返回
防火墙技术案例5_双机热备(负载分担)组网下的IPSec配置.doc

防火墙技术案例5_双机热备(负载分担)组网下的IPSec配置.doc

ID:50461287

大小:936.29 KB

页数:8页

时间:2020-03-06

防火墙技术案例5_双机热备(负载分担)组网下的IPSec配置.doc_第1页
防火墙技术案例5_双机热备(负载分担)组网下的IPSec配置.doc_第2页
防火墙技术案例5_双机热备(负载分担)组网下的IPSec配置.doc_第3页
防火墙技术案例5_双机热备(负载分担)组网下的IPSec配置.doc_第4页
防火墙技术案例5_双机热备(负载分担)组网下的IPSec配置.doc_第5页
资源描述:

《防火墙技术案例5_双机热备(负载分担)组网下的IPSec配置.doc》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、【防火墙技术案例5】双机热备(负载分担)组网下的IPSec配置论坛的小伙伴们,大家好。强叔最近已经开始在“侃墙”系列中为各位小伙伴们介绍各种VPN了。说到VPN,小伙伴们肯定首先想到的是最经典的IPSecVPN,而且我想大家对IPSec的配置也是最熟悉的。但是如果在两台处于负载分担状态下的防火墙上部署IPSecVPN又该如何操作呢?有什么需要注意的地方呢?本期强叔就为大家介绍如何在双机热备的负载分担组网下配置IPSec。 【组网需求】如下图所示,总部防火墙NGFW_C和NGFW_D以负载分担方式工作,其上下行接口都工

2、作在三层,并与上下行路由器之间运行OSPF协议。(本例中,NGFW是下一代防火墙USG6600的简称,软件版本为USG6600V100R001C10)现要求分支用户访问总部的流量受IPSec隧道保护,且NGFW_C处理分支A发送到总部的流量,NGFW_D处理分支B发送到总部的流量。当NGFW_C或NGFW_D中一台防火墙出现故障时,分支发往总部的流量能全部切换到另一台运行正常的防火墙。  【需求分析】针对以上需求,强叔先带小伙们做一个简要分析,分析一下我们面临的问题以及解决这个问题的方法。1、  如何使两台防火墙形成

3、双机热备负载分担状态?两台防火墙的上下行业务接口工作在三层,并且连接三层路由器,在这种情况下,就需要在防火墙上配置VGMP组(即hrptrack命令)来监控上下行业务接口。如果是负载分担状态,则需要在每台防火墙上调动两个VGMP组(active组和standby组)来监控业务接口。2、  分支与总部之间如何建立IPSec隧道?正常状态下,根据组网需求,需要在NGFW_A与NGFW_C之间建立一条隧道,在NGFW_B与NGFW_D之间建立一条隧道。当NGFW_C与NGFW_D其中一台防火墙故障时,NGFW_A和NGFW

4、_B都会与另外一台防火墙建立隧道。3、总部的两台防火墙如何对流量进行引导?总部的两台防火墙(NGFW_C与NGFW_D)通过路由策略来调整自身的Cost值,从而实现正常状态下来自NGFW_A的流量通过NGFW_C转发,来自NGFW_B的流量通过NGFW_D转发,故障状态下来自NGFW_A和NGFW_B的流量都通过正常运行的防火墙转发。【配置步骤】1、  配置双机热备功能。在配置双机热备功能前,小伙伴们需要按照上图配置各接口的IP地址,并将各接口加入相应的安全区域,然后配置正确的安全策略,允许网络互通。由于这些不是本案

5、例的重点,因此不在此赘述。完成以上配置后,就要开始配置双机热备功能了。大家可以看到形成双机的两台防火墙(NGFW_C和NGFW_D负载分担处理流量)的上下行接口都工作在三层,而且连接的是路由器。这无疑是非常经典的“防火墙业务接口工作在三层,上下行连接路由器的负载分担组网”。各位小伙伴们可以在华为的任何防火墙资料中看到此经典举例,无论是命令行配置举例还是Web配置举例,大家想怎么看就怎么看~因此强叔只在此给出双机热备的命令行配置和关键解释。# hrpmirrorsessionenable     //负载分担组网必须配

6、置此命令 hrpenable                 //启用双机热备功能 hrpospf-costadjust-enable    //根据主备状态调整OSPF的COST值  hrpinterfaceGigabitEthernet1/0/7    //指定心跳接口#interfaceGigabitEthernet1/0/1 ipaddress10.2.0.1255.255.255.0 hrptrackactive//业务接口工作在三层,上下行连接路由器的组网需要配置hrptrack hrptrackstan

7、dby   //负载分担组网需要同时配置hrptrackactive和standby#interfaceGigabitEthernet1/0/3 ipaddress10.3.0.1255.255.255.0 hrptrackactive hrptrackstandby#interfaceGigabitEthernet1/0/7 ipaddress10.10.0.1255.255.255.0【强叔点评】各位小伙伴们在配置双机热备功能时,首先要确定的是防火墙业务接口的工作状态和上下行连接的设备,然后据此采用不同的命令进行

8、配置。强叔在此先为大家简单总结下,如果小伙伴们想深入学习,可以关注后面几期的“侃墙”系列。组网配置命令业务接口工作在三层,上下行连接二层设备VRRP相关命令业务接口工作在三层,上下行连接三层设备在接口视图下配置(hrptrack)业务接口工作在二层,上下行连接三层设备在VLAN视图下配置(hrptrack) 2、  配置IPSec。【强叔点评】

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。