HC13031041 防火墙高级技术实验手册(3)

HCIE-Security 防火墙高级技术上机指导书

验证结果

命令行验证步骤：

1、在NGFW_A上执行display vrrp命令，检查VRRP组内接口的状态信息，显示以下信息表示VRRP组建立成功。

HRP_Adis vrrp

GigabitEthernet1/0/1 | Virtual Router 1 VRRP Group : Active state : Active Virtual IP : 1.1.1.1

Virtual MAC : 0000-5e00-0101 Primary IP : 10.2.0.1 PriorityRun : 120 PriorityConfig : 100 ActivePriority : 120

Preempt : YES Delay Time : 0 Advertisement Timer : 1 Auth Type : NONE Check TTL : YES

GigabitEthernet1/0/3 | Virtual Router 2 VRRP Group : Active state : Active Virtual IP : 10.3.0.3

Virtual MAC : 0000-5e00-0102 Primary IP : 10.3.0.1 PriorityRun : 120 PriorityConfig : 100 ActivePriority : 120

Preempt : YES Delay Time : 0 Advertisement Timer : 1 Auth Type : NONE Check TTL : YES

2、在NGFW_A上执行display hrp state命令，检查当前VGMP组的状态，显示以下信息表示双机热备建立成功。

HRP_Adis hrp state

The firewall's config state is: ACTIVE

HCIE-Security 防火墙高级技术上机指导书

Current state of virtual routers configured as active: GigabitEthernet1/0/1 vrid 1 : active GigabitEthernet1/0/3 vrid 2 : active

3、Router位于Untrust区域。在Trust区域的PC端能够ping通Untrust区域的Router。分别在NGFW_A和NGFW_B上检查会话。

HRP_Adisplay firewall session table 16:19:42 2013/06/08 Current Total Sessions : 1

Icmp VPN: public --> public 10.3.0.10:0[1.1.1.2:10298] --> 1.1.1.10:2048

HRP_Sdisplay firewall session table 16:03:19 2013/06/08 Current Total Sessions : 1

icmp VPN:public --> public Remote 10.3.0.10:0[1.1.1.2:10298] --> 1.1.1.10:2048

可以看出NGFW_B上存在带有Remote标记的会话，表示配置双机热备功能后，会话备份成功。

4、在PC上执行ping 1.1.1.10 –t ，然后将NGFW_A防火墙GE1/0/1接口网线拨出，观察防火墙状态切换及ping包丢包情况；再将NGFW_A防火墙GE1/0/1接口网线恢复，观察防火墙状态切换及ping包丢包情况。 Web验证步骤：

1、选择“系统 > 高可靠性 > 双机热备”，查看双机热备的运行情况。 正常情况下，NGFW_A的“当前运行模式”为“主备备份”，“当前运行角色”为“主用”；NGFW_B的“当前运行模式”为“主备备份”，“当前运行角色”为“备用”。这说明流量通过NGFW_A转发。 当NGFW_A出现故障时，NGFW_A的“当前运行模式”为“主备备份”，“当前运行角色”为“备用”；NGFW_B的“当前运行模式”为“主备备份”，“当前运行角色”为“主用”。这说明流量通过NGFW_B转发。 2、在Trust区域的PC端能够ping通Untrust区域的Router。分别在NGFW_A和NGFW_B上检查会话（选择“监控> 会话表”），确认会话是否备份成功。

1.2 业务接口工作在三层，上下行连接交换机的负载分担组网实验

实验目的

企业的两台NGFW的业务接口都工作在三层，上下行分别连接二层交换机。上行交换机连接运营商的接入点，运营商为企业分配的IP地址为1.1.1.1-1.1.1.8。 现在希望两台NGFW以负载分担方式工作。正常情况下，NGFW_A和NGFW_B

HCIE-Security 防火墙高级技术上机指导书

共同转发流量。当其中一台NGFW出现故障时，另外一台NGFW转发全部业务，保证业务不中断。

组网设备

两台同型号的NGFW防火墙，两台交换机，一台路由器，一台PC。

实验拓扑图

Router1.1.1.10/24 VRRP备份组21.1.1.4/24 GE1/0/1 1.1.1.1/24NGFW_A GE1/0/310.3.0.1/24GE1/0/1GE1/0/7 1.1.1.2/2410.10.0.2/24NGFW_BGE1/0/7 10.10.0.1/24GE1/0/3VRRP备份组310.3.0.3/24VRRP备份组11.1.1.3/24 10.3.0.2/24VRRP备份组410.3.0.4/24PC10.3.0.10/24内网业务通道备份通道

实验步骤(命令行)

Step 1 在NGFW_A上完成网络基本配置。

配置各接口的IP地址。 system-view

[NGFW_A] interface GigabitEthernet 1/0/1

[NGFW_A-GigabitEthernet1/0/1] ip address 1.1.1.1 24 [NGFW_A-GigabitEthernet1/0/1] quit [NGFW_A] interface GigabitEthernet 1/0/3

HCIE-Security 防火墙高级技术上机指导书

[NGFW_A-GigabitEthernet1/0/3] ip address 10.3.0.1 24 [NGFW_A-GigabitEthernet1/0/3] quit [NGFW_A] interface GigabitEthernet 1/0/7

[NGFW_A-GigabitEthernet1/0/7] ip address 10.10.0.1 24 [NGFW_A-GigabitEthernet1/0/7] quit 将各接口加入相应的安全区域。 [NGFW_A] firewall zone trust

[NGFW_A-zone-trust] add interface GigabitEthernet 1/0/3 [NGFW_A-zone-trust] quit [NGFW_A] firewall zone dmz

[NGFW_A-zone- dmz] add interface GigabitEthernet 1/0/7 [NGFW_A-zone- dmz] quit [NGFW_A] firewall zone untrust

[NGFW_A-zone- untrust] add interface GigabitEthernet 1/0/1 [NGFW_A-zone- untrust] quit

配置一条缺省路由，下一跳为1.1.1.10。 [NGFW_A] ip route-static 0.0.0.0 0.0.0.0 1.1.1.10

Step 2 在NGFW_A上配置VRRP备份组。

为了实现负载分担组网需要在每个业务接口上配置两个VRRP备份组，一个加入状态为Active的VGMP组，一个加入状态为Standby的VGMP组。 在上行业务接口GE1/0/1上配置VRRP备份组1，并将其加入状态为Active的VGMP组；配置VRRP备份组2，并将其加入状态为Standby的VGMP组。 [NGFW_A] interface GigabitEthernet 1/0/1

[NGFW_A-GigabitEthernet1/0/1] vrrp vrid 1 virtual-ip 1.1.1.3 24 active [NGFW_A-GigabitEthernet1/0/1] vrrp vrid 2 virtual-ip 1.1.1.4 24 standby [NGFW_A-GigabitEthernet1/0/1] quit

在下行业务接口GE1/0/3上配置VRRP备份组3，并将其加入状态为Active的VGMP组；配置VRRP备份组4，并将其加入状态为Standby的VGMP组。 [NGFW_A] interface GigabitEthernet 1/0/3

[NGFW_A-GigabitEthernet1/0/3] vrrp vrid 3 virtual-ip 10.3.0.3 active [NGFW_A-GigabitEthernet1/0/3] vrrp vrid 4 virtual-ip 10.3.0.4 standby [NGFW_A-GigabitEthernet1/0/3] quit

Step 3 在NGFW_A上指定心跳口并启用双机热备功能。

[NGFW_A] hrp interface GigabitEthernet 1/0/7 [NGFW_A] hrp enable

Step 4 在NGFW_B上完成网络基本配置。

NGFW_B的网络基本配置方法与NGFW_A相同，只是NGFW_B各接口的IP

HCIE-Security 防火墙高级技术上机指导书

地址与NGFW_A不同。因此配置过程略，IP地址请参见实验拓扑图。

Step 5 在NGFW_B上配置VRRP备份组。

为了实现负载分担组网， NGFW_B上的VRRP备份组加入的VGMP组配置需要与NGFW_A互为镜像。即对于相同的VRRP备份组，如果在NGFW_A上加入了状态为Active的VGMP组，那么在NGFW_B上就需要加入状态为Standby的VGMP组。

在上行业务接口GE1/0/1上配置VRRP备份组1，并将其加入状态为Standby的VGMP组；配置VRRP备份组2，并将其加入状态为Active的VGMP组。 [NGFW_B] interface GigabitEthernet 1/0/1

[NGFW_B-GigabitEthernet1/0/1] vrrp vrid 1 virtual-ip 1.1.1.3 24 standby [NGFW_B-GigabitEthernet1/0/1] vrrp vrid 2 virtual-ip 1.1.1.4 24 active [NGFW_B-GigabitEthernet1/0/1] quit

在下行业务接口GE1/0/3上配置VRRP备份组3，并将其加入状态为Standby的VGMP组；配置VRRP备份组4，并将其加入状态为Active的VGMP组。 [NGFW_ B] interface GigabitEthernet 1/0/3

[NGFW_ B -GigabitEthernet1/0/3] vrrp vrid 3 virtual-ip 10.3.0.3 standby [NGFW_ B -GigabitEthernet1/0/3] vrrp vrid 4 virtual-ip 10.3.0.4 active [NGFW_ B -GigabitEthernet1/0/3] quit

Step 6 在NGFW_B上指定心跳口并启用双机热备功能。

[NGFW_B] hrp interface GigabitEthernet 1/0/7 [NGFW_B] hrp enable

Step 7 在NGFW_A上配置安全策略。双机热备状态成功建立后，NGFW_A的安全策

略配置会自动备份到NGFW_B上。

配置安全策略，允许内网用户访问Internet。 HRP_A[NGFW_A] security-policy

HRP_A[NGFW_A-policy-security] rule name trust_to_untrust

HRP_A[NGFW_A-policy-security-rule- trust_to_untrust ] source-zone trust HRP_A[NGFW_A-policy-security-rule- trust_to_untrust ] destination-zone untrust HRP_A[NGFW_A-policy-security-rule- trust_to_untrust ] action permit

Step 8 在NGFW_A上配置NAT策略。双机热备状态成功建立后，NGFW_A的NAT

策略配置会自动备份到NGFW_B上。

配置NAT策略，当内网用户访问Internet时，将源地址由10.3.0.0/16网段转换为NAT地址池中的地址（1.1.1.5-1.1.1.8）。 HRP_A[NGFW_A] nat address-group group1

HRP_A[NGFW_A -nat-address-group- group1] section 0 1.1.1.5 1.1.1.8 HRP_A[NGFW_A -nat-address-group- group1] quit