• 美国发起贸易战,我们要让世界知道美元、美债并不可靠 2019-06-05
  • 紫光阁中共中央国家机关工作委员会 2019-05-31
  • 监察体制改革后 湘西半年72名公职人员主动交代问题 2019-05-12
  • 媒体宣传报道重庆日报 王国平:扮靓重庆两江四岸” 让城市有机更新 2019-04-26
  • 我相信“交警雨中护送高考生”是真,“交警雨中护送高考生”反被该高考生家长投诉是假。 2019-04-16
  • 14名消防员日巡逻28公里 洗冷水澡 2019-04-10
  • 靶壕有了“蓝军”,百发百中的“神枪手”练起来 2019-04-10
  • 不是秀强大了,别人就会来做朋友,这逻辑不对 2019-04-01
  • 候选企业:中国石油呼和浩特石化公司 2019-03-26
  • 航天员沙漠野外生存训练完美收官!为第一天团打call 2019-03-25
  • 请问,建立市场经济后,原计划经济哪里去?改革后,我们还在实行计划经济,为何没有提及? 2019-03-25
  • 构建年轻干部梯次培养链 2019-03-19
  • 孙实的专栏作者中国国家地理网 2019-03-15
  • 湖南师范大学举行研究阐释党的十九大精神国家社科基金重大专项学术研讨会 2019-03-15
  • [雷人]蠢货!土地处于不同的城市和地段,关联的资源不一样,价值也不一样。不然给咱俩同样面积的土地,咱的在北上广深,你的在边远山区,你干么? 2019-03-08
  • 频道栏目
    神奇公式秒杀全国11选5 > 网络 > 路由器 > 正文
    USG5500配置路由模式下主备备份方式的双机热备份详解
    2018-05-16 15:30:09         来源:友人A的博客  
    收藏   我要投稿

    组网需求:

    神奇公式秒杀全国11选5 www.2zfa.com USG5500作为安全设备被部署在业务节点上。其中上下行设备均为交换机,USG5300A,USG5300B分别充当主设备和备用设备,且均工作在路由模式下。

    网络规划如下:

    需要?;さ耐蔚刂肺?92.168.1.0/24,与USG5300的GigabitEthernet 0/0/1接口相连,局部在Trust区域中。

    ●外部网络与USG5300的GigabitEthernet 0/0/3接口相连,部署在Untrust区域。

    ●两台USG5300的HRP备份通道接口接口GigabitEthernet 0/0/2部署在DMZ区域。

    其中,各安全区域对应的VRRP组虚拟IP地址如下:

    信任区域对应的VRRP组虚拟IP为地址10.100.10.1/24

    Untrust安全区域对应的VRRP组虚拟IP地址为202.38.10.1/24。

    DMZ区域对应的VRRP组虚拟IP地址为10.100.20.1/24。

    网络拓扑:

    \

    FW1操作步骤:
    1,配置端口IP
    [FW1]接口GigabitEthernet 0/0/1
    [FW1-GigabitEthernet0 / 0/1] ip address 10.100.10.2 24
    [FW1-接口GigabitEthernet0 / 0/1]退出
    [FW1]接口GigabitEthernet 0/0/2
    [FW1-GigabitEthernet0 / 0/2] ip address 10.100.20.2 24
    [FW1-接口GigabitEthernet0 / 0/2]退出
    [FW1]接口GigabitEthernet 0/0/3
    [FW1-GigabitEthernet0 / 0/3] ip address 202.38.10.2 24
    [FW1-接口GigabitEthernet0 / 0/3]退出
    2,加入对应安全区域
    [FW1]防火墙区域信任
    [FW1-zone-trust]加入接口GigabitEthernet 0/0/1
    [FW1区托拉斯]退出 
    [FW1]防火墙区域dmz
    [FW1-zone-dmz]将接口GigabitEthernet0 / 0/2加入
    [FW1区-DMZ]退出 
    [FW1]防火墙区域不信任
    [FW1-zone-untrust]添加接口GigabitEthernet 0/0/3
    [FW1区-不可信]退出
    3,配置VRRP组的虚拟IP,注意:在使用模拟器的时候要开启虚拟MAC地址的功能,要不配置的虚IP就无法ping通(在配置VRRP组前,要先配置接口IP)
    [FW1]接口GigabitEthernet 0/0/1
    [FW1-GigabitEthernet0 / 0/1] vrrp vrid 1 virtual-ip 10.100.10.1 master
    [FW1-GigabitEthernet0 / 0/1] vrrp virtual-mac enable
    [FW1]接口GigabitEthernet 0/0/3
    [FW1-GigabitEthernet0 / 0/3] vrrp vrid 2 virtual-ip 202.38.10.1 master
    [FW1-GigabitEthernet0 / 0/3] vrrp virtual-mac enable
    [FW1]接口GigabitEthernet 0/0/2
    [FW1-GigabitEthernet0 / 0/2] vrrp vrid 3 virtual-ip 10.100.20.1 master
    
    如图4所示,配置HR备份通道
    [FW1] hrp interface GigabitEthernet 0/0/2
    [FW1] hrp启用
    FW2操作步骤
    1,配置端口IP
    [FW2]接口GigabitEthernet 0/0/1
    [FW2-GigabitEthernet0 / 0/1] ip address 10.100.10.3 24
    [FW2-接口GigabitEthernet0 / 0/1]退出
    [FW2]接口GigabitEthernet 0/0/2
    [FW2-GigabitEthernet0 / 0/2] ip address 10.100.20.3 24
    [FW2-接口GigabitEthernet0 / 0/2]退出
    [FW2]接口GigabitEthernet 0/0/3
    [FW2-GigabitEthernet0 / 0/3] ip address 202.38.10.3 24
    [FW2-接口GigabitEthernet0 / 0/3]退出
    2,加入对应安全区域
    [FW2]防火墙区域信任
    [FW2-zone-trust]加入接口GigabitEthernet 0/0/1
    [FW2区托拉斯]退出
    [FW2]防火墙区域dmz
    [FW2-zone-dmz]将接口GigabitEthernet 0/0/2加入
    [FW2区-DMZ]退出
    [FW2]防火墙区域不信任
    [FW2-zone-untrust]添加接口GigabitEthernet 0/0/3
    [FW2区-不可信]退出
    3,配置VRRP组的虚拟IP,注意:在使用模拟器的时候要开启虚拟MAC地址的功能,要不配置的虚IP就无法ping通(在配置VRRP组前,要先配置接口IP)
    [FW2]接口GigabitEthernet 0/0/1
    [FW2-GigabitEthernet0 / 0/1] vrrp vrid 1 virtual-ip 10.100.10.1 slave
    [FW2-GigabitEthernet0 / 0/1] vrrp virtual-mac enable
    [FW2]接口GigabitEthernet 0/0/3
    [FW2-GigabitEthernet0 / 0/3] vrrp vrid 2 virtual-ip 202.38.10.1 slave
    [FW2-GigabitEthernet0 / 0/3] vrrp virtual-mac enable
    [FW2]接口GigabitEthernet 0/0/2
    [FW2-GigabitEthernet0 / 0/2] vrrp vrid 3 virtual-ip 10.100.20.1 slave
    
    如图4所示,配置HR备份通道
    [FW2] hrp interface GigabitEthernet 0/0/2
    [FW2] hrp使能 
    5,查看VRRP和HRP状态
    HRP_S [FW2]显示hrp状态
     防火墙的配置状态是:SLAVE
     配置为从站的虚拟路由器的当前状态:
                 GigabitEthernet0 / 0/2 vrid 3:slave
                 GigabitEthernet0 / 0/3 vrid 2:slave
                 GigabitEthernet0 / 0/1 vrid 1:slave
    HRP_S [FW2]显示vrrp
    FW1:
    启动配置命令的自动备份功能,在FW1的域间防火墙策略会自动同步到FW2
    HRP_M [FW1] hrp自动同步配置
    配置turst区域到非信任区域的域间防火墙策略
    HRP_M [FW1]策略域间信任不信任出站 
    HRP_M [FW1-policy-interzone-trust-untrust-outbound]策略1
    HRP_M [FW1-policy-interzone-trust-untrust-outbound-1] policy source 192.168.1.0 0.0.0.255
    HRP_M [FW1-policy-interzone-trust-untrust-outbound-1]动作许可 
    HRP_M [FW1-政策的域间信任,不可信的,出站1]退出 
    NAT:
    配置信任区域到非信任区域出方向的NAT策略
    HRP_M [FW1] NAT地址组1 202.38.10.20 202.38.10.25
    
    HRP_M [FW1] nat-policy域间信任不信任出站 
    HRP_M [FW1-nat-policy-interzone-trust-untrust-outbound]策略1
    HRP_M [FW1-nat-policy-interzone-trust-untrust-outbound-1] policy source 192.168.1.0 0.0.0.255
    HRP_M [FW1-nat-policy-interzone-trust-untrust-outbound-1] action source-nat 
    HRP_M [FW1-nat-policy-interzone-trust-untrust-outbound-1]地址组1
    HRP_M [FW1 NAT-政策的域间信任,不可信的,出站1]退出 
    在FW1和FW2上添加静态路由
    HRP_M [FW1] ip route-static 192.168.1.0 24 10.100.10.10
    HRP_M [FW1] ip route-static 0.0.0.0 0.0.0.0 202.38.10.10
    
    HRP_S [FW2] ip route-static 192.168.1.0 24 10.100.10.10
    HRP_S [FW2] ip route-static 0.0.0.0 0.0.0.0 202.38.10.10
    SW1操作步骤
    1,划分VLAN并设置IP
    [SW1] vlan批量192 10
    [SW1]接口Vlanif 10
    [SW1-Vlanif10] ip地址10.100.10.10 24
    [SW1-VLANIF10]退出
    [SW1]接口Vlanif 192
    [SW1-Vlanif192] ip地址192.168.1.254 24
    [SW1-Vlanif192]退出 
    2,端口加入对应VLAN
    [SW1]接口GigabitEthernet 0/0/1
    [SW1-GigabitEthernet0 / 0/1] port link-type trunk 
    [SW1-GigabitEthernet0 / 0/1] port trunk pvid vlan 10
    [SW1-GigabitEthernet0 / 0/1] port trunk allow-pass vlan all 
    [SW1]接口GigabitEthernet 0/0/2
    [SW1-GigabitEthernet0 / 0/2] port link-type trunk 
    [SW1-GigabitEthernet0 / 0/2] port trunk pvid vlan 10
    [SW1-GigabitEthernet0 / 0/2] port trunk allow-pass vlan all 
    
    [SW1]接口GigabitEthernet 0/0/3
    [SW1-GigabitEthernet0 / 0/3]端口链路类型接入  
    [SW1-GigabitEthernet0 / 0/3] port default vlan 192
    [SW1-接口GigabitEthernet0 / 0/3]●
    [SW1]接口GigabitEthernet 0/0/4
    [SW1-GigabitEthernet0 / 0/4] port link-type access  
    [SW1-GigabitEthernet0 / 0/4] port default vlan 192
    [SW1-接口GigabitEthernet0 / 0/4]退出
    3,配置路由
    [SW1] ip route-static 0.0.0.0 0.0.0.0 10.100.10.1
    SW2操作步骤

    1,划分VLAN并设置IP

    [SW2] vlan批次172 202
    [SW2]接口Vlanif 172
    [SW2-Vlanif172] IP地址172.16.1.254 24
    [SW2-Vlanif172]退出
    [SW2]接口Vlanif 202
    [SW2-Vlanif202] ip地址202.38.10.10 24
    [SW2-Vlanif202]退出

    2,端口加入对应VLAN

    [SW2]接口GigabitEthernet 0/0/3
    [SW2-GigabitEthernet0 / 0/3]端口链路类型接入
    [SW2-GigabitEthernet0 / 0/3] port default vlan 172
    [SW2-接口GigabitEthernet0 / 0/3]退出
    
    [SW2]接口GigabitEthernet 0/0/2
    [SW2-GigabitEthernet0 / 0/2] port link-type trunk
    [SW2-GigabitEthernet0 / 0/2] port trunk pvid vlan 202
    [SW2-GigabitEthernet0 / 0/2] port trunk allow-pass vlan all
    [SW2] interface GigabitEthernet 0/0/1
    [SW2-GigabitEthernet0 / 0/1] port link-type Trunk
    [SW2-GigabitEthernet0 / 0/1] port trunk pvid vlan 202
    [SW2-GigabitEthernet0 / 0/1] port trunk allow-pass vlan all

    3,配置路由

    [SW2] ip route-static 0.0.0.0 0.0.0.0 202.38.10.1
    验证

    使用trust区域的192.168.1.10 ping untrust区域的172.16.1.10

    然后在FW1使用:显示防火墙会话表就会看到内网IP是使用NAT地址池的IP访问出去的

    HRP_M 显示防火墙会话表
    13:00:04 2018/04/29
     当前总会话数:4
      icmp VPN:public  - > public 192.168.1.10:19025[202.38.10.23:2290]--> 172.16.1.1
    0:2048
      icmp VPN:public  - > public 192.168.1.10:19281[202.38.10.23:2291]--> 172.16.1.1
    0:2048
      icmp VPN:public  - > public 192.168.1.11:20561[202.38.10.22:2278]--> 172.16.1.1
    0:2048
      icmp VPN:public  - > public 192.168.1.11:20817 [202.38.10.22:2279]  - > 172.16.1.1
    0:2048

    \

    点击复制链接 与好友分享!回本站首页
    上一篇:openwrt做二级路由时发生错误,怎么回事?
    下一篇:h3c设备做路由,sftp时报Couldn't read packet: Connection reset by peer错误的一种解决办法
    相关文章
    图文推荐
    点击排行

    关于我们 | 联系我们 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训 | 神奇公式秒杀全国11选5

    版权所有: 神奇公式秒杀全国11选5--致力于做实用的IT技术学习网站

  • 美国发起贸易战,我们要让世界知道美元、美债并不可靠 2019-06-05
  • 紫光阁中共中央国家机关工作委员会 2019-05-31
  • 监察体制改革后 湘西半年72名公职人员主动交代问题 2019-05-12
  • 媒体宣传报道重庆日报 王国平:扮靓重庆两江四岸” 让城市有机更新 2019-04-26
  • 我相信“交警雨中护送高考生”是真,“交警雨中护送高考生”反被该高考生家长投诉是假。 2019-04-16
  • 14名消防员日巡逻28公里 洗冷水澡 2019-04-10
  • 靶壕有了“蓝军”,百发百中的“神枪手”练起来 2019-04-10
  • 不是秀强大了,别人就会来做朋友,这逻辑不对 2019-04-01
  • 候选企业:中国石油呼和浩特石化公司 2019-03-26
  • 航天员沙漠野外生存训练完美收官!为第一天团打call 2019-03-25
  • 请问,建立市场经济后,原计划经济哪里去?改革后,我们还在实行计划经济,为何没有提及? 2019-03-25
  • 构建年轻干部梯次培养链 2019-03-19
  • 孙实的专栏作者中国国家地理网 2019-03-15
  • 湖南师范大学举行研究阐释党的十九大精神国家社科基金重大专项学术研讨会 2019-03-15
  • [雷人]蠢货!土地处于不同的城市和地段,关联的资源不一样,价值也不一样。不然给咱俩同样面积的土地,咱的在北上广深,你的在边远山区,你干么? 2019-03-08