这里介绍了多ISP接入,且业务接口工作在三层,上下行连接交换机的双机热备负载分担组网的举例。
组网需求
如图1所示,两台NGFW的业务接口都工作在三层,上下行分别连接二层交换机。
上行的两台交换机分别连接到不同的运营商,其中ISP1分配给企业的IP地址为1.1.1.1、1.1.1.2、1.1.1.3,ISP2分配给企业的IP地址为2.2.2.1、2.2.2.2、2.2.2.3。
现在希望两台NGFW以负载分担方式工作,部门A的用户(10.3.0.51~10.3.0.100)的流量去往ISP1,部门B(10.3.0.101~10.3.0.150)的流量去往ISP2。正常情况下,NGFW_A和NGFW_B共同转发流量。当其中一台NGFW出现故障时,另外一台NGFW转发全部业务,保证业务不中断。
图1 业务接口工作在三层,上下行连接交换机的负载分担组网
操作步骤
1. 配置接口,完成网络基本配置。
a. 在NGFW_A上配置接口。
说明:
isp1和isp2为已经创建好的安全区域。
i. 选择“网络 > 接口”。
ii. 单击GE1/0/1,按如下参数配置。
安全区域 | isp1 |
IPv4 | |
IP地址 | 1.1.1.1/24 |
iii. 单击“确定”。
iv. 参考上述步骤按如下参数配置GE1/0/2接口。
安全区域 | isp2 |
IPv4 | |
IP地址 | 2.2.2.1/24 |
v. 参考上述步骤按如下参数配置GE1/0/3接口。
安全区域 | trust |
IPv4 | |
IP地址 | 10.3.0.1/24 |
vi. 参考上述步骤按如下参数配置GE1/0/7接口。
安全区域 | dmz |
IPv4 | |
IP地址 | 10.10.0.1/24 |
b. 在NGFW_B上配置接口。
i. 选择“网络 > 接口”。
ii. 单击GE1/0/1,按如下参数配置。
安全区域 | isp1 |
IPv4 | |
IP地址 | 1.1.1.2/24 |
iii. 单击“确定”。
iv. 参考上述步骤按如下参数配置GE1/0/2接口。
安全区域 | isp2 |
IPv4 | |
IP地址 | 2.2.2.2/24 |
v. 参考上述步骤按如下参数配置GE1/0/3接口。
安全区域 | trust |
IPv4 | |
IP地址 | 10.3.0.2/24 |
vi. 参考上述步骤按如下参数配置GE1/0/7接口。
安全区域 | dmz |
IPv4 | |
IP地址 | 10.10.0.2/24 |
2. 配置路由功能,保证路由可达。
NGFW_A与NGFW_B的路由配置相同。
a. 选择“网络 > 路由 > 智能选路”。
b. 选择进入“策略路由”页签,单击“新建”,按如下参数配置策略路由。
名称 | route_policy_isp1 |
类型 | 源安全区域 |
源安全区域 | trust |
源地址 | 10.3.0.51-10.3.0.100 |
动作 | 转发 |
出接口类型 | 单出口 |
下一跳 | 1.1.1.254 |
c. 单击“确定”。
d. 参考上述步骤,配置到ISP2的策略路由。
名称 | route_policy_isp2 |
类型 | 源安全区域 |
源安全区域 | trust |
源地址 | 10.3.0.101-10.3.0.150 |
动作 | 转发 |
出接口类型 | 单出口 |
下一跳 | 2.2.2.254 |
3. 配置双机热备功能。
a. 在NGFW_A上配置双机热备功能。
i. 选择“系统 > 高可靠性 > 双机热备”。
ii. 单击“配置”。
iii. 选中“启用”前的复选框后,按如下参数配置。
iv. 单击“确定”。
b. 在NGFW_B上配置双机热备功能。
i. 选择“系统 > 高可靠性 > 双机热备”。
ii. 单击“配置”。
iii. 选中“启用”前的复选框后,按如下参数配置。
iv. 单击“确定”。
4. 在内网的设备上配置缺省路由,将部门A用户的下一跳设置为VRRP备份组3的虚拟IP地址10.3.0.3,部门B用户的下一跳设置为VRRP备份组4的虚拟IP地址10.3.0.4。
5. 配置安全策略。
在NGFW_A上配置的安全策略会自动备份到NGFW_B上。
a. 选择“策略 > 安全策略 > 安全策略”。
b. 单击“新建”。
c. 按照如下参数配置安全策略。
名称 | policy_sec |
源安全区域 | trust |
目的安全区域 | isp1,isp2 |
动作 | 允许 |
d. 单击“确定”。
6. 配置NAT策略,使内网用户通过转换后的公网IP地址访问Internet。
在NGFW_A上配置的NAT策略会自动备份到NGFW_B上。
a. 选择“策略 > NAT策略 > 源NAT”。
b. 选择“NAT地址池”页签。
c. 单击“新建”。
d. 按照如下参数配置NAT地址池1。
名称 | 1 |
IP地址范围 | 1.1.1.3-1.1.1.3 |
e. 单击“确定”。
f. 参考上述步骤按如下参数配置NAT地址池2。
名称 | 2 |
IP地址范围 | 2.2.2.3-2.2.2.3 |
g. 选择“源NAT”页签。
h. 单击“新建”。
i. 按照如下参数配置trust与isp1间的NAT策略。
名称 | policy_nat_1 |
源安全区域 | trust |
目的安全区域 | isp1 |
动作 | NAT转换 |
转换后 | |
源地址 | 地址池中的地址 |
地址池 | 1 |
j. 单击“确定”。
k. 参考上述步骤按如下参数配置trust与isp2间的NAT策略。
名称 | policy_nat_2 |
源安全区域 | trust |
目的安全区域 | isp2 |
动作 | NAT转换 |
转换后 | |
源地址 | 地址池中的地址 |
地址池 | 2 |
结果验证
选择“系统 > 高可靠性 > 双机热备”,查看双机热备的运行情况。
· 正常情况下,NGFW_A的“当前运行模式”为“负载分担”,“当前运行角色”为“主用”;NGFW_B的“当前运行模式”为“负载分担”,“当前运行角色”为“备用”。这说明流量通过两台NGFW共同转发。
· 当NGFW_A出现故障时,NGFW_A的“当前运行模式”为“主备备份”,“当前运行角色”为“备用”;NGFW_B的“当前运行模式”为“主备备份”,“当前运行角色”为“主用”。这说明流量通过NGFW_B转发。
配置脚本
NGFW_A | NGFW_B |
# hrp mirror session enable hrp enable hrp loadbalance-device hrp interface GigabitEthernet 1/0/7 # interface GigabitEthernet 1/0/1 ip address 1.1.1.1 255.255.255.0 vrrp vrid 1 virtual-ip 1.1.1.3 active # interface GigabitEthernet 1/0/2 ip address 2.2.2.1 255.255.255.0 vrrp vrid 2 virtual-ip 2.2.2.3 standby # interface GigabitEthernet 1/0/3 ip address 10.3.0.1 255.255.255.0 vrrp vrid 3 virtual-ip 10.3.0.3 active vrrp vrid 4 virtual-ip 10.3.0.4 standby # interface GigabitEthernet 1/0/7 ip address 10.10.0.1 255.255.255.0 # firewall zone trust set priority 85 add interface GigabitEthernet 1/0/3 # firewall zone dmz set priority 50 add interface GigabitEthernet1/0/7 # firewall zone isp1 set priority 10 add interface GigabitEthernet 1/0/1 # firewall zone isp2 set priority 15 add interface GigabitEthernet 1/0/2 # nat address-group 1 section 0 1.1.1.3 1.1.1.3 nat address-group 2 section 0 2.2.2.3 2.2.2.3 # security-policy rule name policy_sec source-zone trust destination-zone isp1 destination-zone isp2 action permit # policy-based-route rule name route_policy_isp1 source-zone trust source-address range 10.3.0.51 10.3.0.100 action pbr next-hop 1.1.1.254 rule name route_policy_isp2 source-zone trust source-address range 10.3.0.101 10.3.0.150 action pbr next-hop 2.2.2.254 # nat-policy rule name policy_nat_1 source-zone trust destination-zone isp1 action nat address-group 1 rule name policy_nat_2 source-zone trust destination-zone isp2 action nat address-group 2 | # hrp mirror session enable hrp enable hrp loadbalance-device hrp interface GigabitEthernet 1/0/7 # interface GigabitEthernet 1/0/1 ip address 1.1.1.2 255.255.255.0 vrrp vrid 1 virtual-ip 1.1.1.3 standby # interface GigabitEthernet 1/0/2 ip address 2.2.2.2 255.255.255.0 vrrp vrid 2 virtual-ip 2.2.2.3 active # interface GigabitEthernet 1/0/3 ip address 10.3.0.2 255.255.255.0 vrrp vrid 3 virtual-ip 10.3.0.3 standby vrrp vrid 4 virtual-ip 10.3.0.4 active # interface GigabitEthernet 1/0/7 ip address 10.10.0.2 255.255.255.0 # firewall zone trust set priority 85 add interface GigabitEthernet 1/0/3 # firewall zone dmz set priority 50 add interface GigabitEthernet1/0/7 # firewall zone isp1 set priority 10 add interface GigabitEthernet 1/0/1 # firewall zone isp2 set priority 15 add interface GigabitEthernet 1/0/2 # nat address-group 1 section 0 1.1.1.3 1.1.1.3 nat address-group 2 section 0 2.2.2.3 2.2.2.3 # security-policy rule name policy_sec source-zone trust destination-zone isp1 destination-zone isp2 action permit # policy-based-route rule name route_policy_isp1 source-zone trust source-address range 10.3.0.51 10.3.0.100 action pbr next-hop 1.1.1.254 rule name route_policy_isp2 source-zone trust source-address range 10.3.0.101 10.3.0.150 action pbr next-hop 2.2.2.254 # nat-policy rule name policy_nat_1 source-zone trust destination-zone isp1 action nat address-group rule name policy_nat_2 source-zone trust destination-zone isp2 action nat address-group 2 |
推荐本站淘宝优惠价购买喜欢的宝贝:
本文链接:https://hqyman.cn/post/7279.html 非本站原创文章欢迎转载,原创文章需保留本站地址!
休息一下~~