cjh 华为防火墙:HRP-HA-VRRP: 防火墙直路部署,上下行连接交换机 、([FW] hrp enable # 启动HRP双机热备份功能。)
华为防火墙:HRP-HA-VRRP: 防火墙直路部署,上下行连接交换机 、([FW] hrp enable # 启动HRP双机热备份功能。)
(1)需求
组网需求
如图所示,两台FW的业务接口都工作在三层,上行连接二层交换机,下行连接了三层核心交换机。上行交换机连接运营商的接入点,运营商为企业分配的IP地址为1.1.1.3和1.1.1.4。现在希望两台FW以负载分担方式工作。正常情况下,FW_A和FW_B共同转发流量。当其中一台FW出现故障时,另外一台FW转发全部业务,保证业务不中断。
备注:
HRP(Huawei Redundancy Protocol)双机热备协议(华为冗余协议)
(2)拓扑图
(3)基本信息配置(略)
(4)配置VRRP备份组
为了实现负载分担组网需要在每个业务接口上配置两个VRRP备份组,一个设置状态为Active,另一个设置状态为Standby。
在FW_A上行业务接口GE1/0/1上配置VRRP备份组1,并将其状态设置为Active;
配置VRRP备份组2,并将其状态设置为Standby。
在FW_B上行业务接口GE1/0/1上配置VRRP备份组1,并将其状态设置为Standby;
配置VRRP备份组2,并将其状态设置为Active。
需要注意的是:如果接口的IP地址与VRRP备份组地址不在同一网段,则配置VRRP备份组地址时需要指定掩码。
FW_A:
interface GigabitEthernet1/0/1
ip address 10.2.0.1 255.255.255.0
vrrp vrid 1 virtual-ip 1.1.1.3 255.255.255.0 active
vrrp vrid 2 virtual-ip 1.1.1.4 255.255.255.0 standby
FW_B:
interface GigabitEthernet1/0/1
ip address 10.2.0.2 255.255.255.0
vrrp vrid 1 virtual-ip 1.1.1.3 255.255.255.0 standby
vrrp vrid 2 virtual-ip 1.1.1.4 255.255.255.0 active
在FW_A下行业务接口GE1/0/0上配置VRRP备份组3,并将其状态设置为Active;
配置VRRP备份组4,并将其状态设置为Standby。
在FW_B下行业务接口GE1/0/0上配置VRRP备份组3,并将其状态设置为Standby;
配置VRRP备份组4,并将其状态设置为Active。
FW_A:
interface GigabitEthernet1/0/0
ip address 10.3.0.1 255.255.255.0
vrrp vrid 3 virtual-ip 10.3.0.3 active
vrrp vrid 4 virtual-ip 10.3.0.4 standby
FW_B:
interface GigabitEthernet1/0/0
ip address 10.3.0.2 255.255.255.0
vrrp vrid 3 virtual-ip 10.3.0.4 active
vrrp vrid 4 virtual-ip 10.3.0.3 standby
display vrrp protocol-information
display vrrp brief
(5)配置会话快速备份功能
# 负载分担组网下,两台FW都转发流量,为了防止来回路径不一致,需要在两台FW上都配置会话快速备份功能。
FW_A:
hrp mirror session enable
FW_B:
hrp mirror session enable
(6)指定心跳口并启用双机热备功能。
# 负载分担组网下,两台FW都转发流量,为了防止来回路径不一致,需要在两台FW上都配置会话快速备份功能。
FW_A:
hrp interface GigabitEthernet1/0/2 remote 10.10.0.2
hrp enable
FW_B:
hrp interface GigabitEthernet1/0/2 remote 10.10.0.1
hrp enable
HRP_M[FW_A]display hrp interface
2022-01-11 08:27:09.040
GigabitEthernet1/0/2 : running
HRP_M[FW_A]
(7)启用IPv4静态路由配置自动同步到对端设备
hrp auto-sync config static-route
(8)配置双机热备的运行模式:
备注:
当业务接口工作在二层且连接交换机时,必须选择主备备份运行模式;
当业务接口工作在二层且连接路由器时,必须选择负载分担运行模式;
当业务接口工作在三层时,两种模式都可以选择。
hrp load balance device
display hrp state
(9)在FW_A上配置安全策略。双机热备状态成功建立后,FW_A的安全策略配置会自动备份到FW_B上。
(略)
(10)在FW_A上配置NAT策略。双机热备状态成功建立后,FW_A的NAT策略配置会自动备份到FW_B上。
(略)
(11)NAT转换时端口冲突问题(只需要在Master防火墙角色上配置此命令)
对于双机热备的负载分担组网,为了防止两台设备进行NAT转换时端口冲突,需要在FW_A和FW_B上分别配置可用的端口范围。
在FW_A上进行如下配置:
HRP_M[FW_A] hrp nat resource primary-group
FW_A配置此命令后,FW_B上会自动备份此命令,并转换成hrp nat resource secondary-group命令
(12)核心交换机配置策略路由,不同的源地址分别从不同的防火墙出去。
(略)
其他:双机做成功后,在Master上配置命令时,出现+B,则表示
2、本资源基本为原创,部分来源其他付费资源平台或互联网收集,如有侵权请联系及时处理。
3、本站大部分文章的截图来源实验测试环境,请不要在生产环境中随意模仿,以免带来灾难性后果。
转载请保留出处: www.zh-cjh.com珠海陈坚浩博客 » 华为防火墙:HRP-HA-VRRP: 防火墙直路部署,上下行连接交换机 、([FW] hrp enable # 启动HRP双机热备份功能。)
作者: cjh
| 手机扫一扫,手机上查看此文章: |
一切源于价值!
其他 模板文件不存在: ./template/plugins/comment/pc/index.htm