H3C NGFW网关双主模式典型配置指南.docx

H3C NGFW网关双主模式典型配置指南.docx

《H3C NGFW网关双主模式典型配置指南.docx》由会员分享，可在线阅读，更多相关《H3C NGFW网关双主模式典型配置指南.docx（16页珍藏版）》请在冰豆网上搜索。

H3CNGFW网关双主模式典型配置指南

H3C盒式NGFW设备

出口网关双主模式典型指南

1简介

本文档介绍了H3C盒式NGFW设备出口网关双主典型配置举例。

2配置前提

本文档不严格与具体软、硬件版本对应，如果使用过程中与产品实际情况有差异，请参考相关产品手册，或以设备实际情况为准。

本文档中的配置均是在实验室环境下进行的配置和验证，配置前设备的所有参数均采用出厂时的缺省配置。

如果您已经对设备进行了配置，为了保证配置效果，请确认现有配置和以下举例中的配置不冲突。

本文档假设您已了解IRFLLB和链路聚合等特性。

3使用限制

∙在F1000系列防火墙中，最优选择相同型号的机型之间建立IRF。

∙组建IRF的两台F1000防火墙堆叠必须使用相同的软件版本。

∙F1000的IRF口可以使用前面板的GE光口或GE电口。

4配置举例

4.1组网需求

如图1所示，两台F1050组成IRF，内网用户通过防火墙下行链路聚合HASH分流到两台设备，在防火墙上通过链路负载均衡技术选路到电信网络和联通网络，在F1050上配置链路聚合本地优先，对本地转发流量优先从本设备出，避免横向流量。

由于有非对称场景，所以需要配置会话热备功能。

图1NGFW设备出口网关双主典型配置组网图

4.2

配置思路

∙在两台F1050之间建立IRF。

∙为了防止IRF链路故障导致IRF分裂，在网络中产生两个配置冲突的IRF，需要启用MAD检测功能。

将F1050_1的GE1/0/4和F1050_2的GE2/0/4BFDMAD检测。

∙将F1050_1的GE1/0/6和F1050_2的GE2/0/6配置为三层聚合口。

F1050_1的GE1/0/7配置为电信网络出接口，并添加到聚合组2中，F1050_2的GE2/0/7配置为联通网络出接口，同样添加到聚合组3中。

∙在防火墙上配置链路负载均衡将内网流量负载分担到两条链路中。

4.3使用版本

本举例是在F1050的Ess9316版本上进行配置和验证的。

4.4配置注意事项

F1050配置堆叠时注意配置顺序，保存配置后在激活堆叠口配置。

4.5配置步骤

4.5.1F1050IRF的配置步骤

#IRF的配置（两台F1050可以通过多个IRF口相连接，如下以GE1/0/9～GE2/0/9和GE1/0/22～GE2/0/22为例）

（1）F1050_1的配置

#配置成员号和优先级。

system-view

[F1050_1]irfmember1priority32

#配置F1050_1，配置IRF端口1/1，并将它与物理端口GE1/0/9和GE1/0/22绑定，并保存配置，激活IRF端口下的配置。

[F1050_1]interfaceGigabitEthernet1/0/9[F1050_1-GigabitEthernet1/0/9]shutdown[F1050_1-GigabitEthernet1/0/9]quit[F1050_1]interfaceGigabitEthernet1/0/22[F1050_1-GigabitEthernet1/0/22]shutdown[F1050_1-GigabitEthernet1/0/22]quit[F1050_1]irf-port1/1

[F1050_1-irf-port1/1]portgroupinterfaceGigabitEthernet1/0/9[F1050_1-irf-port1/1]portgroupinterfaceGigabitEthernet1/0/22[1050_1-irf-port1/1]quit

[F1050_1]interfaceGigabitEthernet1/0/9[F1050_1-GigabitEthernet1/0/9]undoshutdown[F1050_1-GigabitEthernet1/0/9]quit[F1050_1]interfaceGigabitEthernet1/0/22

[F1050_1-GigabitEthernet1/0/22]undoshutdown[F1050_1-GigabitEthernet1/0/22]quit[F1050_1]save

[F1050_1]irf-port-configurationactive

（2）F1050_2的配置

#配置成员号。

system-view

[F1050_2]irfmember1renumber2

Warning:

RenumberingthememberIDmayresultinconfigurationchangeorloss.Continue?

[Y/N]:

y

[F1050_2]quit

reboot

#F1050_2重新启动后，登录设备，设置IRF优先级。

system-view

[F1050_2]irfmember2priority1

#配置IRF端口2/2，并将它与物理端口GE2/0/9和GE2/0/22绑定，并保存配置，激活IRF端口下的配置。

[F1050_2]interfaceGigabitEthernet2/0/9[F1050_2-GigabitEthernet2/0/9]shutdown[F1050_2-GigabitEthernet2/0/9]quit[F1050_2]interfaceGigabitEthernet2/0/22[F1050_2-GigabitEthernet2/0/22]shutdown[F1050_2-GigabitEthernet2/0/22]quit[F1050_2]irf-port2/2

[F1050_2-irf-port2/2]portgroupinterfaceGigabitEthernet2/0/9[F1050_2-irf-port2/2]portgroupinterfaceGigabitEthernet2/0/22

[F1050_2-irf-port2/2]quit

[F1050_2]interfaceGigabitEthernet2/0/9[F1050_2-GigabitEthernet2/0/9]undoshutdown[F1050_2-GigabitEthernet2/0/9]quit[F1050_2]interfaceGigabitEthernet2/0/22

[F1050_2-GigabitEthernet2/0/22]undoshutdown[F1050_2-GigabitEthernet2/0/22]quit[F1050_2]save

[F1050_2]irf-port-configurationactive

4.5.2F1050聚合接口配置

#F1050下行配置三层聚合口，对下行应用流量进行分流到两台设备。

#开启聚合加速功能，双主模式下需要配置。

[F1050_1]link-aggregationglobalforwarding-accelerationenable

#F1050_1的GE1/0/6和F1050_2的GE2/0/6组成聚合口RAGG1。

[F1050_1]interfaceRoute-Aggregation1[F1050_1-Route-Aggregation1]quit[F1050_1]interfaceGigabitEthernet1/0/6

[F1050_1-GigabitEthernet1/0/6]portlink-aggregationgroup1[F1050_1-GigabitEthernet1/0/6]quit

[F1050_1]interfaceGigabitEthernet2/0/6

[F1050_1-GigabitEthernet2/0/6]portlink-aggregationgroup1[F1050_1-GigabitEthernet2/0/6]quit

#配置聚合口BAGG1IP地址。

[F1050_1]interfaceRoute-Aggregation1

[F1050_1-Route-Aggregation1]ipaddress192.168.1.25424[F1050_1-Route-Aggregation1]quit

#将聚合口加入到安全域trust中。

[F1050_1]security-zonenametrust

[F1050_1-security-zone-Trust]importinterfaceRoute-Aggregation1[F1050_1-security-zone-Trust]quit

4.5.3F1050链路负载均衡配置

#创建Link1和Link2所在isp1的链路组lg1，配置算法为轮转方式。

[F1050_1]loadbalancelink-grouplg1

[F1050_1-lb-lgroup-lg1]predictorround-robin[F1050_1-lb-lgroup-lg1]transparentenable[F1050_1-lb-lgroup-lg1]quit

#创建链路Link1、Link2，并属于链路组lg1。

[F1050_1]loadbalancelinklink-1

[F1050_1-lb-link-link-1]routerip10.152.2.254//电信[F1050_1-lb-link-link-1]link-grouplg1

[F1050_1-lb-link-link-1]quit[F1050_1]loadbalancelinklink-2

[F1050_1-lb-link-link-2]routerip10.152.3.254//联通

[F1050_1-lb-link-link-2]link-grouplg1[F1050_1-lb-link-link-2]quit

#全局下创建NAT地址池地址。

[F1050_1]natoutboundaddress-group1

[F1050_1-address-group-1]address10.153.1.1010.153.1.10[F1050_1-address-group-1]quit

[F1050_1]natoutboundaddress-group2

[F1050_1-address-group-1]address10.154.1.1010.154.1.10[F1050_1-address-group-1]quit

#链路link-1,link-2对应接口开启NAToutbound分别引用地址池地址1，2

[F1050_1]interfaceRoute-Aggregation2

[F1050_1-Route-Aggregation2]natoutboundaddress-group1[F1050_1-Route-Aggregation2]quit

[F1050_1]interfaceRoute-Aggregation3

[F1050_1-Route-Aggregation3]natoutboundaddress-group2[F1050_1-Route-Aggregation2]quit

#全局下开启slot1NAT端口负载分担功能。

在双机热备的负载分担场景下，开启NAT端口负载分

担功能后，两台设备各获得一半端口块资源，使相同私网IP地址在不同的成员设备上独占一定的端口资源，避免端口分配冲突。

未开启时，会有概率出现多个私网地址经NAT转换后使用了相同端口，造成会话冲突。

[F1050_1]natport-load-balanceenableslot1

#创建流分类class-1，基于应用组app-1和ACL3001匹配源IP为192.168.0.0/16网段的IP地址的HTTP流量。

[F1050_1]acladvanced3001

[F1050_1-acl-ipv4-adv-3001]rulepermitipsource192.168.0.00.0.255.255[F1050_1-acl-ipv4-adv-3001]quit

[F1050_1]app-groupapp-1

[F1050_1-app-group-app-1]includeapplicationhttp[F1050_1-app-group-app-1]quit

[F1050_1]loadbalanceclassclass-1typelink-generic[F1050_1-lbc-link-generic-class-1]matchacl3001[F1050_1-lbc-link-generic-class-1]matchapp-groupapp-1[F1050_1-lbc-link-generic-class-1]quit

#创建流动作action-1绑定链路组lg1。

[F1050_1]loadbalanceactionaction-1typelink-generic[F1050_1-lba-link-generic-action-1]link-grouplg1[F1050_1-lba-link-generic-action-1]quit

#创建LB策略绑定流分类和流动作。

[F1050_1]loadbalancepolicypolicy-1typelink-generic

[F1050_1-lbp-link-generic-policy-1]classclass-1actionaction-1[F1050_1-lbp-link-generic-policy-1]quit

#创建虚服务VS为全0网段，绑定LB策略，并使能虚服务。

开启会话热备。

[F1050_1]virtual-servervstypelink-ip

[F1050_1-vs-link-ip-vs]virtualipaddress0.0.0.00[F1050_1-vs-link-ip-vs]lb-policypolicy-1

[F1050_1-vs-link-ip-vs]serviceenable

#开启会话备份。

此项为必配项，保证非对称性流量能够转发。

[F1050_1-vs-link-ip-vs]connection-syncenable

#此项为可选，有持续性表项情况下配置。

[F1050_1-vs-link-ip-vs]sticky-syncenable[F1050_1-vs-link-ip-vs]quit

4.5.4F1050BFDMAD配置

[F1050_1]vlan30

[F1050_1]interfaceGigabitEthernet1/0/4

[F1050_1-GigabitEthernet1/0/4]portlink-modebridge[F1050_1-GigabitEthernet1/0/4]portaccessvlan30[F1050_1-GigabitEthernet1/0/4]quit

[F1050_1]interfaceGigabitEthernet2/0/4

[F1050_1-GigabitEthernet2/0/4]portlink-modebridge[F1050_1-GigabitEthernet2/0/4]portaccessvlan30[F1050_1-GigabitEthernet2/0/4]quit

[F1050_1]interfaceVlan-interface30

[1050-1-Vlan-interface30]madipaddress192.168.30.1255.255.255.0member1

[1050-1-Vlan-interface30]madipaddress192.168.30.2255.255.255.0member2[1050-1-Vlan-interface30]madbfdenable

[F1050_1-Vlan-interface30]quit[F1050_1]security-zonenametrust

[F1050_1-security-zone-Trust]importinterfaceVlan-interface30[F1050_1-security-zone-Trust]quit

4.6出接口及安全域及其他配置

（1）GE1/0/7、GE2/0/7配置IP地址并加入安全域untrust

system-view

[F1050_1]interfaceRoute-Aggregation2

[F1050_1-Route-Aggregation2]ipaddress10.152.2.124[F1050_1-Route-Aggregation2]quit

[F1050_1]interfaceGigabitEthernet1/0/7

[F1050_1-GigabitEthernet1/0/7]portlink-aggregationgroup2[F1050_1-GigabitEthernet1/0/7]quit

[F1050_1]interfaceRoute-Aggregation3

[F1050_1-Route-Aggregation3]ipaddress10.152.3.124[F1050_1-Route-Aggregation3]quit

[F1050_1]interfaceGigabitEthernet2/0/7

[F1050_1-GigabitEthernet2/0/7]portlink-aggregationgroup3[F1050_1-GigabitEthernet2/0/7]quit

[F1050_1]security-zonenameuntrust

[F1050_1-security-zone-Untrust]importinterfaceRoute-Aggregation2[F1050_1-security-zone-Untrust]importinterfaceRoute-Aggregation3[F1050_1-security-zone-Untrust]quit

（2）配置域间策略放行全部IP

[F1050_1]acladvanced3000

[F1050_1-acl-ipv4-adv-3000]rulepermitip[F1050_1-acl-ipv4-adv-3000]quit

[F1050_1]zone-pairsecuritysourcetrustdestinationuntrust[F1050_1-zone-pair-security-Trust-Untrust]packet-filter3000[F1050_1-zone-pair-security-Trust-Untrust]quit

[F1050_1]zone-pairsecuritysourcetrustdestinationlocal[F1050_1-zone-pair-security-Trust-Local]packet-filter3000[F1050_1-zone-pair-security-Trust-Local]quit

[F1050_1]zone-pairsecuritysourceuntrustdestinationlocal[F1050_1-zone-pair-security-Untrust-Local]packet-filter3000[F1050_1-zone-pair-security-Untrust-Local]quit

[F1050_1]zone-pairsecuritysourceuntrustdestinationtrust[F1050_1-zone-pair-security-Untrust-Trust]packet-filter3000[F1050_1-zone-pair-security-Untrust-Trust]quit

[F1050_1]zone-pairsecuritysourcelocaldestinationtrust[F1050_1-zone-pair-security-Local-Trust]packet-filter3000[F1050_1-zone-pair-security-Local-Trust]quit

[F1050_1]zone-pairsecuritysourcelocaldestinationuntrust[F1050_1-zone-pair-security-Local-Untrust]packet-filter3000[F1050_1-zone-pair-security-Local-Untrust]quit

（3）开启链路聚合本地优先

[F1050_1]link-aggregationload-sharingmodelocal-first

（4）开启会话备份

[F1050_1]sessionsynchronizationenable[F1050_1]sessionsynchronizationdnshttp

4.7验证配置

（1）查看两台防火墙形成的双机IRF信息

displayirf

MemberIDRolePriorityCPU-MacDescription

*1Master3250da-00eb-7ba1---

+2Standby150da-00eb-7bd5---

--------------------------------------------------

*indicatesthedeviceisthemaster.

+indicatesthedevicethroughwhichtheuserlogsin.

ThebridgeMACof