HCIE-Security 防火墙高级技术上机指导书
3) 单击“确定”。
4) 参考上述步骤,按如下参数配置policy_sec2。
5) 参考上述步骤,按如下参数配置policy_sec3。
Step 14 配置路由器。
分别在四台路由器上配置OSPF,发布相邻网段,具体配置命令请参考路由器的
HCIE-Security 防火墙高级技术上机指导书
相关文档。
验证结果
命令行验证步骤:
1、在NGFW_A上执行display hrp state命令,检查当前VGMP组的状态,显示以下信息表示双机热备建立成功。
HRP_A
The firewall's config state is: ACTIVE
Current state of interfaces tracked by active: GigabitEthernet1/0/1 : up GigabitEthernet1/0/3 : up
2、PC2位于Untrust区域。在Trust区域的PC1端能够ping通Untrust区域的PC2。分别在NGFW_A和NGFW_B上检查会话。
HRP_A
Current Total Sessions : 1
Icmp VPN: public --> public 10.4.0.10:1--> 10.1.0.10:2048
HRP_S
Current Total Sessions : 1
icmp VPN:public --> public Remote 10.4.0.10:1 --> 10.1.0.10:2048
可以看出NGFW_B上存在带有Remote标记的会话,表示配置双机热备功能后,会话备份成功。
3、在PC上执行ping 10.1.0.10 –t ,然后将NGFW_A防火墙GE1/0/1接口网线拨出,观察防火墙状态切换及ping包丢包情况;再将NGFW_A防火墙GE1/0/1接口网线恢复,观察防火墙状态切换及ping包丢包情况。 Web验证步骤:
1、选择“系统 > 高可靠性 > 双机热备”,查看双机热备的运行情况。 正常情况下,NGFW_A的“当前运行模式”为“主备备份”,“当前运行角色”为“主用”;NGFW_B的“当前运行模式”为“主备备份”,“当前运行角色”为“备用”。这说明流量通过NGFW_A转发。 当NGFW_A出现故障时,NGFW_A的“当前运行模式”为“主备备份”,“当前运行角色”为“备用”;NGFW_B的“当前运行模式”为“主备备份”,“当前运行角色”为“主用”。这说明流量通过NGFW_B转发。 2、在Trust区域的PC1端能够ping通Untrust区域的PC2。分别在NGFW_A和NGFW_B上检查会话(选择“监控> 会话表”),确认会话是否备份成功。
HCIE-Security 防火墙高级技术上机指导书
1.4 业务接口工作在三层,上下行连接路由器的负载分担组网实验
实验目的
两台NGFW的业务接口都工作在三层,上下行分别连接路由器。NGFW与上下行路由器之间运行OSPF协议。
现在希望两台NGFW以负载分担方式工作。正常情况下,NGFW_A和NGFW_B共同转发流量。当其中一台NGFW出现故障时,另外一台NGFW转发全部业务,保证业务不中断。
组网设备
两台同型号的NGFW防火墙,四台路由器,两台PC。
实验拓扑图
PC210.1.0.10/24外网OSPFGE1/0/110.2.0.1/24NGFW_AGE1/0/310.3.0.1/24GE1/0/110.2.1.1/24NGFW_BGE1/0/310.3.1.1/24 GE1/0/7 10.10.0.2 GE1/0/7 10.10.0.1OSPF PC110.4.0.10/24内网业务通道备份通道
HCIE-Security 防火墙高级技术上机指导书
实验步骤(命令行)
Step 1 在NGFW_A上完成网络基本配置。
配置各接口的IP地址。
[NGFW_A] interface GigabitEthernet 1/0/1
[NGFW_A-GigabitEthernet1/0/1] ip address 10.2.0.1 24 [NGFW_A-GigabitEthernet1/0/1] quit [NGFW_A] interface GigabitEthernet 1/0/3
[NGFW_A-GigabitEthernet1/0/3] ip address 10.3.0.1 24 [NGFW_A-GigabitEthernet1/0/3] quit [NGFW_A] interface GigabitEthernet 1/0/7
[NGFW_A-GigabitEthernet1/0/7] ip address 10.10.0.1 24 [NGFW_A-GigabitEthernet1/0/7] quit 将各接口加入相应的安全区域。 [NGFW_A] firewall zone trust
[NGFW_A-zone-trust] add interface GigabitEthernet 1/0/3 [NGFW_A-zone-trust] quit [NGFW_A] firewall zone dmz
[NGFW_A-zone- dmz] add interface GigabitEthernet 1/0/7 [NGFW_A-zone- dmz] quit [NGFW_A] firewall zone untrust
[NGFW_A-zone- untrust] add interface GigabitEthernet 1/0/1 [NGFW_A-zone- untrust] quit
Step 2 在NGFW_A上配置OSPF,保证路由可达。
[NGFW_A] ospf 101 [NGFW_A -ospf-101] area 0
[NGFW_A -ospf-101-area-0.0.0.0] network 10.2.0.0 0.0.0.255 [NGFW_A -ospf-101-area-0.0.0.0] network 10.3.0.0 0.0.0.255 [NGFW_A -ospf-101-area-0.0.0.0] quit
Step 3 在NGFW_A上配置双机热备功能。
为了实现负载分担组网,需要配置状态为Active和Standby的VGMP组一起监控上下行业务接口。
[NGFW_A] interface GigabitEthernet 1/0/1 [NGFW_A-GigabitEthernet1/0/1] hrp track active [NGFW_A-GigabitEthernet1/0/1] hrp track standby [NGFW_A-GigabitEthernet1/0/1] quit [NGFW_A] interface GigabitEthernet 1/0/3
HCIE-Security 防火墙高级技术上机指导书
[NGFW_A-GigabitEthernet1/0/3] hrp track active [NGFW_A-GigabitEthernet1/0/3] hrp track standby [NGFW_A-GigabitEthernet1/0/3] quit
负载分担组网下,两台NGFW都转发流量,为了防止来回路径不一致,需要在两台NGFW上都配置会话快速备份功能。 [NGFW_A] hrp mirror session enable 指定心跳口并启用双机热备功能。
[NGFW_A] hrp interface GigabitEthernet 1/0/7 [NGFW_A] hrp enable
Step 4 完成NGFW_B的配置,建立双机热备状态。
NGFW_B和上述NGFW_A的配置基本相同,不同之处在于:
1) NGFW_B各接口的IP地址与NGFW_A各接口的IP地址不相同。 2) NGFW_B的OSPF路由发布的网段与NGFW_A不相同。
Step 5 在NGFW_A上配置安全策略。双机热备状态成功建立后,NGFW_A的安全策
略配置会自动备份到NGFW_B上。
配置安全策略,允许内网用户访问外网。 HRP_A[NGFW_A] security-policy
HRP_A[NGFW_A-policy-security] rule name policy_sec1
HRP_A[NGFW_A-policy-security-rule- policy_sec1] source-zone trust HRP_A[NGFW_A-policy-security-rule- policy_sec1 ] destination-zone untrust HRP_A[NGFW_A-policy-security-rule- policy_sec1 ] action permit
配置安全策略,允许NGFW与下行路由器(部署在trust区域)交互OSPF报文。
HRP_A[NGFW_A] security-policy
HRP_A[NGFW_A-policy-security] rule name policy_sec2
HRP_A[NGFW_A-policy-security-rule- policy_sec2] source-zone local trust HRP_A[NGFW_A-policy-security-rule- policy_sec2 ] destination-zone local trust HRP_A[NGFW_A-policy-security-rule- policy_sec2 ] action permit
配置安全策略,允许NGFW与上行路由器(部署在untrust区域)交互OSPF报文。
HRP_A[NGFW_A] security-policy
HRP_A[NGFW_A-policy-security] rule name policy_sec3
HRP_A[NGFW_A-policy-security-rule- policy_sec3] source-zone local untrust HRP_A[NGFW_A-policy-security-rule- policy_sec3 ] destination-zone local untrust HRP_A[NGFW_A-policy-security-rule- policy_sec3 ] action permit
Step 6 配置路由器。