HCIE-Security 防火墙高级技术上机指导书
HRP_A[NGFW_A] nat-policy
HRP_A[NGFW_A-policy-nat] rule name policy_nat1
HRP_A[NGFW_A-policy-nat-rule- policy_nat1 ] source-zone trust HRP_A[NGFW_A-policy-nat-rule- policy_nat1 ] destination-zone untrust HRP_A[NGFW_A-policy-nat-rule- policy_nat1 ] source-address 10.3.0.0 16 HRP_A[NGFW_A-policy-nat-rule- policy_nat1 ] action nat address-group group1 HRP_A[NGFW_A-policy-nat-rule- policy_nat1 ] quit HRP_A[NGFW_A-policy-nat] quit
对于双机热备的负载分担组网,为了防止两台设备进行NAT转换时端口冲突,需要在NGFW_A和NGFW_B上分别配置可用的端口范围。 在NGFW_A上进行如下配置:
HRP_A[NGFW_A] hrp nat ports-segment primary 在NGFW_B上进行如下配置:
HRP_S[NGFW_B] hrp nat ports-segment secondary
Step 9 配置Switch和PC。
分别将两台Switch的三个接口加入同一个VLAN,具体配置命令请参考交换机
的相关文档。
在内网的部分PC上将VRRP备份组3的地址10.3.0.3设置为默认网关,在内
网的另一部分PC上将VRRP备份组4的地址10.3.0.4设置为默认网关,从而实现内网流量的负载分担。
实验步骤(Web)
Step 10 在NGFW_A上配置接口。
1) 选择“网络 > 接口 ”。
2) 单击GE1/0/1,按如下参数配置。
3) 单击“确定”。
HCIE-Security 防火墙高级技术上机指导书
4) 参考上述步骤按如下参数配置GE1/0/3接口。
5) 参考上述步骤按如下参数配置GE1/0/7接口。
Step 11 在NGFW_A上配置缺省路由。
1) 选择“网络 > 路由 > 静态路由 ”。 2) 单击“新建”,按如下参数配置。
HCIE-Security 防火墙高级技术上机指导书
3)单击“确定”。
Step 12 在NGFW_A上配置双机热备功能
1) 单击“配置”。
2) 选择“系统 > 高可靠性 > 双机热备”。 3) 选中“启用”前的复选框后,按如下参数配置。
4) 单击“确定”。
Step 13 在NGFW_B上配置接口。
NGFW_B与NGFW_A的接口配置方法相同,只是IP地址不同。您可以按照“实验拓扑图”配置NGFW_B的各接口,具体过程略。
Step 14 在NGFW_B上配置缺省路由。
NGFW_B与NGFW_A的缺省路由配置相同。
Step 15 在NGFW_B上配置双机热备功能。
HCIE-Security 防火墙高级技术上机指导书
1) 选择“系统 > 高可靠性 > 双机热备”。 2) 单击“配置”。
3) 选中“启用”前的复选框后,按如下参数配置。
4) 单击“确定”。
Step 16 在NGFW_A上配置安全策略。双机热备状态成功建立后,NGFW_A的安全策
略配置会自动备份到NGFW_B上。
1) 选择“策略 > 安全策略”。 2) 单击“新建”,按如下参数配置。
HCIE-Security 防火墙高级技术上机指导书
3) 单击“确定”。
Step 17 在NGFW_A上配置NAT策略。双机热备状态成功建立后,NGFW_A的NAT
策略配置会自动备份到NGFW_B上。
1) 选择“策略 > NAT策略 > NAT地址池”。 2) 单击“新建”,按如下参数配置。
3) 单击“确定”。
4) 选择“策略 > NAT策略 >源NAT”。 5) 单击“新建”,按如下参数配置。
6) 单击“确定”。
Step 18 配置Switch和PC。