HCIE-Security 防火墙高级技术上机指导书
分别将两台Switch的三个接口加入同一个VLAN,具体配置命令请参考交换机
的相关文档。
在内网的部分PC上将VRRP备份组3的地址10.3.0.3设置为默认网关,在内
网的另一部分PC上将VRRP备份组4的地址10.3.0.4设置为默认网关,从而实现内网流量的负载分担。
验证结果
命令行验证步骤:
1、在NGFW_A上执行display vrrp命令,检查VRRP组内接口的状态信息,显示以下信息表示VRRP组建立成功。
HRP_A
GigabitEthernet1/0/1 | Virtual Router 1 VRRP Group : Active state : Active Virtual IP : 1.1.1.3
Virtual MAC : 0000-5e00-0101 Primary IP : 1.1.1.1 PriorityRun : 120 PriorityConfig : 100 ActivePriority : 120
Preempt : YES Delay Time : 0 Advertisement Timer : 1 Auth Type : NONE Check TTL : YES
GigabitEthernet1/0/1 | Virtual Router 2 VRRP Group : Standby state : Standby Virtual IP : 1.1.1.4
Virtual MAC : 0000-5e00-0102 Primary IP : 1.1.1.1 PriorityRun : 120 PriorityConfig : 100 ActivePriority : 120
Preempt : YES Delay Time : 0 Advertisement Timer : 1 Auth Type : NONE Check TTL : YES
HCIE-Security 防火墙高级技术上机指导书
GigabitEthernet1/0/3 | Virtual Router 3 VRRP Group : Active state : Active Virtual IP : 10.3.0.3
Virtual MAC : 0000-5e00-0103 Primary IP : 10.3.0.1 PriorityRun : 120 PriorityConfig : 100 ActivePriority : 120
Preempt : YES Delay Time : 0 Advertisement Timer : 1 Auth Type : NONE Check TTL : YES
GigabitEthernet1/0/3 | Virtual Router 4 VRRP Group : Standby state : Standby Virtual IP : 10.3.0.4
Virtual MAC : 0000-5e00-0104 Primary IP : 10.3.0.1 PriorityRun : 120 PriorityConfig : 100 ActivePriority : 120
Preempt : YES Delay Time : 0 Advertisement Timer : 1 Auth Type : NONE Check TTL : YES
2、在NGFW_A上执行display hrp state命令,检查当前VGMP组的状态,显示以下信息表示双机热备建立成功。
HRP_A
The firewall's config state is: ACTIVE
Current state of virtual routers configured as active: GigabitEthernet1/0/1 vrid 1 : active GigabitEthernet1/0/3 vrid 3 : active
Current state of virtual routers configured as standby: GigabitEthernet1/0/1 vrid 2 : standby
HCIE-Security 防火墙高级技术上机指导书
GigabitEthernet1/0/3 vrid 4 : standby
3、Router位于Untrust区域。在Trust区域的PC端能够ping通Untrust区域的Router。分别在NGFW_A和NGFW_B上检查会话。
HRP_A
Current Total Sessions : 1
Icmp VPN: public --> public 10.3.0.10:0[1.1.1.5:10298] --> 1.1.1.10:2048
HRP_S
icmp VPN:public --> public Remote 10.3.0.10:0[1.1.1.5:10298] --> 1.1.1.10:2048
可以看出NGFW_B上存在带有Remote标记的会话,表示配置双机热备功能后,会话备份成功。
4、在PC上执行ping 1.1.1.10 –t ,然后将NGFW_A防火墙GE1/0/1接口网线拨出,观察防火墙状态切换及ping包丢包情况;再将NGFW_A防火墙GE1/0/1接口网线恢复,观察防火墙状态切换及ping包丢包情况。 Web验证步骤:
1、选择“系统 > 高可靠性 > 双机热备”,查看双机热备的运行情况。 正常情况下,NGFW_A的“当前运行模式”为“负载分担”,“当前运行角色”为“主用”;NGFW_B的“当前运行模式”为“负载分担”,“当前运行角色”为“备用”。这说明流量通过NGFW_A转发。 当NGFW_A出现故障时,NGFW_A的“当前运行模式”为“主备备份”,“当前运行角色”为“备用”;NGFW_B的“当前运行模式”为“主备备份”,,“当前运行角色”为“主用”。这说明流量通过NGFW_B转发。 2、在Trust区域的PC端能够ping通Untrust区域的Router。分别在NGFW_A和NGFW_B上检查会话(选择“监控> 会话表”),确认会话是否备份成功。
1.3 业务接口工作在三层,上下行连接路由器的主备备份组网实验
实验目的
两台NGFW的业务接口都工作在三层,上下行分别连接路由器。NGFW与上下行路由器之间运行OSPF协议。
现在希望两台NGFW以主备备份方式工作。正常情况下,流量通过NGFW_A转发。当NGFW_A出现故障时,流量通过NGFW_B转发,保证业务不中断。
HCIE-Security 防火墙高级技术上机指导书
组网设备
两台同型号的NGFW防火墙,四台路由器(两台也可以),两台PC。
实验拓扑图
PC210.1.0.10/24外网OSPFGE1/0/110.2.0.1/24NGFW_AGE1/0/310.3.0.1/24GE1/0/110.2.1.1/24NGFW_BGE1/0/310.3.1.1/24 GE1/0/7 10.10.0.2 GE1/0/7 10.10.0.1OSPF PC110.4.0.10/24内网业务通道备份通道
实验步骤(命令行)
Step 1 在NGFW_A上完成网络基本配置。
配置各接口的IP地址。
[NGFW_A] interface GigabitEthernet 1/0/1
[NGFW_A-GigabitEthernet1/0/1] ip address 10.2.0.1 24 [NGFW_A-GigabitEthernet1/0/1] quit [NGFW_A] interface GigabitEthernet 1/0/3
[NGFW_A-GigabitEthernet1/0/3] ip address 10.3.0.1 24 [NGFW_A-GigabitEthernet1/0/3] quit [NGFW_A] interface GigabitEthernet 1/0/7
HCIE-Security 防火墙高级技术上机指导书
[NGFW_A-GigabitEthernet1/0/7] ip address 10.10.0.1 24 [NGFW_A-GigabitEthernet1/0/7] quit 将各接口加入相应的安全区域。 [NGFW_A] firewall zone trust
[NGFW_A-zone-trust] add interface GigabitEthernet 1/0/3 [NGFW_A-zone-trust] quit [NGFW_A] firewall zone dmz
[NGFW_A-zone- dmz] add interface GigabitEthernet 1/0/7 [NGFW_A-zone- dmz] quit [NGFW_A] firewall zone untrust
[NGFW_A-zone- untrust] add interface GigabitEthernet 1/0/1 [NGFW_A-zone- untrust] quit
Step 2 在NGFW_A上配置OSPF,保证路由可达。
[NGFW_A] ospf 101 [NGFW_A -ospf-101] area 0
[NGFW_A -ospf-101-area-0.0.0.0] network 10.2.0.0 0.0.0.255 [NGFW_A -ospf-101-area-0.0.0.0] network 10.3.0.0 0.0.0.255 [NGFW_A -ospf-101-area-0.0.0.0] quit
Step 3 在NGFW_A上配置双机热备功能。
配置状态为Active的VGMP组监控上下行业务接口。 [NGFW_A] interface GigabitEthernet 1/0/1 [NGFW_A-GigabitEthernet1/0/1] hrp track active [NGFW_A-GigabitEthernet1/0/1] quit [NGFW_A] interface GigabitEthernet 1/0/3 [NGFW_A-GigabitEthernet1/0/3] hrp track active [NGFW_A-GigabitEthernet1/0/3] quit
配置根据VGMP状态调整OSPF Cost值功能。
指定心跳口并启用双机热备功能。配置这个命令后,NGFW发布OSPF路由时,会判断自身是主用设备还是备用设备。如果是主用设备,NGFW会把学习到的路由直接发布出去;如果是备用设备,NGFW会增加Cost值后再将路由发布出去。这样上下行路由器在计算路由的时候,就能将下一跳指向主用设备,并把报文转发到主用设备上。
[NGFW_A] hrp ospf-cost adjust-enable 指定心跳口并启用双机热备功能。
[NGFW_A] hrp interface GigabitEthernet 1/0/7 [NGFW_A] hrp enable
Step 4 完成NGFW_B的配置,建立双机热备状态。