防火墙双运营商链路冗余怎么配置?
我们单位有联通和移动两条通信线路,华为USG6000防火墙是出口设备(有两台需要做双机热备)。
前期人员将联通视为主线路接入到了主防火墙设备。移动视为备线路接入到了备防火墙设备。
主防火墙根据联通的IP做了NAT端口映射的转换,备防火墙根据移动的IP做了NAT端口映射的转换。
实际情况:只有联通的主线路可以使用,移动的几年了一直没有用到。
现在的需求是
1、解决主备防火墙的高可用性,实现双机热备功能。
2、当一条线路断掉时,不影响业务。
还有另外一个问题:一个域名可以解析为两个IP地址吗?
一、两台防火墙配置VRRP,主备模式
[FW1]vlan 100
[FW1]int g1/0/3
[FW1-GigabitEthernet1/0/3]portswitch //默认是L3接口,开启L2功能
[FW1-GigabitEthernet1/0/3]p l t //端口配置为trunk模式
[FW1-GigabitEthernet1/0/3]p t a v a //放行所有VLAN
[FW1-GigabitEthernet1/0/3]q
[FW1]int vlan 100
[FW1-Vlanif100]ip ad 192.168.100.11 24
[FW1-Vlanif100]vrrp vrid 1 virtual-ip 192.168.100.254 active //加入VGMP组,FW1为主
[FW1]firewall zone dmz //vlan100是放服务器的,所以划到dmz区域
[FW1-zone-dmz]add int vlan 100
[FW1-zone-dmz]q
FW2的配置就两处不同:
[FW2-Vlanif100]ip add 192.168.100.12 24
[FW2-Vlanif100]vrrp vrid 1 virtual-ip 192.168.100.254 standby //加入VGMP组,FW2为备
Display vrrp,查看vrrp配置是否正确:
二、防火墙配置上行链路
1、FW1配置PPPOE拨号:
interface Dialer0
link-protocol ppp
ppp chap user test
ppp chap password cipher huawei
mtu 1400
ip address ppp-negotiate
dialer user test
dialer bundle 1
dialer-group 1
firewall zone untrust
add interface Dialer 0
dialer-rule 1 ip permit
ip route-static 0.0.0.0 0 Dialer 0 //配置默认路由,PPPOE拨号的,没有固定的下一跳地址
2、FW2配置固定IP:
[FW2]int g1/0/2
[FW2-GigabitEthernet1/0/0]ip add 202.2.2.2 24
[FW2-GigabitEthernet1/0/0]q
[FW2]firewall zone untrust
[FW2-zone-untrust]add int g1/0/2
[FW2-zone-untrust]q
[FW2]ip route-static 0.0.0.0 0 202.2.2.1 //配置默认路由,下一跳是路由器接口IP
外部链路虽然配置好了,但是没有安全策略放行,是不能上网的。
三、防火墙配置下行链路
1、FW1的配置:
[FW1]vlan 111
[FW1]int vlan 111
[FW1-Vlanif111]ip add 172.16.111.11 24
[FW1-Vlanif111]ser ping permit
[FW1-Vlanif111]q
[FW1]firewall zone trust
[FW1-zone-trust]add int vlan 111
[FW1-zone-trust]q
[FW1]ospf router-id 172.1.1.11
[FW1-ospf-1]area 0
[FW1-ospf-1-area-0.0.0.0]net 192.168.100.11 0.0.0.0
[FW1-ospf-1-area-0.0.0.0]net 172.16.111.11 0.0.0.0
[FW1-ospf-1-area-0.0.0.0]q
2、FW2的配置:
[FW2]vlan 112
[FW2]int vlan 112
[FW2-Vlanif112]ip add 172.16.112.12 24
[FW2-Vlanif112]ser ping permit
[FW2-Vlanif112]q
[FW2]firewall zone trust
[FW2-zone-trust]add int vlan 112
[FW2-zone-trust]q
[FW2]ospf router-id 172.1.1.12
[FW2-ospf-1]area 0
[FW2-ospf-1-area-0.0.0.0]net 192.168.100.12 0.0.0.0
[FW2-ospf-1-area-0.0.0.0]net 172.16.112.12 0.0.0.0
[FW2-ospf-1-area-0.0.0.0]q
下面的核心交换机还没配置,这个时候,OSFP是起不来的,不急于查看。现在可以配置两台防火墙的心跳线了:
[FW1]int g1/0/0
[FW1-GigabitEthernet1/0/0]ip add 10.1.12.1 24
[FW1-GigabitEthernet1/0/0]q
[FW1]firewall zone trust
[FW1-zone-trust]undo add int g1/0/0
[FW1-zone-trust]q
[FW1]firewall zone dmz
[FW1-zone-dmz]add int g1/0/0
[FW1-zone-dmz]q
其实心跳线接口可以放在trunst区域,当然要放在DMZ区域也无可厚非。
[FW2]int g1/0/0
[FW2-GigabitEthernet1/0/0]ip add 10.1.12.2 24
[FW2-GigabitEthernet1/0/0]q
[FW2]firewall zone trust
[FW2-zone-trust]undo add interface g1/0/0
[FW2-zone-trust]q
[FW2]firewall zone dmz
[FW2-zone-dmz]add int g1/0/0
[FW2-zone-dmz]q
指定hrp链路,设置参数heartbeat-only,指定该备份通道只用于传输HRP控制协商报文,不备份连接状态,保证双机状态的稳定。
[FW1]hrp interface g1/0/0 remote 10.1.12.2 heartbeat-only
[FW2]hrp interface g1/0/0 remote 10.1.12.1 heartbeat-only
[FW2]hrp standby-device //设置FW2为备份设备
在hrp主设备上定义相关参数:
[FW1]hrp standby config enable //备用设备也可以参与配置。 默认standy设备不可以自行管理,必须从master设备同步配置
[FW1]hrp auto-sync config //开启配置命令和会话的自动同步,这个同步是相互的
[FW1]hrp mirror session enable //设置session的快速备份
[FW1]hrp timer hello 1000 //心跳线keepalive周期1sec,单位msec,默认就是1s一次
[FW1]hrp preempt delay 60 //如果Master设备故障恢复,需要保持60sec才可以恢复成Master身份,防止频繁震荡
[FW1]hrp preempt //开启恢复抢占
参数定义完成后,两端开启HRP
[FW1]hrp enable
[FW2]hrp enable
一个域名只能一个ip
双机热备,移动联通都得先接同一台防火墙?
可以实现,没必要做主备模式的防火墙,一个专线连接一个防火墙,nat所有地址都做,核心交换机是两台吗,如果是做vrrp,vrrp切换探测专线地址网关
不可以
1、可以,规划见如下拓扑图:需要在互联网线路和防火墙之间加入二层交换机,为了避免单点故障,需要联通和电信线路各接1个。
2、一个域名支持解析到多个IP,可以配置多条A记录解析。
您好!参考一下下图,上联直接:
1、解决主备防火墙的高可用性,实现双机热备功能。
做HA和主主(或主备)模式
2、当一条线路断掉时,不影响业务。
透明桥模式下,多搭一组上联的桥,防火墙上联口做好配置就行,平时把移动的端口down掉,联通的出问题就把该端口down掉,然后启用移动的端口
3、还有另外一个问题:一个域名可以解析为两个IP地址吗?
可以的,只要防火墙支持浮动IP就可以一个IP管理主备防火墙,这个需要问供应商了。
