? SecPath核心防火墙双机热备典型配置举例 # vlan 11 to 14 # interface Vlan-interface11 ip address 15.1.1.2 255.255.255.0 # interface Vlan-interface12 ip address 16.1.1.2 255.255.255.0 # interface Vlan-interface13 ip address 150.1.1.1 255.255.255.0
# interface GigabitEthernet1/0/11 port access vlan 11 # interface GigabitEthernet1/0/12 port access vlan 12 # interface GigabitEthernet1/0/13 port access vlan 13 # interface GigabitEthernet1/0/14 port access vlan 14
# ip route-static 0.0.0.0 0.0.0.0 15.1.1.1 preference 60 ip route-static 0.0.0.0 0.0.0.0 16.1.1.1 preference 100
S56B 配置 :
#
[lsw-down]dis cu
sysname lsw-down # vlan 11 to 14 # interface Vlan-interface11 ip address 15.1.1.3 255.255.255.0 # interface Vlan-interface12 ip address 16.1.1.3 255.255.255.0 # interface Vlan-interface13 ip address 160.1.1.1 255.255.255.0
#
杭州华三通信技术有限公司
www.h3c.com.cn
第11页, 共33页
? SecPath核心防火墙双机热备典型配置举例 interface GigabitEthernet1/0/11 port access vlan 11 # interface GigabitEthernet1/0/12 port access vlan 12 # interface GigabitEthernet1/0/13 port access vlan 13 # interface GigabitEthernet1/0/14
port access vlan 14 # ip route-static 0.0.0.0 0.0.0.0 15.1.1.1 preference 60 ip route-static 0.0.0.0 0.0.0.0 16.1.1.1 preference 100
B.WEB 配置:
1.首先把F5000A相关接口加入域;
2.把需要联动的接口加入到同一联动组。一旦其中一个接口down丢,组内其他接口同样down丢。配置切换时F5000A结合透明方式接口组联动来实现
杭州华三通信技术有限公司
www.h3c.com.cn
第12页, 共33页
? SecPath核心防火墙双机热备典型配置举例
3. 验证结果
?
从PC-B到PC-A,从PC-C到PC-A通过默认路由,默认都走F5000A-A
traceroute to 155.1.1.10(155.1.1.10) 30 hops max,40 bytes packet Press CTRL_C to break
1 160.1.1.1 2 ms 1 ms 1 ms 2 15.1.1.1 1 ms 0 ms 1 ms 3 155.1.1.10 0 ms 1 ms 0 ms
traceroute to 155.1.1.10(155.1.1.10) 30 hops max,40 bytes packet 1 150.1.1.1 11 ms 5 ms 6 ms 2 15.1.1.1 19 ms 3 ms 8 ms 3 155.1.1.10 9 ms 3 ms 3 ms
?
当F5000A-A出现故障后,则切换到F5000A-B上
[PC-B]tracert 155.1.1.10
traceroute to 155.1.1.10(155.1.1.10) 30 hops max,40 bytes packet Press CTRL_C to break
1 160.1.1.1 1 ms 2 ms 1 ms 2 16.1.1.1 0 ms 1 ms 0 ms 3 155.1.1.10 1 ms 1 ms 0 ms [PC-C]tracert 155.1.1.10
traceroute to 155.1.1.10(155.1.1.10) 30 hops max,40 bytes packet 1 150.1.1.1 11 ms 4 ms 7 ms 2 16.1.1.1 19 ms 3 ms 9 ms 3 155.1.1.10 8 ms 3 ms 4 ms
杭州华三通信技术有限公司
www.h3c.com.cn
第13页, 共33页
? SecPath核心防火墙双机热备典型配置举例 4. 注意事项
?
本配置完成,清除防火墙中所做的配置,以防对其他配置产生影响。
4.3.2 透明模式+负载分担模式
1. 功能简述
双主组网就是两台防火墙都处于工作状态,每台设备负责转发一部分流量,实现负载分担,而当任一台设备Down机后,另一台设备会接管全部工作。 2. 典型配置步骤(组网 图2 )
1、 负载分担模式和主备模式区别在于路由配置。
2、 路由器F1000E上配置两个网段(15.1.1.1和16.1.1.1)对应交换机的vlan11、
vlan12两个网段;提供两个网关(15.1.1.1和16.1.1.1), F1000E 配置 :
[f1000e]dis cu
# interface GigabitEthernet0/2 port link-mode route
ip address 15.1.1.1 255.255.255.0 # interface GigabitEthernet0/3 port link-mode route
ip address 16.1.1.1 255.255.255.0
# ip route-static 150.1.1.0 255.255.255.0 15.1.1.2
ip route-static 150.1.1.0 255.255.255.0 16.1.1.2 preference 100 ip route-static 160.1.1.0 255.255.255.0 16.1.1.3
ip route-static 160.1.1.0 255.255.255.0 15.1.1.3 preference 100
3、 S56A和S56B上配置静态路由分别指向这两个网关,配置两条路由,使优先级
不同。为了实现当链路断时,使优先级高的静态路由失效,配置切换时结合透明方式接口组联动来实现。F1000E上分别指回程路由,使防火墙负载分担。 S56A 配置 :
# vlan 11 to 14 #
[lsw-up]dis cu
杭州华三通信技术有限公司
www.h3c.com.cn
第14页, 共33页
? SecPath核心防火墙双机热备典型配置举例 interface Vlan-interface11 ip address 15.1.1.2 255.255.255.0 # interface Vlan-interface12 ip address 16.1.1.2 255.255.255.0 # interface Vlan-interface13 ip address 150.1.1.1 255.255.255.0
# interface GigabitEthernet1/0/11 port access vlan 11 # interface GigabitEthernet1/0/12 port access vlan 12 # interface GigabitEthernet1/0/13 port access vlan 13 # interface GigabitEthernet1/0/14 port access vlan 14
# ip route-static 0.0.0.0 0.0.0.0 15.1.1.1 preference 60 ip route-static 0.0.0.0 0.0.0.0 16.1.1.1 preference 100
S56B 配置 :
#
[lsw-down]dis cu
sysname lsw-down # vlan 11 to 14 # interface Vlan-interface11 ip address 15.1.1.3 255.255.255.0 # interface Vlan-interface12 ip address 16.1.1.3 255.255.255.0 # interface Vlan-interface13 ip address 160.1.1.1 255.255.255.0
# interface GigabitEthernet1/0/11 port access vlan 11 #
杭州华三通信技术有限公司
www.h3c.com.cn
第15页, 共33页