负载分担模式双机热备典型配置举例.docx
- 文档编号:6623269
- 上传时间:2023-01-08
- 格式:DOCX
- 页数:26
- 大小:361.94KB
负载分担模式双机热备典型配置举例.docx
《负载分担模式双机热备典型配置举例.docx》由会员分享,可在线阅读,更多相关《负载分担模式双机热备典型配置举例.docx(26页珍藏版)》请在冰豆网上搜索。
负载分担模式双机热备典型配置举例
负载分担模式双机热备典型配置举例
4.1 组网需求
在图36所示的防火墙动态路由OSPF双机热备组网中,需要实现:
∙ 通过配置等价路由,在主、备防火墙正常工作时,主、备防火墙可以负载分担内外网流量。
∙ 当其中一台防火墙故障或与两台交换机相连的某一条链路故障时,流量可以及时从两台防火墙切换至一台防火墙,从而保证新发起的会话能正常建立,当前正在进行的会话也不会中断,网络业务能够平稳运行。
图36负载分担模式双机热备组网图
设备
接口
IP地址
设备
接口
IP地址
FirewallA
GE0/1
10.100.1.93/29
SwitchA
Vlan-int30
10.100.1.90/29
GE0/2
111.8.10.197/29
Vlan-int40
4.1.1.4/24
FirewallB
GE0/1
10.100.1.94/29
Vlan-int41
5.1.1.4/24
GE0/2
111.8.10.198/29
FTPserver
-
3.1.1.5/24
SwitchB
Vlan-int50
111.8.10.193/29
HostA
-
4.1.1.5/24
Vlan-int60
3.1.1.4/24
HostB
-
5.1.1.5/24
4.2 配置思路
为了使数据流量能够负载分担通过防火墙进行转发,需要使防火墙的路由度量值保持一致。
4.3 使用版本
本举例是在U200-AR5135版本上进行配置和验证的。
4.4 配置注意事项
∙ 双机热备只支持两台设备进行备份。
∙ 双机热备的两台设备要求硬件配置和软件版本一致,并且要求接口卡的型号与所在的槽位一致,否则会出现一台设备备份过去的信息,在另一台设备上无法识别,或者找不到相关物理资源,从而导致流量切换后报文转发出错或者失败。
∙ 在双机热备页面进行配置后,如果没有提交配置就单击<修改备份接口>按钮进入备份接口配置页面,则对双机热备页面进行的配置会丢失。
∙ 双机热备的两台设备上的备份接口之间可以通过转发设备(如:
路由器、交换机、HUB)进行中转,但是必须保证经过转发设备后报文携带的Tag为备份VLAN的VLANTag。
4.5 配置步骤
4.5.1 FirewallA的配置
1.通过Web方式配置
(1) 配置接口GigabitEthernet0/1、GigabitEthernet0/2接口的IP地址。
#在导航栏中选择“设备管理>接口管理”。
点击接口对应的编辑按钮“
”,进入“接口编辑”配置页面。
#配置接口工作在“三层”模式以及IP地址。
#点击<确定>按钮,完成配置。
图37配置接口GigabitEthernet0/1的IP地址
图38配置接口GigabitEthernet0/2的IP地址
(2) 将接口加入安全域。
#在导航栏中选择“设备管理>安全域”。
点击Trust域对应的编辑按钮“
”,将接口GigabitEthernet0/1加入Trust域。
图39将接口GigabitEthernet0/1加入Trust域
#点击Untrust域对应的编辑按钮“
”,将接口GigabitEthernet0/2加入Utrust域。
图40将接口GigabitEthernet0/2加入Untrust域
#配置完成后,Web页面显示如下:
图41将接口加入安全域后的页面显示
(3) 配置域间策略。
#在导航栏中选择“防火墙>安全策略>域间策略”。
点击<新建>按钮,配置Untrust域到Trust域的域间策略:
图42配置域间策略
(4) 配置OSPF路由。
#在导航栏中选择:
“网络管理>路由管理>OSPF”。
在“全局配置”页签,勾选“启用OSPF协议”和“引入静态路由”,然后点击<确定>按钮,使能全局OSPF和引入静态路由。
图43OSPF全局配置
#在“区域配置”页签,点击<新建>按钮,进入“OSPF区域配置”页面。
图44进入“OSPF区域配置”页面
#新建OSPF区域0,区域类型为“普通”,输入网段地址为“111.8.10.0”,选择子网掩码为“0.0.0.255”,单击“<新增网段>按钮。
单击<确定>按钮完成配置。
图45新建OSPF区域0
#新建OSPF区域1,区域类型均为“普通”,输入网段地址为“10.100.1.0”,选择子网掩码为“0.0.0.255”,单击<新增网段>按钮。
单击<确定>按钮完成配置。
图46新建OSPF区域1
#新建完OSPF区域后的页面显示:
图47新建OSPF区域后的页面显示
(5) 使能双机热备。
#在导航栏中选择“高可靠性>双机热备”。
#勾选“使能双机热备功能”,使能双机热备。
#备份类型选择“支持非对称路径”。
#点击<修改备份接口>按钮,添加备份接口GigabitEthernet0/3。
#点击<确定>按钮,完成配置。
图48使能双机热备并添加备份接口
2.通过命令行方式配置
(1) 配置接口GigabitEthernet0/1。
[FirewallA]interfaceGigabitEthernet0/1
[FirewallA-GigabitEthernet0/1]portlink-moderoute
[FirewallA-GigabitEthernet0/1]ipaddress10.100.1.93255.255.255.248
[FirewallA-GigabitEthernet0/1]quit
(2) 配置接口GigabitEthernet0/2。
[FirewallA]interfaceGigabitEthernet0/2
[FirewallA-GigabitEthernet0/2]portlink-moderoute
[FirewallA-GigabitEthernet0/2]ipaddress111.8.10.197255.255.255.248
(3) 配置域间策略。
#创建源安全域Untrust到目的安全域Trust的域间实例,并创建域间策略规则0。
[FirewallA]interzonesourceUntrustdestinationTrust
[FirewallA-interzone-Untrust-Trust]rule0permitlogging
#引用名为any_address的源IP地址对象、名为any_address的目的IP地址对象和名为any_service的服务对象。
[FirewallA-interzone-Untrust-Trust-rule-0]source-ipany_address
[FirewallA-interzone-Untrust-Trust-rule-0]destination-ipany_address
[FirewallA-interzone-Untrust-Trust-rule-0]serviceany_service
#使能该域间策略规则。
[FirewallA-interzone-Untrust-Trust-rule-0]ruleenable
[FirewallA-interzone-Untrust-Trust-rule-0]quit
(4) 配置双机热备。
#使能双机热备业务备份功能,且支持非对称路径。
[FirewallA]dhbkenablebackup-typedissymmetric-path
#将接口GigabitEthernet0/3配置为备份接口。
[FirewallA]dhbkinterfacegigabitethernet0/3vlan4094
(5) 配置OSPF路由。
#创建OSPF区域0,并且包含网段111.8.10.0/24。
[FirewallA]ospf1
[FirewallA-ospf-1]area0
[FirewallA-ospf-1-area-0.0.0.0]network111.8.10.00.0.0.255
[FirewallA-ospf-1-area-0.0.0.0]quit
#创建OSPF区域1,并且包含网段10.100.1.0/24。
[FirewallA-ospf-1]area1
[FirewallA-ospf-1-area-0.0.0.1]network10.100.1.00.0.0.255
[FirewallA-ospf-1-area-0.0.0.1]quit
[FirewallA-ospf-1]quit
(6) 配置缺省路由(如果检查路由表失败,将使用缺省路由进行报文转发)。
[FirewallA]iproute-static0.0.0.00.0.0.0111.8.10.193
4.5.2 FirewallB配置
1.通过Web方式配置
(1) 配置接口GigabitEthernet0/1、GigabitEthernet0/2接口的IP地址。
#在导航栏中选择“设备管理>接口管理”。
点击接口对应的编辑按钮“
”,进入“接口编辑”配置页面。
#配置接口工作在“三层”模式以及IP地址。
#点击<确定>按钮,完成配置。
图49配置接口GigabitEthernet0/1的IP地址
图50配置接口GigabitEthernet0/2的IP地址
(2) 将接口加入安全域。
#在导航栏中选择“设备管理>安全域”。
点击Trust域对应的编辑按钮“
”,将接口GigabitEthernet0/1加入Trust域。
图51将接口GigabitEthernet0/1加入Trust域
#点击Untrust域对应的编辑按钮“
”,将接口GigabitEthernet0/2加入Utrust域。
图52将接口GigabitEthernet0/2加入Untrust域
#配置完成后,Web页面显示如下:
图53将接口加入安全域后的页面显示
(3) 配置域间策略。
#在导航栏中选择“防火墙>安全策略>域间策略”。
点击<新建>按钮,配置Untrust域到Trust域的域间策略:
图54配置域间策略
(4) 配置OSPF路由。
#在导航栏中选择:
“网络管理>路由管理>OSPF”。
在“全局配置”页签,勾选“启用OSPF协议”和“引入静态路由”,然后点击<确定>按钮,使能全局OSPF和引入静态路由。
图55OSPF全局配置
#在“区域配置”页签,点击<新建>按钮,进入“OSPF区域配置”页面。
图56进入“OSPF区域配置”页面
#新建OSPF区域0,区域类型为“普通”,输入网段地址为“111.8.10.0”,选择子网掩码为“0.0.0.255”,单击<新增网段>按钮。
单击<确定>按钮完成配置。
图57新建OSPF区域0
#新建OSPF区域1,区域类型均为“普通”,输入网段地址为“10.100.1.0”,选择子网掩码为“0.0.0.255”,单击<新增网段>按钮。
单击<确定>按钮完成配置。
图58新建OSPF区域1
#新建完OSPF区域后的页面显示:
图59新建OSPF区域后的页面显示
(5) 使能双机热备。
#在导航栏中选择“高可靠性>双机热备”,进入双机热备配置页面。
#勾选“使能双机热备功能”,使能双机热备。
#备份类型选择“支持非对称路径”。
#点击<修改备份接口>按钮,添加备份接口GigabitEthernet0/3。
#点击<确定>按钮,完成配置。
图60双机热备配置页面
2.通过命令行方式配置
(1) 配置接口GigabitEthernet0/1的IP地址。
[FirewallB]interfaceGigabitEthernet0/1
[FirewallB-GigabitEthernet0/1]portlink-moderoute
[FirewallB-GigabitEthernet0/1]ipaddress10.100.1.94255.255.255.248
[FirewallB-GigabitEthernet0/1]quit
(2) 配置接口GigabitEthernet0/2的IP地址。
[FirewallB]interfaceGigabitEthernet0/2
[FirewallB-GigabitEthernet0/2]portlink-moderoute
[FirewallB-GigabitEthernet0/2]ipaddress111.8.10.198255.255.255.248
[FirewallB-GigabitEthernet0/2]quit
(3) 配置域间策略。
#创建源安全域Untrust到目的安全域Trust的域间实例,并创建域间策略规则0。
[FirewallB]interzonesourceUntrustdestinationTrust
[FirewallB-interzone-Untrust-Trust]rule0permitlogging
#引用名为any_address的源IP地址对象、名为any_address的目的IP地址对象和名为any_service的服务对象。
[FirewallB-interzone-Untrust-Trust-rule-0]source-ipany_address
[FirewallB-interzone-Untrust-Trust-rule-0]destination-ipany_address
[FirewallB-interzone-Untrust-Trust-rule-0]serviceany_service
#使能该域间策略规则。
[FirewallB-interzone-Untrust-Trust-rule-0]ruleenable
[FirewallB-interzone-Untrust-Trust-rule-0]quit
(4) 配置双机热备。
#使能双机热备业务备份功能,且支持非对称路径。
[FirewallB]dhbkenablebackup-typedissymmetric-path
#将接口GigabitEthernet0/3配置为备份接口。
[FirewallB]dhbkinterfacegigabitethernet0/3vlan4094
(5) 配置OSPF路由。
[FirewallB]ospf1
#创建OSPF区域0,并且包含网段111.8.10.0/24。
[FirewallB-ospf-1]area0
[FirewallB-ospf-1-area-0.0.0.0]network111.8.10.00.0.0.255
[FirewallB-ospf-1-area-0.0.0.0]quit
#创建OSPF区域1,并且包含网段10.100.1.0/24。
[FirewallB-ospf-1]area1
[FirewallB-ospf-1-area-0.0.0.1]network10.100.1.00.0.0.255
[FirewallB-ospf-1-area-0.0.0.1]quit
[FirewallB-ospf-1]quit
(6) 配置缺省路由(如果检查路由表失败,将使用缺省路由进行报文转发)。
[FirewallB]iproute-static0.0.0.00.0.0.0111.8.10.193
4.5.3 SwitchA的配置
#创建VLAN30、40和41。
[SwitchA]vlan30
[SwitchA-vlan30]vlan40to41
[SwitchA-vlan30]quit
#创建VLAN接口30,并配置IP地址。
[SwitchA]interfaceVlan-interface30
[SwitchA-Vlan-interface30]ipaddress10.100.1.90255.255.255.248
[SwitchA-Vlan-interface30]quit
#创建VLAN接口40,并配置IP地址。
[SwitchA]interfaceVlan-interface40
[SwitchA-Vlan-interface40]ipaddress4.1.1.4255.255.255.0
[SwitchA-Vlan-interface40]quit
#创建VLAN接口41,并配置IP地址。
[SwitchA]interfaceVlan-interface41
[SwitchA-Vlan-interface41]ipaddress5.1.1.4255.255.255.0
[SwitchA-Vlan-interface41]quit
#配置Access接口GigabitEthernet1/0/7工作在二层模式,并加入VLAN30。
[SwitchA]interfaceGigabitEthernet1/0/7
[SwitchA-GigabitEthernet1/0/7]portlink-modebridge
[SwitchA-GigabitEthernet1/0/7]portaccessvlan30
[SwitchA-GigabitEthernet1/0/7]quit
#配置Access接口GigabitEthernet1/0/8工作在二层模式,并加入VLAN30。
[SwitchA]interfaceGigabitEthernet1/0/8
[SwitchA-GigabitEthernet1/0/8]portlink-modebridge
[SwitchA-GigabitEthernet1/0/8]portaccessvlan30
[SwitchA-GigabitEthernet1/0/8]quit
#配置Access接口GigabitEthernet1/0/9工作在二层模式,并加入VLAN40。
[SwitchA]interfaceGigabitEthernet1/0/9
[SwitchA-GigabitEthernet1/0/9]portlink-modebridge
[SwitchA-GigabitEthernet1/0/9]portaccessvlan40
[SwitchA-GigabitEthernet1/0/9]quit
#配置Access接口GigabitEthernet1/0/10工作在二层模式,并加入VLAN41。
[SwitchA]interfaceGigabitEthernet1/0/10
[SwitchA-GigabitEthernet1/0/10]portlink-modebridge
[SwitchA-GigabitEthernet1/0/10]portaccessvlan41
[SwitchA-GigabitEthernet1/0/10]quit
#启动OSPF进程。
[SwitchA]ospf1
#创建OSPF区域并进入OSPF区域视图。
[SwitchA-ospf-1]area0.0.0.1
#配置OSPF区域所包含的网段,并在指定网段的接口上使能OSPF。
[SwitchA-ospf-1-area-0.0.0.1]network4.1.1.00.0.0.255
[SwitchA-ospf-1-area-0.0.0.1]network10.100.1.00.0.0.255
[SwitchA-ospf-1-area-0.0.0.1]network5.1.1.00.0.0.255
[SwitchA-ospf-1-area-0.0.0.1]quit
[SwitchA-ospf-1]quit
4.5.4 SwitchB的配置
#创建VLAN50和60。
[SwitchB]vlan50
[SwitchB-vlan50]vlan60
[SwitchB-vlan60]quit
#创建VLAN接口50,并配置IP地址。
[SwitchB]interfaceVlan-interface50
[SwitchB-Vlan-interface50]ipaddress111.8.10.193255.255.255.248
[SwitchB-Vlan-interface50]quit
#创建VLAN接口60,并配置IP地址。
[SwitchB]interfaceVlan-interface60
[SwitchB-Vlan-interface60]ipaddress3.1.1.4255.255.255.0
[SwitchB-Vlan-interface60]quit
#配置Access接口GigabitEthernet1/0/7工作在二层模式,并加入VLAN50。
[SwitchB]interfaceGigabitEthernet1/0/7
[SwitchB-GigabitEthernet1/0/7]portlink-modebridge
[SwitchB-GigabitEthernet1/0/7]portaccessvlan50
[SwitchB-GigabitEthernet1/0/7]quit
#配置Access接口GigabitEthernet1/0/8工作在二层模式,并加入VLAN50。
[SwitchB]interfaceGigabitEthernet1/0/8
[SwitchB-GigabitEthernet1/0/8]portlink-modebridge
[SwitchB-GigabitEthernet1/0/8]portaccessvlan50
[SwitchB-GigabitEthe
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 负载 分担 模式 双机 典型 配置 举例