HCIE-Security 防火墙高级技术上机指导书
HCIE-Security 防火墙高级技术上机
指导书 (学员用书)
ISSUE 2.00
HCIE-Security 防火墙高级技术上机指导书
目 录
1 防火墙虚拟化实验 ..................................................................................................................... 3 1.1 通过虚拟系统隔离企业部门 ............................................................................................ 69 2 防火墙带宽管理实验 ............................................................................................................... 82 2.1 在内网管控与安全隔离的场景中实施带宽管理 ............................................................ 82
HCIE-Security 防火墙高级技术上机指导书
1 实验目的
双机热备实验
1.1 业务接口工作在三层,上下行连接交换机的主备备份组网实验
企业的两台NGFW的业务接口都工作在三层,上下行分别连接二层交换机。 上行交换机连接运营商的接入点,运营商为企业分配的IP地址为1.1.1.1-1.1.1.5。现在希望两台NGFW以主备备份方式工作。正常情况下,流量通过NGFW_A转发。当NGFW_A出现故障时,流量通过NGFW_B转发,保证业务不中断。
组网设备
两台同型号的NGFW防火墙,两台交换机,一台路由器,一台PC。
HCIE-Security 防火墙高级技术上机指导书
实验拓扑图
Router1.1.1.10/24 GE1/0/110.2.0.1/24NGFW_A GE1/0/310.3.0.1/24GE1/0/1GE1/0/7 10.2.0.2/2410.10.0.2/24NGFW_BGE1/0/7 10.10.0.1/24GE1/0/3VRRP备份组210.3.0.3/24VRRP备份组11.1.1.1/24 10.3.0.2/24PC10.3.0.10/24内网业务通道备份通道
实验步骤(命令行)
Step 1 在NGFW_A上完成网络基本配置。
配置各接口的IP地址。
[NGFW_A] interface GigabitEthernet 1/0/1
[NGFW_A-GigabitEthernet1/0/1] ip address 10.2.0.1 24 [NGFW_A-GigabitEthernet1/0/1] quit [NGFW_A] interface GigabitEthernet 1/0/3
[NGFW_A-GigabitEthernet1/0/3] ip address 10.3.0.1 24 [NGFW_A-GigabitEthernet1/0/3] quit [NGFW_A] interface GigabitEthernet 1/0/7
[NGFW_A-GigabitEthernet1/0/7] ip address 10.10.0.1 24 [NGFW_A-GigabitEthernet1/0/7] quit 将各接口加入相应的安全区域。 [NGFW_A] firewall zone trust
HCIE-Security 防火墙高级技术上机指导书
[NGFW_A-zone-trust] add interface GigabitEthernet 1/0/3 [NGFW_A-zone-trust] quit [NGFW_A] firewall zone dmz
[NGFW_A-zone- dmz] add interface GigabitEthernet 1/0/7 [NGFW_A-zone- dmz] quit [NGFW_A] firewall zone untrust
[NGFW_A-zone- untrust] add interface GigabitEthernet 1/0/1 [NGFW_A-zone- untrust] quit
配置一条缺省路由,下一跳为1.1.1.10。 [NGFW_A] ip route-static 0.0.0.0 0.0.0.0 1.1.1.10
Step 2 在NGFW_A上配置VRRP备份组。
在上行业务接口GE1/0/1上配置VRRP备份组1,并将其加入状态为Active的VGMP组。需要注意的是如果接口的IP地址与VRRP备份组地址不在同一网段,则配置VRRP备份组地址时需要指定掩码。 [NGFW_A] interface GigabitEthernet 1/0/1
[NGFW_A-GigabitEthernet1/0/1] vrrp vrid 1 virtual-ip 1.1.1.1 24 active [NGFW_A-GigabitEthernet1/0/1] quit
在上行业务接口GE1/0/3上配置VRRP备份组2,并将其加入状态为Active的VGMP组。
[NGFW_A] interface GigabitEthernet 1/0/3
[NGFW_A-GigabitEthernet1/0/3] vrrp vrid 2 virtual-ip 10.3.0.3 active [NGFW_A-GigabitEthernet1/0/3] quit
Step 3 在NGFW_A上指定心跳口并启用双机热备功能。
[NGFW_A] hrp interface GigabitEthernet 1/0/7 [NGFW_A] hrp enable
Step 4 完成NGFW_B的配置,建立双机热备状态。
NGFW_B和上述NGFW_A的配置基本相同,不同之处在于:
1. NGFW_B各接口的IP地址与NGFW_A各接口的IP地址不相同。
2. NGFW_B的业务接口GigabitEthernet1/0/1和GigabitEthernet1/0/3的VRRP备份组需要加入状态为Standby的VGMP组。 Step 5 在NGFW_A上配置安全策略。双机热备状态成功建立后,NGFW_A的安全策
略配置会自动备份到NGFW_B上。
配置安全策略,允许内网用户访问Internet。 HRP_A[NGFW_A] security-policy
HRP_A[NGFW_A-policy-security] rule name trust_to_untrust
HRP_A[NGFW_A-policy-security-rule- trust_to_untrust ] source-zone trust HRP_A[NGFW_A-policy-security-rule- trust_to_untrust ] destination-zone untrust