本文主要是介绍【实战教程】掌握防火墙双机热备,确保业务不间断!,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
往期精彩
- 【实战教程】防火墙设备登录配置,让你轻松掌握网络安全!
- 【实战教程】防火墙安全区域与策略实战指南:让你的网络安全防护如虎添翼!
- 【实战教程】防火墙常见NAT技术,让你一次看个够!
- 【实战教程】从零开始学防火墙服务部署,让你的网络安全防护无懈可击!
- 【实战教程】防火墙内容安全实战教程,让你的网络防护升级!
- 【实战教程】一文读懂防火墙本地Portal认证:让你的网络更安全!
在网络安全的领域中,保障连续性和可靠性至关重要。而防火墙双机热备技术,宛如网络的安全双保险,确保在一台防火墙发生故障或停机时,另一台能够即时接管,实现无缝切换,保持网络的不间断运行。这种高可用性的设计为网络架构提供了额外的安全层,应对潜在风险,确保网络的稳定与安全。
今天来分享一下防火墙双机热备的基本配置方法。下图是今天的实验拓扑
实验需求
1、部署防墙双机热备负载分担,实现VLAN10、VLAN20访问服务器的流量分别使用不同的防火墙转发。
2、若防火墙检测到上行链路故障,则切换到另外一个防火墙转发(使用IP LINK与BFD实现)。
3、用户网关接口位于防火墙的子接口。
配置步骤
- 配置SW1,创建VLAN10和VLAN20,并GE0/0/10和GE0/0/20分别加入到VLAN10和VLAN20中,并把GE0/0/1和GE0/0/2配置成trunk,允许VLAN10、20通过。关键配置如下:
vlan batch 10 20interface GigabitEthernet0/0/1port link-type trunkport trunk allow-pass vlan 10 20
#
interface GigabitEthernet0/0/2port link-type trunkport trunk allow-pass vlan 10 20interface GigabitEthernet0/0/10port link-type accessport default vlan 10
interface GigabitEthernet0/0/20port link-type accessport default vlan 20
- 配置防火墙,优先开启
HRP功能。
- 配置心跳接口的IP地址,并把心跳接口加入到DMZ区域。关键配置如下:
# FW1的心跳配置
firewall zone dmzset priority 50add interface GigabitEthernet1/0/0
interface GigabitEthernet1/0/0undo shutdownip address 10.1.123.1 255.255.255.252 # FW2的心跳配置
firewall zone dmzset priority 50add interface GigabitEthernet1/0/0
interface GigabitEthernet1/0/0undo shutdownip address 10.1.123.2 255.255.255.252
- 使能HRP功能,关键配置如下:
# FW1的使能HRP
hrp enable
hrp interface GigabitEthernet 1/0/0 remote 10.1.123.2# FW2的使能HRP
hrp enable
hrp interface GigabitEthernet 1/0/0 remote 10.1.123.1
- 配置子接口作为VLAN10和VLAN20的网关,让FW1作为VLAN10的主设备、FW2作为VLAN10的备份。当出现故障时,FW2切换成主设备。VLAN20则是相反的配置。
# FW1的使能VRRP功能
interface GigabitEthernet1/0/2.10vlan-type dot1q 10ip address 10.1.10.252 255.255.255.0vrrp vrid 10 virtual-ip 10.1.10.254 activeinterface GigabitEthernet1/0/2.20vlan-type dot1q 20ip address 10.1.20.252 255.255.255.0vrrp vrid 20 virtual-ip 10.1.20.254 standby# FW2的使能VRRP功能
interface GigabitEthernet1/0/2.10vlan-type dot1q 10ip address 10.1.10.253 255.255.255.0vrrp vrid 10 virtual-ip 10.1.10.254 standbyinterface GigabitEthernet1/0/2.20vlan-type dot1q 20ip address 10.1.20.253 255.255.255.0vrrp vrid 20 virtual-ip 10.1.20.254 active
- 配置防火墙上行接口,并把上行接口加入到untrust区域中。关键配置如下:
#FW1配置
interface GigabitEthernet1/0/1undo shutdownip address 10.1.121.2 255.255.255.252
firewall zone untrustset priority 5add interface GigabitEthernet1/0/1
#FW2配置
interface GigabitEthernet1/0/1undo shutdownip address 10.1.122.2 255.255.255.252
firewall zone untrustset priority 5add interface GigabitEthernet1/0/1
- 使能OSPF功能。关键配置如下:
#FW1配置
ospf 1 router-id 2.2.2.2silent-interface GigabitEthernet1/0/2.10silent-interface GigabitEthernet1/0/2.20area 0.0.0.0network 10.1.0.0 0.0.255.255network 10.1.121.2 0.0.0.0
#FW2配置
ospf 1 router-id 3.3.3.3silent-interface GigabitEthernet1/0/2.10silent-interface GigabitEthernet1/0/2.20area 0.0.0.0network 10.1.0.0 0.0.255.255network 10.1.122.2 0.0.0.0
- 放通安全策略,关键配置如下:
ip address-set net10 type objectaddress 0 10.1.10.0 mask 24address 1 10.1.20.0 mask 24security-policyrule name LOCAL-ANYsource-zone localaction permitrule name trust->untrustsource-zone trustdestination-zone untrustsource-address address-set net10action permit
- 配置R1路由器,并启用OSPF功能。关键配置如下:
interface GigabitEthernet0/0/0ip address 10.1.1.254 255.255.255.0
#
interface GigabitEthernet0/0/1ip address 10.1.121.1 255.255.255.252
#
interface GigabitEthernet0/0/2ip address 10.1.122.1 255.255.255.252 ospf 1 router-id 1.1.1.1 area 0.0.0.0 network 10.1.121.1 0.0.0.0 network 10.1.122.1 0.0.0.0 network 10.1.1.0 0.0.0.255
完成上述的配置后,在PC1上进行测试,发现不通。如下图:
由于该案例中防火墙采用的是双活方式部署,数据包有可能来回的路径不一样导致不通,所以防火墙使用双活部署方式,需要开启状态信息同步开关。
#FW1和FW2 hrp mirror session enable
:::
完成上述配置再次进行测试,如下图:
从上述的测试结果,PC1的流量从FW1进行转发,PC2的流量从FW2进行转发。
tracert路径跟踪防火墙不显示,可以使用如下命令icmp ttl-exceeded send
为了提高网络的健壮性,我们需要借助IP-Link和BFD技术检测上行链路是否故障。当检测故障后,及时进行主备切换。
- 在防火墙FW1上使用IP-Link技术。关键配置如下:
#FW1 配置IP-Link检测上行链路
ip-link check enable
ip-link name TEST_R1destination 10.1.121.1 mode icmp
hrp track ip-link TEST_R1
完成上述配置后,检查双机热备的状态。如下图:
- 在防火墙FW2上使用BFD技术。关键配置如下:
#FW2配置BDF检测上行链路
bfd test_R1 bind peer-ip 10.1.122.1 interface GigabitEthernet1/0/1discriminator local 1301discriminator remote 1013commit
hrp track bfd-session 1301#在R1上配置BDF
bfd test_fw2 bind peer-ip 10.1.122.2 interface GigabitEthernet0/0/2discriminator local 1013discriminator remote 1301commit
在R1路由器上查看BFD的状态。如下图:
防火墙上查看BFD的状态,如下图:
测试双机热备的切换情况,如下图:
在PC2上进行测试,发现PC2的流量走到了FW1上,如下图:
今天的分享到这里,如果大家有什么问题欢迎留言讨论,谢谢!我们下一期再见
这篇关于【实战教程】掌握防火墙双机热备,确保业务不间断!的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!
