-
双机热备主备方式
OSPF
< br>组网配置
指导手册
关键字:双机热备、主备、非抢占、物理接口、静态路由、<
/p>
OSPF
1
双机热备防火墙组网说明:
2
2
主防火墙配置步骤:
2
2.1
配置接口地址
5
2.2
配置安全区域
6
2.3
配置双机热备
8
2.4
配置接口联动
11
2.5
配置
NAT11
2.6
配置
OSPF
动态路由协议
15
2.7
配置
NQA18
2.8
配置静态缺省路由与
TRACK
1
绑定
19
2.9
配置
OSPF
发布缺省路由
20
3
备防火墙配置步骤:
20
2.1
配置接口地址
22
2.2
配置安全区域
24
2.3
配置双机热备
25
2.4
配置接口联动
28
2.5
配置
NAT28
2.6
配置
OSPF
动态路由协议
33
2.7
配置
NQA35
2.8
配置静态缺省路由与
TRACK
1
绑定
36
2.9
配置
OSPF
发布缺省路由
37
目录
1
双机热备防火墙组网说明:
组网说明:
防火墙双机热备组网,主备非抢占模式,防火墙上行链路通过静态路由指向连接
INT
ERNET
网络,防
火墙下行链路通过
OSPF
动态路由指向内部网络路由器。
业务要求:
当网络“层三交换机”或
“防火墙”或“层二交换机”某一个设备本身故障或某一条线路故障时,流量
可以及时从
主防火墙切换至备防火墙,保证网络应用业务不中断、平稳运行。
2
主防火墙配置步骤:
1
配置
PC
IP
地址
192.168.0.3/
24
,连接管理防火墙:
2
通过
I
E
浏览器打开防火墙
WEB
管理界面,
防火墙默认的管理
IP
地址
192.168.0.1
,默认的用户名:
h3
c
,默认密码:
h3c
。
3
进入防火墙
WEB
管理界面,可以查看防火墙系统信息
,包括版本信息等;
4
单击
“设备管理》
基本配置》
设备基本信息”
修改防火墙名称为
“
FW1
”
,
默认的防火墙名称是
“
H3C
< br>”
;
5
单击“设备管理》服务管理”启用
防火墙
TELNET
服务,用于远程命令行配置管理;
6
单击“用户管理》本地用户”新建、修改管理防火墙用户和用户密码;
2.1
配置接口地址
1
< br>单击“设备管理》接口管理”
,单击“修改”按钮,配置防火墙接口地址;
2
配置接口
G2/0
,接口
ip
地址为
10.1.1.253
/24
,配置完成后单击“确定”按钮;
3
配置
接口
G2/2
,接口
ip
地址为
192.168.2.2/24
,配置完成后
单击“确定”按钮;
4
配置接口
G2/3
,接口
ip
地址为
192.168.3.2/24
,配置完成后单击“确定”按钮;
2.2
配置安全区域
1
< br>单击“设备管理》安全域”
,单击“修改”按钮,配置防火墙接口加入安全区域;
2 <
/p>
配置
G2/2
和
G2/3
接口加入
Trust
区域,配
置完成后单击“确定”按钮;
3
配置
G
2/0
接口加入
Untrust
区域,
配置完成后单击“确定”按钮;
2.3
配置双机热备
配置
VRRP
1
< br>单击“高可靠性》
VRRP
”
,
单击接口
G2/0
“修改”按钮配置接口
VRRP
;
2
单击“新建”按钮,配置“
vrid
”为
101
,配置“虚拟
ip
”为
10.1.1
.5
;
3
单击“修改”按钮配置
VRID
101
监视接口;
4
单击“显示监视配置”
,配置接口
G2/0
监视接口
G2/2
和接口
G2/3
;
配置双机热备
1
< br>单击“高可靠性》双机热备”配置“使能双机热备功能”
,备份类型为“不支持非
对称路径”
,备份接
口为默认接口
in
ner-ethernet0/1
,配置完成后单击“确定”按钮;同时使用一根以太网
线连接两台防火墙
的“
HA
接口”
(
“
HA
接口”在
防火墙的主控面板上)
;
2.4
配置接口联动
1
< br>单击“高可靠性》接口联动组”单击联动组
1
“修改”按
钮配置接口联动:
2
配置“联动组
1
< br>”成员
G2/0
、
G2/2
、
G2/3
,配置完成后单击“确定”按钮
;当联动组中其中之一的接
口状态为
DOWN
< br>,其它接口也被置为
DOWN
状态,保证联动组中所有接
口状态一致。
2.5
配置
NAT
配置
NAT
策略
1
单击“防火墙》
ACL
”配置
NA
T
策略,单击“新建”按钮;
2
配置“策略
ID
”为
3001
,配置完成后单
击“确定”按钮;
3
单击“策略
3001
”
“
修改”按钮,添加策略规则;
4
单击“新建”按钮,添加策略规则;
5
配置
NA
T
策略规则,配置完成后单击“确定”按钮;此规则用于
NA<
/p>
T
,决定是否对网络流量做
NAT
转换;
6
单击“新建”按钮,配置第二条策略规则,
,配置完成后单击“确定
”按钮;此规则仍然用于
NAT,
与
N
QA
配合使用,即将
NQA
的检测报文
做
NA
T
转换;
7
配置完成后,单击“返回”按钮;
配置
NAT
地址池
1
单击“防火墙》
NAT
》动态地址转换”
,单击“地址池》新建
”按钮配置
NAT
地址池;
2
配置
“地址池索引”为
1
,开始
ip
地址
10.1.1.101
,结束
ip
地址
10.1.1.200
< br>;配置完成后单击“确定”
按钮;
配置
NA
T
与接口关联
1
< br>单击“地址转换关联》新建”按钮配置
NAT
与接口关联
;
2
配置“接口”为
G2/0
,
“
ACL
”为
3001<
/p>
,
“地址转换方式”为
PAT
,
“地址池索引”为
1
,
“使能
VRRP
关联”
为
101
,
配置完成后单击<
/p>
“确定”
按钮;
注意:
< br>接口配置
VRRP
后,
必须配置
“使能
VRRP
关联”
;
2.6
配置
OSPF
动态路由协议
1
单击“网络管理》路由管理》
OSPF
”配置
“启用
OSPF
协议”
,单击“确定”
按钮;
2
单击“区域配置》新建”按钮配置
OSPF
区域
ID
和网段地址;
3
配置“全局配置》
OSPF
区域配置”
“区域
ID
”为
0
,
“网段地址”为
192.168.2.0
/0.0.0.255
和
192.168.3.0/0.0.0
.255
;配置完成后单击“确定”按钮;
4
单击
“区域配置》更多选项”按钮配置“接口配置”
,修改
OSFP
HELLO
和
DEAD
间隔时间;
5
配置接口
2/2
“
H
ELLO
间隔”为
1
秒,
“
DEAD
间隔”为
4
秒;配置完成后单击“确定”按钮;
6
配置接口
2/2
“
HELLO
间隔”为
1
秒,
“
DEAD<
/p>
间隔”为
4
秒;配置完成后单击“确定”
按钮;
2.7
配置
NQA
通过
CONSOLE
或者
TELNET
登录到设备命令行界面,默认的用户名
/
密码:
h3c/h3c
;
配置
NQA
1
配置
NQA entry
;用于检测防火墙
G2/0
接口的
VRRP
状态,当
VRRP
状态为主时,
NQA
检测成功;
当
VRRP
状态为备时,
NQA
检测失败;
NQA
与静态缺省路由、
TRACK1
配合使用,
当
N
QA
检测成功,
静态缺省路由有效;反之,静态缺省路由无效;
[FW1]nqa entry monitor_vrrp 1
[FW1-nqa-monitor_vrrp-1-icmp-
echo]display this
-
-
-
-
-
-
-
-
-
上一篇:柔情似水是什么意思柔情似水是什么意思
下一篇:坚持不懈的意思