掌握防火墻雙機(jī)熱備,確保業(yè)務(wù)不間斷!
在網(wǎng)絡(luò)安全的領(lǐng)域中,保障連續(xù)性和可靠性至關(guān)重要。而防火墻雙機(jī)熱備技術(shù),宛如網(wǎng)絡(luò)的安全雙保險,確保在一臺防火墻發(fā)生故障或停機(jī)時,另一臺能夠即時接管,實現(xiàn)無縫切換,保持網(wǎng)絡(luò)的不間斷運行。這種高可用性的設(shè)計為網(wǎng)絡(luò)架構(gòu)提供了額外的安全層,應(yīng)對潛在風(fēng)險,確保網(wǎng)絡(luò)的穩(wěn)定與安全。
今天來分享一下防火墻雙機(jī)熱備的基本配置方法。下圖是今天的實驗拓?fù)洌?/p>
實驗拓?fù)?/p>
實驗需求
- 部署防墻雙機(jī)熱備負(fù)載分擔(dān),實現(xiàn)VLAN10、VLAN20訪問服務(wù)器的流量分別使用不同的防火墻轉(zhuǎn)發(fā)。
- 若防火墻檢測到上行鏈路故障,則切換到另外一個防火墻轉(zhuǎn)發(fā)(使用IP LINK與BFD實現(xiàn))。
- 用戶網(wǎng)關(guān)接口位于防火墻的子接口。
配置步驟
(1) 配置SW1,創(chuàng)建VLAN10和VLAN20,并GE0/0/10和GE0/0/20分別加入到VLAN10和VLAN20中,并把GE0/0/1和GE0/0/2配置成trunk,允許VLAN10、20通過。關(guān)鍵配置如下:
vlan batch 10 20
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 10 20
#
interface GigabitEthernet0/0/2
port link-type trunk
port trunk allow-pass vlan 10 20
interface GigabitEthernet0/0/10
port link-type access
port default vlan 10
interface GigabitEthernet0/0/20
port link-type access
port default vlan 20(2) 配置防火墻,優(yōu)先開啟HRP功能。
配置心跳接口的IP地址,并把心跳接口加入到DMZ區(qū)域。關(guān)鍵配置如下:
# FW1的心跳配置
firewall zone dmz
set priority 50
add interface GigabitEthernet1/0/0
interface GigabitEthernet1/0/0
undo shutdown
ip address 10.1.123.1 255.255.255.252
# FW2的心跳配置
firewall zone dmz
set priority 50
add interface GigabitEthernet1/0/0
interface GigabitEthernet1/0/0
undo shutdown
ip address 10.1.123.2 255.255.255.252使能HRP功能,關(guān)鍵配置如下:
# FW1的使能HRP
hrp enable
hrp interface GigabitEthernet 1/0/0 remote 10.1.123.2
# FW2的使能HRP
hrp enable
hrp interface GigabitEthernet 1/0/0 remote 10.1.123.1配置子接口作為VLAN10和VLAN20的網(wǎng)關(guān),讓FW1作為VLAN10的主設(shè)備、FW2作為VLAN10的備份。當(dāng)出現(xiàn)故障時,F(xiàn)W2切換成主設(shè)備。VLAN20則是相反的配置。
# FW1的使能VRRP功能
interface GigabitEthernet1/0/2.10
vlan-type dot1q 10
ip address 10.1.10.252 255.255.255.0
vrrp vrid 10 virtual-ip 10.1.10.254 active
interface GigabitEthernet1/0/2.20
vlan-type dot1q 20
ip address 10.1.20.252 255.255.255.0
vrrp vrid 20 virtual-ip 10.1.20.254 standby
# FW2的使能VRRP功能
interface GigabitEthernet1/0/2.10
vlan-type dot1q 10
ip address 10.1.10.253 255.255.255.0
vrrp vrid 10 virtual-ip 10.1.10.254 standby
interface GigabitEthernet1/0/2.20
vlan-type dot1q 20
ip address 10.1.20.253 255.255.255.0
vrrp vrid 20 virtual-ip 10.1.20.254 active配置防火墻上行接口,并把上行接口加入到untrust區(qū)域中。關(guān)鍵配置如下:
#FW1配置
interface GigabitEthernet1/0/1
undo shutdown
ip address 10.1.121.2 255.255.255.252
firewall zone untrust
set priority 5
add interface GigabitEthernet1/0/1
#FW2配置
interface GigabitEthernet1/0/1
undo shutdown
ip address 10.1.122.2 255.255.255.252
firewall zone untrust
set priority 5
add interface GigabitEthernet1/0/1使能OSPF功能。關(guān)鍵配置如下:
#FW1配置
ospf 1 router-id 2.2.2.2
silent-interface GigabitEthernet1/0/2.10
silent-interface GigabitEthernet1/0/2.20
area 0.0.0.0
network 10.1.0.0 0.0.255.255
network 10.1.121.2 0.0.0.0
#FW2配置
ospf 1 router-id 3.3.3.3
silent-interface GigabitEthernet1/0/2.10
silent-interface GigabitEthernet1/0/2.20
area 0.0.0.0
network 10.1.0.0 0.0.255.255
network 10.1.122.2 0.0.0.0放通安全策略,關(guān)鍵配置如下:
ip address-set net10 type object
address 0 10.1.10.0 mask 24
address 1 10.1.20.0 mask 24
security-policy
rule name LOCAL-ANY
source-zone local
action permit
rule name trust->untrust
source-zone trust
destination-zone untrust
source-address address-set net10
action permit(3) 配置R1路由器,并啟用OSPF功能。關(guān)鍵配置如下:
interface GigabitEthernet0/0/0
ip address 10.1.1.254 255.255.255.0
#
interface GigabitEthernet0/0/1
ip address 10.1.121.1 255.255.255.252
#
interface GigabitEthernet0/0/2
ip address 10.1.122.1 255.255.255.252
ospf 1 router-id 1.1.1.1
area 0.0.0.0
network 10.1.121.1 0.0.0.0
network 10.1.122.1 0.0.0.0
network 10.1.1.0 0.0.0.255完成上述的配置后,在PC1上進(jìn)行測試,發(fā)現(xiàn)不通。如下圖:
PC1上測試
由于該案例中防火墻采用的是雙活方式部署,數(shù)據(jù)包有可能來回的路徑不一樣導(dǎo)致不通,所以防火墻使用雙活部署方式,需要開啟狀態(tài)信息同步開關(guān)。
#FW1和FW2
hrp mirror session enable完成上述配置再次進(jìn)行測試,如下圖:
PC1
PC2
從上述的測試結(jié)果,PC1的流量從FW1進(jìn)行轉(zhuǎn)發(fā),PC2的流量從FW2進(jìn)行轉(zhuǎn)發(fā)。
tracert 路徑跟蹤防火墻不顯示,可以使用如下命令:
icmp ttl-exceeded send為了提高網(wǎng)絡(luò)的健壯性,我們需要借助IP-Link和BFD技術(shù)檢測上行鏈路是否故障。當(dāng)檢測故障后,及時進(jìn)行主備切換。
在防火墻FW1上使用IP-Link技術(shù)。關(guān)鍵配置如下:
#FW1 配置IP-Link檢測上行鏈路
ip-link check enable
ip-link name TEST_R1
destination 10.1.121.1 mode icmp
hrp track ip-link TEST_R1完成上述配置后,檢查雙機(jī)熱備的狀態(tài)。如下圖:
雙機(jī)熱備的狀態(tài)
在防火墻FW2上使用BFD技術(shù)。關(guān)鍵配置如下:
#FW2配置BDF檢測上行鏈路
bfd test_R1 bind peer-ip 10.1.122.1 interface GigabitEthernet1/0/1
discriminator local 1301
discriminator remote 1013
commit
hrp track bfd-session 1301
#在R1上配置BDF
bfd test_fw2 bind peer-ip 10.1.122.2 interface GigabitEthernet0/0/2
discriminator local 1013
discriminator remote 1301
commit在R1路由器上查看BFD的狀態(tài)。如下圖:
BFD的狀態(tài)
防火墻上查看BFD的狀態(tài),如下圖:
測試雙機(jī)熱備的切換情況,如下圖:
雙機(jī)發(fā)生切換
在PC2上進(jìn)行測試,發(fā)現(xiàn)PC2的流量走到了FW1上,如下圖:
PC2路徑跟蹤
