.1、2.2.2.2、2.2.2.3。
现在希望两台NGFW以负载分担方式工作,部门A的用户(10.3.0.51~10.3.0.100)的流量去往ISP1,部门B(10.3.0.101~10.3.0.150)的流量去往ISP2。正常情况下,NGFW_A和NGFW_B共同转发流量。当其中一台NGFW出现故障时,另外一台NGFW转发全部业务,保证业务不中断。
图1 业务接口工作在三层,上下行连接交换机的负载分担组网 
配置接口,完成网络基本配置。
选择“网络 > 接口”。
单击GE1/0/1,按如下参数配置。
安全区域 | isp1 |
|---|---|
IPv4 | |
IP地址 | 1.1.1.2/24 |
单击“确定”。
参考上述步骤按如下参数配置GE1/0/2接口。
安全区域 | isp2 |
|---|---|
IPv4 | |
IP地址 | 2.2.2.2/24 |
参考上述步骤按如下参数配置GE1/0/3接口。
安全区域 | trust |
|---|---|
IPv4 | |
IP地址 | 10.3.0.2/24 |
参考上述步骤按如下参数配置GE1/0/7接口。
安全区域 | dmz |
|---|---|
IPv4 | |
IP地址 | 10.10.0.2/24 |
选择“网络 > 接口”。
单击GE1/0/1,按如下参数配置。
安全区域 | isp1 |
|---|---|
IPv4 | |
IP地址 | 1.1.1.1/24 |
单击“确定”。
参考上述步骤按如下参数配置GE1/0/2接口。
安全区域 | isp2 |
|---|---|
IPv4 | |
IP地址 | 2.2.2.1/24 |
参考上述步骤按如下参数配置GE1/0/3接口。
安全区域 | trust |
|---|---|
IPv4 | |
IP地址 | 10.3.0.1/24 |
参考上述步骤按如下参数配置GE1/0/7接口。
安全区域 | dmz |
|---|---|
IPv4 | |
IP地址 | 10.10.0.1/24 |
在NGFW_A上配置接口。
说明:
isp1和isp2为已经创建好的安全区域。
在NGFW_B上配置接口。
配置路由功能,保证路由可达。
NGFW_A与NGFW_B的路由配置相同。
选择“策略 > 策略路由”。
单击“新建”。
按如下参数配置到ISP1的策略路由。
名称 | route_policy_isp1 |
|---|---|
类型 | 源安全区域 |
源安全区域 | trust |
源地址 | 10.3.0.51-10.3.0.100 |
动作 | 转发 |
下一跳 | 1.1.1.254 |
单击“确定”。
参考上述步骤,配置到ISP2的策略路由。
名称 | route_policy_isp2 |
|---|---|
类型 | 源安全区域 |
源安全区域 | trust |
源地址 | 10.3.0.101-10.3.0.150 |
动作 | 转发 |
下一跳 | 2.2.2.254 |
配置双机热备功能。
选择“系统 > 高可靠性 > 双机热备”。
单击“配置”。
选中“启用”前的复选框后,按如下参数配置。
单击“确定”。
选择“系统 > 高可靠性 > 双机热备”。
单击“配置”。
选中“启用”前的复选框后,按如下参数配置。
单击“确定”。
在NGFW_A上配置双机热备功能。
在NGFW_B上配置双机热备功能。
在内网的设备上配置缺省路由,将部门A用户的下一跳设置为VRRP备份组3的虚拟IP地址10.3.0.3,部门B用户的下一跳设置为VRRP备份组4的虚拟IP地址10.3.0.4。
配置安全策略。
在NGFW_A上配置的安全策略会自动备份到NGFW_B上。
选择“策略 > 安全策略 > 安全策略”。
单击“新建”。
按照如下参数配置安全策略。
名称 | policy_sec |
|---|---|
源安全区域 | trust |
目的安全区域 | isp1,isp2 |
动作 | 允许 |
单击“确定”。
配置NAT策略,使内网用户通过转换后的公网IP地址访问Internet。
在NGFW_A上配置的NAT策略会自动备份到NGFW_B上。
选择“策略 > NAT策略 > 源NAT”。
选择“NAT地址池”页签。
单击“新建”。
按照如下参数配置NAT地址池1。
名称 | 1 |
|---|---|
IP地址范围 | 1.1.1.3-1.1.1.3 |
单击“确定”。
参考上述步骤按如下参数配置NAT地址池2。
名称 | 2 |
|---|---|
IP地址范围 | 2.2.2.3-2.2.2.3 |
选择“源NAT”页签。
单击“新建”。
按照如下参数配置trust与isp1间的NAT策略。
名称 | policy_nat_1 |
|---|---|
源安全区域 | trust |
目的安全区域 | isp1 |
动作 | NAT转换 |
转换后 | |
源地址 | 地址池中的地址 |
地址池 | 1 |
单击“确定”。
参考上述步骤按如下参数配置trust与isp2间的NAT策略。
名称 | policy_nat_2 |
|---|---|
源安全区域 | trust |
目的安全区域 | isp2 |
动作 | NAT转换 |
转换后 | |
源地址 | 地址池中的地址 |
地址池 | 2 |
选择“系统 > 高可靠性 > 双机热备”,查看双机热备的运行情况。
正常情况下,NGFW_A的“当前运行模式”为“负载分担”,“当前运行角色”为“主用”;NGFW_B的“当前运行模式”为“负载分担”,“当前运行角色”为“备用”。这说明流量通过两台NGFW共同转发。
当NGFW_A出现故障时,NGFW_A的“当前运行模式”为“主备备份”,“当前运行角色”为“备用”;NGFW_B的“当前运行模式”为“主备备份”,“当前运行角色”为“主用”。这说明流量通过NGFW_B转发。
| NGFW_A | NGFW_B |
|---|---|
# hrp mirror session enable hrp enable hrp loadbalance-device hrp interface GigabitEthernet 1/0/7 # interface GigabitEthernet 1/0/1 ip address 1.1.1.1 255.255.255.0 vrrp vrid 1 virtual-ip 1.1.1.3 active# interface GigabitEthernet 1/0/2 ip address 2.2.2.1 255.255.255.0 vrrp vrid 2 virtual-ip 2.2.2.3 standby# interface GigabitEthernet 1/0/3 ip address 10.3.0.1 255.255.255.0 vrrp vrid 3 virtual-ip 10.3.0.3 active vrrp vrid 4 virtual-ip 10.3.0.4 standby# interface GigabitEthernet 1/0/7 ip address 10.10.0.1 255.255.255.0 # firewall zone trust set priority 85 add interface GigabitEthernet 1/0/3 # firewall zone dmz set priority 50 add interface GigabitEthernet1/0/7 # firewall zone isp1 set priority 10 add interface GigabitEthernet 1/0/1 # firewall zone isp2 set priority 15 add interface GigabitEthernet 1/0/2 # nat address-group 1 section 0 1.1.1.3 1.1.1.3 nat address-group 2 section 0 2.2.2.3 2.2.2.3 # security-policy rule name policy_sec source-zone trust destination-zone isp1 destination-zone isp2 action permit # policy-based-route rule name route_policy_isp1 source-zone trust source-address range 10.3.0.51 10.3.0.100 action pbr next-hop 1.1.1.254 rule name route_policy_isp2 source-zone trust source-address range 10.3.0.101 10.3.0.150 action pbr next-hop 2.2.2.254 # nat-policy rule name policy_nat_1 source-zone trust destination-zone isp1 action nat address-group 1 rule name policy_nat_2 source-zone trust destination-zone isp2 action nat address-group 2 | # hrp mirror session enable hrp enable hrp loadbalance-device hrp interface GigabitEthernet 1/0/7 # interface GigabitEthernet 1/0/1 ip address 1.1.1.2 255.255.255.0 vrrp vrid 1 virtual-ip 1.1.1.3 standby# interface GigabitEthernet 1/0/2 ip address 2.2.2.2 255.255.255.0 vrrp vrid 2 virtual-ip 2.2.2.3 active# interface GigabitEthernet 1/0/3 ip address 10.3.0.2 255.255.255.0 vrrp vrid 3 virtual-ip 10.3.0.3 standby vrrp vrid 4 virtual-ip 10.3.0.4 active# interface GigabitEthernet 1/0/7 ip address 10.10.0.2 255.255.255.0 # firewall zone trust set priority 85 add interface GigabitEthernet 1/0/3 # firewall zone dmz set priority 50 add interface GigabitEthernet1/0/7 # firewall zone isp1 set priority 10 add interface GigabitEthernet 1/0/1 # firewall zone isp2 set priority 15 add interface GigabitEthernet 1/0/2 # nat address-group 1 section 0 1.1.1.3 1.1.1.3 nat address-group 2 section 0 2.2.2.3 2.2.2.3 # security-policy rule name policy_sec source-zone trust destination-zone isp1 destination-zone isp2 action permit # policy-based-route rule name route_policy_isp1 source-zone trust source-address range 10.3.0.51 10.3.0.100 action pbr next-hop 1.1.1.254 rule name route_policy_isp2 source-zone trust source-address range 10.3.0.101 10.3.0.150 action pbr next-hop 2.2.2.254 # nat-policy rule name policy_nat_1 source-zone trust destination-zone isp1 action nat address-group rule name policy_nat_2 source-zone trust destination-zone isp2 action nat address-group 2 |
021-62279227
发送邮件
