USG5500 配置路由模式下主備備份方式的雙機熱備份

原創 友人a笔记 2020-06-23 04:05

組網需求:

USG5500作爲安全設備被部署在業務節點上。其中上下行設備均爲交換機,USG5300A,USG5300B分別充當主設備和備用設備,且均工作在路由模式下。
網絡規劃如下:
•需要保護的網段地址爲192.168.1.0/24,與USG5300的GigabitEthernet 0/0/1接口相連,局部在Trust區域中。
●外部網絡與USG5300的GigabitEthernet 0/0/3接口相連,部署在Untrust區域。
●兩臺USG5300的HRP備份通道接口接口GigabitEthernet 0/0/2部署在DMZ區域。
其中,各安全區域對應的VRRP組虛擬IP地址如下:
。•信任區域對應的VRRP組虛擬IP爲地址10.100.10.1/24
•Untrust安全區域對應的VRRP組虛擬IP地址爲202.38.10.1/24。

•DMZ區域對應的VRRP組虛擬IP地址爲10.100.20.1/24。

網絡拓撲:

FW1操作步驟:

1,配置端口IP

[FW1]interface GigabitEthernet 0/0/1
[FW1-GigabitEthernet0/0/1] ip address 10.100.10.2 24
[FW1-GigabitEthernet0/0/1]q
[FW1]interface GigabitEthernet 0/0/2
[FW1-GigabitEthernet0/0/2] ip address 10.100.20.2 24
[FW1-GigabitEthernet0/0/2]q
[FW1]interface GigabitEthernet 0/0/3
[FW1-GigabitEthernet0/0/3] ip address 202.38.10.2 24
[FW1-GigabitEthernet0/0/3]q

2,加入對應安全區域

[FW1]firewall zone trust
[FW1-zone-trust]add  interface GigabitEthernet 0/0/1
[FW1-zone-trust]q 
[FW1]firewall zone dmz
[FW1-zone-dmz]add  interface GigabitEthernet0 / 0/2
[FW1-zone-dmz]q 
[FW1]firewall zone untrust
[FW1-zone-untrust]add  interface GigabitEthernet 0/0/3
[FW1-zone-untrust]q

3,配置VRRP組的虛擬IP,注意:在使用模擬器的時候要開啓虛擬MAC地址的功能,要不配置的虛IP就無法ping通(在配置VRRP組前,要先配置接口IP)

[FW1]接口GigabitEthernet 0/0/1
[FW1-GigabitEthernet0 / 0/1] vrrp vrid 1 virtual-ip 10.100.10.1 master
[FW1-GigabitEthernet0 / 0/1] vrrp virtual-mac enable 
[FW1]接口GigabitEthernet 0/0/3
[FW1-GigabitEthernet0 / 0/3] vrrp vrid 2 virtual-ip 202.38.10.1 master
[FW1-GigabitEthernet0 / 0/3] vrrp virtual-mac enable
[FW1]接口GigabitEthernet 0/0/2
[FW1-GigabitEthernet0 / 0/2] vrrp vrid 3 virtual-ip 10.100.20.1 master

如圖4所示,配置HR備份通道

[FW1] hrp interface GigabitEthernet 0/0/2
[FW1] hrp啓用

FW2操作步驟

1,配置端口IP

[FW2]接口GigabitEthernet 0/0/1
[FW2-GigabitEthernet0 / 0/1] ip address 10.100.10.3 24
[FW2-接口GigabitEthernet0 / 0/1]退出
[FW2]接口GigabitEthernet 0/0/2
[FW2-GigabitEthernet0 / 0/2] ip address 10.100.20.3 24
[FW2-接口GigabitEthernet0 / 0/2]退出
[FW2]接口GigabitEthernet 0/0/3
[FW2-GigabitEthernet0 / 0/3] ip address 202.38.10.3 24
[FW2-接口GigabitEthernet0 / 0/3]退出

2,加入對應安全區域

[FW2]防火牆區域信任
[FW2-zone-trust]加入接口GigabitEthernet 0/0/1
[FW2區托拉斯]退出
[FW2]防火牆區域dmz
[FW2-zone-dmz]將接口GigabitEthernet 0/0/2加入
[FW2區-DMZ]退出
[FW2]防火牆區域不信任
[FW2-zone-untrust]添加接口GigabitEthernet 0/0/3
[FW2區-不可信]退出

3,配置VRRP組的虛擬IP,注意:在使用模擬器的時候要開啓虛擬MAC地址的功能,要不配置的虛IP就無法ping通(在配置VRRP組前,要先配置接口IP)

[FW2]接口GigabitEthernet 0/0/1
[FW2-GigabitEthernet0 / 0/1] vrrp vrid 1 virtual-ip 10.100.10.1 slave
[FW2-GigabitEthernet0 / 0/1] vrrp virtual-mac enable 
[FW2]接口GigabitEthernet 0/0/3
[FW2-GigabitEthernet0 / 0/3] vrrp vrid 2 virtual-ip 202.38.10.1 slave
[FW2-GigabitEthernet0 / 0/3] vrrp virtual-mac enable
[FW2]接口GigabitEthernet 0/0/2
[FW2-GigabitEthernet0 / 0/2] vrrp vrid 3 virtual-ip 10.100.20.1 slave

如圖4所示,配置HR備份通道

[FW2] hrp interface GigabitEthernet 0/0/2
[FW2] hrp使能

5,查看VRRP和HRP狀態

HRP_S [FW2]顯示hrp狀態
 防火牆的配置狀態是:SLAVE
 配置爲從站的虛擬路由器的當前狀態:
             GigabitEthernet0 / 0/2 vrid 3:slave
             GigabitEthernet0 / 0/3 vrid 2:slave
             GigabitEthernet0 / 0/1 vrid 1:slave
HRP_S [FW2]顯示vrrp

FW1:

啓動配置命令的自動備份功能,在FW1的域間防火牆策略會自動同步到FW2

HRP_M [FW1] hrp自動同步配置

配置turst區域到非信任區域的域間防火牆策略

HRP_M [FW1]策略域間信任不信任出站 
HRP_M [FW1-policy-interzone-trust-untrust-outbound]策略1
HRP_M [FW1-policy-interzone-trust-untrust-outbound-1] policy source 192.168.1.0 0.0.0.255
HRP_M [FW1-policy-interzone-trust-untrust-outbound-1]動作許可 
HRP_M [FW1-政策的域間信任,不可信的,出站1]退出

NAT:

配置信任區域到非信任區域出方向的NAT策略

HRP_M [FW1] NAT地址組1 202.38.10.20 202.38.10.25

HRP_M [FW1] nat-policy域間信任不信任出站 
HRP_M [FW1-nat-policy-interzone-trust-untrust-outbound]策略1
HRP_M [FW1-nat-policy-interzone-trust-untrust-outbound-1] policy source 192.168.1.0 0.0.0.255
HRP_M [FW1-nat-policy-interzone-trust-untrust-outbound-1] action source-nat 
HRP_M [FW1-nat-policy-interzone-trust-untrust-outbound-1]地址組1
HRP_M [FW1 NAT-政策的域間信任,不可信的,出站1]退出

在FW1和FW2上添加靜態路由

HRP_M [FW1] ip route-static 192.168.1.0 24 10.100.10.10
HRP_M [FW1] ip route-static 0.0.0.0 0.0.0.0 202.38.10.10

HRP_S [FW2] ip route-static 192.168.1.0 24 10.100.10.10
HRP_S [FW2] ip route-static 0.0.0.0 0.0.0.0 202.38.10.10

SW1操作步驟

1,劃分VLAN並設置IP

[SW1] vlan批量192 10
[SW1]接口Vlanif 10
[SW1-Vlanif10] ip地址10.100.10.10 24
[SW1-VLANIF10]退出
[SW1]接口Vlanif 192
[SW1-Vlanif192] ip地址192.168.1.254 24
[SW1-Vlanif192]退出

2,端口加入對應VLAN

[SW1]接口GigabitEthernet 0/0/1
[SW1-GigabitEthernet0 / 0/1] port link-type trunk 
[SW1-GigabitEthernet0 / 0/1] port trunk pvid vlan 10
[SW1-GigabitEthernet0 / 0/1] port trunk allow-pass vlan all 
[SW1]接口GigabitEthernet 0/0/2
[SW1-GigabitEthernet0 / 0/2] port link-type trunk 
[SW1-GigabitEthernet0 / 0/2] port trunk pvid vlan 10
[SW1-GigabitEthernet0 / 0/2] port trunk allow-pass vlan all 

[SW1]接口GigabitEthernet 0/0/3
[SW1-GigabitEthernet0 / 0/3]端口鏈路類型接入  
[SW1-GigabitEthernet0 / 0/3] port default vlan 192
[SW1-接口GigabitEthernet0 / 0/3]●
[SW1]接口GigabitEthernet 0/0/4
[SW1-GigabitEthernet0 / 0/4] port link-type access  
[SW1-GigabitEthernet0 / 0/4] port default vlan 192
[SW1-接口GigabitEthernet0 / 0/4]退出

3,配置路由

[SW1] ip route-static 0.0.0.0 0.0.0.0 10.100.10.1

SW2操作步驟

1,劃分VLAN並設置IP

[SW2] vlan批次172 202
[SW2]接口Vlanif 172
[SW2-Vlanif172] IP地址172.16.1.254 24
[SW2-Vlanif172]退出
[SW2]接口Vlanif 202
[SW2-Vlanif202] ip地址202.38.10.10 24
[SW2-Vlanif202]退出

2,端口加入對應VLAN

[SW2]接口GigabitEthernet 0/0/3
[SW2-GigabitEthernet0 / 0/3]端口鏈路類型接入
[SW2-GigabitEthernet0 / 0/3] port default vlan 172
[SW2-接口GigabitEthernet0 / 0/3]退出

[SW2]接口GigabitEthernet 0/0/2
[SW2-GigabitEthernet0 / 0/2] port link-type trunk
[SW2-GigabitEthernet0 / 0/2] port trunk pvid vlan 202
[SW2-GigabitEthernet0 / 0/2] port trunk allow-pass vlan all
[SW2] interface GigabitEthernet 0/0/1
[SW2-GigabitEthernet0 / 0/1] port link-type Trunk
[SW2-GigabitEthernet0 / 0/1] port trunk pvid vlan 202
[SW2-GigabitEthernet0 / 0/1] port trunk allow-pass vlan all

3,配置路由

[SW2] ip route-static 0.0.0.0 0.0.0.0 202.38.10.1

驗證

使用trust區域的192.168.1.10 ping untrust區域的172.16.1.10

然後在FW1使用:顯示防火牆會話表就會看到內網IP是使用NAT地址池的IP訪問出去的

HRP_M <FW1>顯示防火牆會話表
13:00:04 2018/04/29
 當前總會話數:4
  icmp VPN:public  - > public 192.168.1.10:19025[202.38.10.23:2290]--> 172.16.1.1
0:2048
  icmp VPN:public  - > public 192.168.1.10:19281[202.38.10.23:2291]--> 172.16.1.1
0:2048
  icmp VPN:public  - > public 192.168.1.11:20561[202.38.10.22:2278]--> 172.16.1.1
0:2048
  icmp VPN:public  - > public 192.168.1.11:20817 [202.38.10.22:2279]  - > 172.16.1.1
0:2048

 

 

 

 

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

4步教你如何在GNS3中使用wireshark抓包,圖文詳解

  目錄 1. 安裝Wireshark(開源軟件) 2. 在GNS3中配置wireshark 3. 建立拓撲 4. 進行抓包 1. 安裝Wireshark(開源軟件) 下載鏈接:https://www.wireshark.org/down

喵了个咪哟 2020-07-07 11:56:36

Cisco思科路由器配置IPsec,建立Site to Site項目實例

項目背景: 最近做的一個項目中需要總公司和分公司之間內網互通; 總公司內網段:192.168.0.0/16 分公司內網段:172.16.0.0/16 考慮到專線的成本問題,最後公司決定使用IPsec。   簡化網絡拓撲: 配置: 1.

喵了个咪哟 2020-07-07 11:56:36

Cisco思科路由器配置虛擬鏈路的簡單例子

實驗拓撲: 需求分析: 在R1/R2/R3/R4之間配置OSPF協議,分別建立Area0/Area1/Area2,Area0爲骨幹區域。建立區域後發現R4無法ping通R1,此時建立一條虛擬鏈路來解決這個問題。 配置: 1. 配置各路

喵了个咪哟 2020-07-07 11:56:36

中小型企業組網,GRE over IPsec項目實例

項目背景: 公司總部和分部之間想要組網,傳輸ERP數據,要求數據傳輸是加密的; 總部網段:192.168.0.0/16 分公司網段:172.16.0.0/16   網絡拓撲: 拓撲說明: R2,R3分別爲Site1,Site2的邊界路由器

喵了个咪哟 2020-07-07 11:56:25

2分鐘搞懂Cisco路由器VRRP原理與配置

靈魂三問: 什麼是VRRP? VRRP:虛擬路由冗餘協議   VRRP有什麼作用? 用於提高三層網絡的可靠性,尤其是網關的可靠性。   VRRP是怎麼提高網關/三層網絡的可靠性? VRRP將多臺路由器定義爲一個組,這個組來共同維護一個IP

喵了个咪哟 2020-07-07 11:56:25

關於郵件服務器的dns解析及mx記錄問題!

  如何做域名的MX解析記錄? -------------------------------------------------------------------------------- 大多數SMTP要求MX記錄指向一個主機名。因

vebasan 2020-07-02 00:16:43

網絡主動測評系統,IT網絡運維管理的法寶

隨着計算機網絡的普及和快速發展,互聯網已經融入到人們的衣食住行等方方面面,如工作、購物、音視頻聊天、視頻會議、朋友圈、抖音、在線網遊、網絡電影電視等。毫不誇張地說,現如今大部分人的絕大多數時間都已經離不開互聯網了。但與此同時,讓人

XINERTEL 2020-06-29 18:38:55

php危險函數

有時候爲了安全我們需要禁掉一些PHP危險函數,整理如下 phpinfo()  功能描述:輸出 PHP 環境信息以及相關的模塊、WEB 環境等信息。  危險等級:中  passthru()  功能描述:允許執行一個外部程序並回顯輸出,類似於

aurora__ 2020-06-29 01:47:11

pve6.0 靜態ip如何修改

第一步: vim /etc/network/interfaces 這裏的仔細點,ip和掩碼,網關,以及相關信息的仔細。 第二步: vim /etc/hosts 第三步: service networking restart  

qq_31146957 2020-06-23 12:47:55

Linux運維遇到的基本問題解決大全

一、運維概述與系統安裝 問題1:虛擬機提示"Intel VT-x處於禁用狀態   實現思路:重啓電腦按快捷鍵進入BIOS —> 啓用Intel VT-x —> 重啓計算機 —> 啓動虛擬機 一般品牌的筆記本電腦包括聯想、惠普、戴爾、宏碁

传智播客官方博客 2020-06-21 16:42:40

API服務網關實現之APISIX安裝和部署

一、APISIX相關介紹 1、安全網關 安全網關設置的目的是防止Internet或外網不安全因素蔓延到自己企業或組織的內部網 。 安全網關在應用層和網絡層上面都有防火牆的身影。 其範圍從協議級過濾到十分複雜的應用級過濾等。推薦瞭解傳智播客

传智播客官方博客 2020-06-21 16:42:40

滾動升級和灰度發佈常見場景(未完待續)

前言 關於藍綠部署、滾動升級、灰度發佈的描述、區別、優缺點,網上有很多討論,這裏不做過多描述,比如:https://www.cnblogs.com/nulige/articles/10929182.html 藍綠部署的場景,相對

懒佯佯大哥 2020-06-20 14:40:59

Cisco交換機ACL的配置

訪問控制列表(Access Control List   ACL)的含義和作用就不講了,自行百度 一 .ACL講解 ACL分標準訪問控制列表(Standard ACL)和拓展訪問控制列表(Extended ACL),如下 ① 標準ACL(

Zandon Cao 2020-06-19 10:01:22

H3C認識網絡,走進網絡設備(一)

1.帶寬:在一定時間內,從一個節點傳送到另一個節點的數據量。 2.寬帶:帶寬大於2M的是寬帶(由於寬帶是以位爲單位,而我們傳輸數據是字節爲單位,所以通常10M寬帶的帶寬是10M/8字節,因爲1byte = 8bit) 3.延遲:數據從一個

指风SQL 2020-06-18 23:40:39

防火牆入侵與檢測 day04 防火牆雙機熱備

防火牆雙機熱備雙擊熱備技術原理雙機熱備在路由器上的部署VRRP在多區域防火牆組網VRRP用於防火牆多區域備份雙擊熱備基本組網與配置雙機熱備在防火牆上的部署VRRP前提知曉 雙擊熱備技術原理 雙機熱備技術產生的原因 傳統的組網方

果子哥丶 2020-06-22 10:57:01