<dl id="opymh"></dl>

<div id="opymh"></div>
      <div id="opymh"><tr id="opymh"></tr></div>

        <em id="opymh"><ins id="opymh"><mark id="opymh"></mark></ins></em><sup id="opymh"><menu id="opymh"></menu></sup>

        <em id="opymh"></em>

        <em id="opymh"><ol id="opymh"></ol></em>

              頻道欄目
              首頁 > 網絡 > 路由器 > 正文
              USG5500配置路由模式下主備備份方式的雙機熱備份詳解
              2018-05-16 15:30:09         來源:友人A的博客  
              收藏   我要投稿

              組網需求:

              USG5500作為安全設備被部署在業務節點上。其中上下行設備均為交換機,USG5300A,USG5300B分別充當主設備和備用設備,且均工作在路由模式下。

              網絡規劃如下:

              需要保護的網段地址為192.168.1.0/24,與USG5300的GigabitEthernet 0/0/1接口相連,局部在Trust區域中。

              ●外部網絡與USG5300的GigabitEthernet 0/0/3接口相連,部署在Untrust區域。

              ●兩臺USG5300的HRP備份通道接口接口GigabitEthernet 0/0/2部署在DMZ區域。

              其中,各安全區域對應的VRRP組虛擬IP地址如下:

              信任區域對應的VRRP組虛擬IP為地址10.100.10.1/24

              Untrust安全區域對應的VRRP組虛擬IP地址為202.38.10.1/24。

              DMZ區域對應的VRRP組虛擬IP地址為10.100.20.1/24。

              網絡拓撲:

              \

              FW1操作步驟:
              1,配置端口IP
              [FW1]接口GigabitEthernet 0/0/1
              [FW1-GigabitEthernet0 / 0/1] ip address 10.100.10.2 24
              [FW1-接口GigabitEthernet0 / 0/1]退出
              [FW1]接口GigabitEthernet 0/0/2
              [FW1-GigabitEthernet0 / 0/2] ip address 10.100.20.2 24
              [FW1-接口GigabitEthernet0 / 0/2]退出
              [FW1]接口GigabitEthernet 0/0/3
              [FW1-GigabitEthernet0 / 0/3] ip address 202.38.10.2 24
              [FW1-接口GigabitEthernet0 / 0/3]退出
              2,加入對應安全區域
              [FW1]防火墻區域信任
              [FW1-zone-trust]加入接口GigabitEthernet 0/0/1
              [FW1區托拉斯]退出 
              [FW1]防火墻區域dmz
              [FW1-zone-dmz]將接口GigabitEthernet0 / 0/2加入
              [FW1區-DMZ]退出 
              [FW1]防火墻區域不信任
              [FW1-zone-untrust]添加接口GigabitEthernet 0/0/3
              [FW1區-不可信]退出
              3,配置VRRP組的虛擬IP,注意:在使用模擬器的時候要開啟虛擬MAC地址的功能,要不配置的虛IP就無法ping通(在配置VRRP組前,要先配置接口IP)
              [FW1]接口GigabitEthernet 0/0/1
              [FW1-GigabitEthernet0 / 0/1] vrrp vrid 1 virtual-ip 10.100.10.1 master
              [FW1-GigabitEthernet0 / 0/1] vrrp virtual-mac enable
              [FW1]接口GigabitEthernet 0/0/3
              [FW1-GigabitEthernet0 / 0/3] vrrp vrid 2 virtual-ip 202.38.10.1 master
              [FW1-GigabitEthernet0 / 0/3] vrrp virtual-mac enable
              [FW1]接口GigabitEthernet 0/0/2
              [FW1-GigabitEthernet0 / 0/2] vrrp vrid 3 virtual-ip 10.100.20.1 master
              
              如圖4所示,配置HR備份通道
              [FW1] hrp interface GigabitEthernet 0/0/2
              [FW1] hrp啟用
              FW2操作步驟
              1,配置端口IP
              [FW2]接口GigabitEthernet 0/0/1
              [FW2-GigabitEthernet0 / 0/1] ip address 10.100.10.3 24
              [FW2-接口GigabitEthernet0 / 0/1]退出
              [FW2]接口GigabitEthernet 0/0/2
              [FW2-GigabitEthernet0 / 0/2] ip address 10.100.20.3 24
              [FW2-接口GigabitEthernet0 / 0/2]退出
              [FW2]接口GigabitEthernet 0/0/3
              [FW2-GigabitEthernet0 / 0/3] ip address 202.38.10.3 24
              [FW2-接口GigabitEthernet0 / 0/3]退出
              2,加入對應安全區域
              [FW2]防火墻區域信任
              [FW2-zone-trust]加入接口GigabitEthernet 0/0/1
              [FW2區托拉斯]退出
              [FW2]防火墻區域dmz
              [FW2-zone-dmz]將接口GigabitEthernet 0/0/2加入
              [FW2區-DMZ]退出
              [FW2]防火墻區域不信任
              [FW2-zone-untrust]添加接口GigabitEthernet 0/0/3
              [FW2區-不可信]退出
              3,配置VRRP組的虛擬IP,注意:在使用模擬器的時候要開啟虛擬MAC地址的功能,要不配置的虛IP就無法ping通(在配置VRRP組前,要先配置接口IP)
              [FW2]接口GigabitEthernet 0/0/1
              [FW2-GigabitEthernet0 / 0/1] vrrp vrid 1 virtual-ip 10.100.10.1 slave
              [FW2-GigabitEthernet0 / 0/1] vrrp virtual-mac enable
              [FW2]接口GigabitEthernet 0/0/3
              [FW2-GigabitEthernet0 / 0/3] vrrp vrid 2 virtual-ip 202.38.10.1 slave
              [FW2-GigabitEthernet0 / 0/3] vrrp virtual-mac enable
              [FW2]接口GigabitEthernet 0/0/2
              [FW2-GigabitEthernet0 / 0/2] vrrp vrid 3 virtual-ip 10.100.20.1 slave
              
              如圖4所示,配置HR備份通道
              [FW2] hrp interface GigabitEthernet 0/0/2
              [FW2] hrp使能 
              5,查看VRRP和HRP狀態
              HRP_S [FW2]顯示hrp狀態
               防火墻的配置狀態是:SLAVE
               配置為從站的虛擬路由器的當前狀態:
                           GigabitEthernet0 / 0/2 vrid 3:slave
                           GigabitEthernet0 / 0/3 vrid 2:slave
                           GigabitEthernet0 / 0/1 vrid 1:slave
              HRP_S [FW2]顯示vrrp
              FW1:
              啟動配置命令的自動備份功能,在FW1的域間防火墻策略會自動同步到FW2
              HRP_M [FW1] hrp自動同步配置
              配置turst區域到非信任區域的域間防火墻策略
              HRP_M [FW1]策略域間信任不信任出站 
              HRP_M [FW1-policy-interzone-trust-untrust-outbound]策略1
              HRP_M [FW1-policy-interzone-trust-untrust-outbound-1] policy source 192.168.1.0 0.0.0.255
              HRP_M [FW1-policy-interzone-trust-untrust-outbound-1]動作許可 
              HRP_M [FW1-政策的域間信任,不可信的,出站1]退出 
              NAT:
              配置信任區域到非信任區域出方向的NAT策略
              HRP_M [FW1] NAT地址組1 202.38.10.20 202.38.10.25
              
              HRP_M [FW1] nat-policy域間信任不信任出站 
              HRP_M [FW1-nat-policy-interzone-trust-untrust-outbound]策略1
              HRP_M [FW1-nat-policy-interzone-trust-untrust-outbound-1] policy source 192.168.1.0 0.0.0.255
              HRP_M [FW1-nat-policy-interzone-trust-untrust-outbound-1] action source-nat 
              HRP_M [FW1-nat-policy-interzone-trust-untrust-outbound-1]地址組1
              HRP_M [FW1 NAT-政策的域間信任,不可信的,出站1]退出 
              在FW1和FW2上添加靜態路由
              HRP_M [FW1] ip route-static 192.168.1.0 24 10.100.10.10
              HRP_M [FW1] ip route-static 0.0.0.0 0.0.0.0 202.38.10.10
              
              HRP_S [FW2] ip route-static 192.168.1.0 24 10.100.10.10
              HRP_S [FW2] ip route-static 0.0.0.0 0.0.0.0 202.38.10.10
              SW1操作步驟
              1,劃分VLAN并設置IP
              [SW1] vlan批量192 10
              [SW1]接口Vlanif 10
              [SW1-Vlanif10] ip地址10.100.10.10 24
              [SW1-VLANIF10]退出
              [SW1]接口Vlanif 192
              [SW1-Vlanif192] ip地址192.168.1.254 24
              [SW1-Vlanif192]退出 
              2,端口加入對應VLAN
              [SW1]接口GigabitEthernet 0/0/1
              [SW1-GigabitEthernet0 / 0/1] port link-type trunk 
              [SW1-GigabitEthernet0 / 0/1] port trunk pvid vlan 10
              [SW1-GigabitEthernet0 / 0/1] port trunk allow-pass vlan all 
              [SW1]接口GigabitEthernet 0/0/2
              [SW1-GigabitEthernet0 / 0/2] port link-type trunk 
              [SW1-GigabitEthernet0 / 0/2] port trunk pvid vlan 10
              [SW1-GigabitEthernet0 / 0/2] port trunk allow-pass vlan all 
              
              [SW1]接口GigabitEthernet 0/0/3
              [SW1-GigabitEthernet0 / 0/3]端口鏈路類型接入  
              [SW1-GigabitEthernet0 / 0/3] port default vlan 192
              [SW1-接口GigabitEthernet0 / 0/3]●
              [SW1]接口GigabitEthernet 0/0/4
              [SW1-GigabitEthernet0 / 0/4] port link-type access  
              [SW1-GigabitEthernet0 / 0/4] port default vlan 192
              [SW1-接口GigabitEthernet0 / 0/4]退出
              3,配置路由
              [SW1] ip route-static 0.0.0.0 0.0.0.0 10.100.10.1
              SW2操作步驟

              1,劃分VLAN并設置IP

              [SW2] vlan批次172 202
              [SW2]接口Vlanif 172
              [SW2-Vlanif172] IP地址172.16.1.254 24
              [SW2-Vlanif172]退出
              [SW2]接口Vlanif 202
              [SW2-Vlanif202] ip地址202.38.10.10 24
              [SW2-Vlanif202]退出

              2,端口加入對應VLAN

              [SW2]接口GigabitEthernet 0/0/3
              [SW2-GigabitEthernet0 / 0/3]端口鏈路類型接入
              [SW2-GigabitEthernet0 / 0/3] port default vlan 172
              [SW2-接口GigabitEthernet0 / 0/3]退出
              
              [SW2]接口GigabitEthernet 0/0/2
              [SW2-GigabitEthernet0 / 0/2] port link-type trunk
              [SW2-GigabitEthernet0 / 0/2] port trunk pvid vlan 202
              [SW2-GigabitEthernet0 / 0/2] port trunk allow-pass vlan all
              [SW2] interface GigabitEthernet 0/0/1
              [SW2-GigabitEthernet0 / 0/1] port link-type Trunk
              [SW2-GigabitEthernet0 / 0/1] port trunk pvid vlan 202
              [SW2-GigabitEthernet0 / 0/1] port trunk allow-pass vlan all

              3,配置路由

              [SW2] ip route-static 0.0.0.0 0.0.0.0 202.38.10.1
              驗證

              使用trust區域的192.168.1.10 ping untrust區域的172.16.1.10

              然后在FW1使用:顯示防火墻會話表就會看到內網IP是使用NAT地址池的IP訪問出去的

              HRP_M 顯示防火墻會話表
              13:00:04 2018/04/29
               當前總會話數:4
                icmp VPN:public  - > public 192.168.1.10:19025[202.38.10.23:2290]--> 172.16.1.1
              0:2048
                icmp VPN:public  - > public 192.168.1.10:19281[202.38.10.23:2291]--> 172.16.1.1
              0:2048
                icmp VPN:public  - > public 192.168.1.11:20561[202.38.10.22:2278]--> 172.16.1.1
              0:2048
                icmp VPN:public  - > public 192.168.1.11:20817 [202.38.10.22:2279]  - > 172.16.1.1
              0:2048

              \

              點擊復制鏈接 與好友分享!回本站首頁
              上一篇:openwrt做二級路由時發生錯誤,怎么回事?
              下一篇:h3c設備做路由,sftp時報Couldn't read packet: Connection reset by peer錯誤的一種解決辦法
              相關文章
              圖文推薦
              點擊排行

              關于我們 | 聯系我們 | 廣告服務 | 投資合作 | 版權申明 | 在線幫助 | 網站地圖 | 作品發布 | Vip技術培訓 | 舉報中心

              版權所有: 紅黑聯盟--致力于做實用的IT技術學習網站

              极速飞艇好假
              <dl id="opymh"></dl>

              <div id="opymh"></div>
                  <div id="opymh"><tr id="opymh"></tr></div>

                    <em id="opymh"><ins id="opymh"><mark id="opymh"></mark></ins></em><sup id="opymh"><menu id="opymh"></menu></sup>

                    <em id="opymh"></em>

                    <em id="opymh"><ol id="opymh"></ol></em>

                          <dl id="opymh"></dl>

                          <div id="opymh"></div>
                              <div id="opymh"><tr id="opymh"></tr></div>

                                <em id="opymh"><ins id="opymh"><mark id="opymh"></mark></ins></em><sup id="opymh"><menu id="opymh"></menu></sup>

                                <em id="opymh"></em>

                                <em id="opymh"><ol id="opymh"></ol></em>