HCIE-SecurityDay17:防⽕墙双机热备实验(五):防⽕墙旁
双机热备⽐较常见的是旁挂部署在数据中⼼核⼼交换机上,且两台防⽕墙之间形成双机热备。
⽬录
旁挂组⽹的优点
1、可以在不改变现有⽹络物理拓扑的情况下,将防⽕墙部署到⽹络中。
2、可以有选择低将通过核⼼交换机的流量引导到防⽕墙上,即对需要进⾏安全检测的流量引导到防⽕墙上进⾏处理,对不需要进⾏安全检测的流量直接通过交换机转发。 将流量由交换机引导到旁挂的防⽕墙上主要由两种常见⽅式:静态路由⽅式和策略路由⽅式,这⼀节 就是通过实验验证静态路由⽅式。
⼀般核⼼交换机与上⾏路由器和下⾏汇聚交换机之间运⾏ospf,由于ospf的路由优先级⾼于静态路由,所以流量到达核⼼交换机后会根据ospf路由直接被转发到上⾏或者下⾏的设备,⽽不会根据静态路由被引流到防⽕墙上。
所以必须在核⼼交换机上配置vrf功能,将⼀台交换机虚拟成连接上⾏的交换机public和连接下⾏的交换机vrf。将两个交换机完全隔离出来,流量就会根据静态路由被送到防⽕墙上。 实验五:防⽕墙旁挂交换机,交换机静态路由引流
这个实验是⽐较综合的,主要的难点其实在核⼼交换机的配置上⾯,以及汇聚层stp和vrrp的配合。防⽕墙部分其实是⽐较简单的,⽆⾮是配置了两条上下⾏的静态路由,以及配置了vrrp和hrp。
高斯加速器
需求和拓扑
两台FW旁挂在数据中⼼的核⼼交换机侧,保证数据中⼼⽹络安全。通过核⼼交换机的流量都会被引流到旁挂的FW上进⾏安全检测,引流的⽅式为静态路由⽅式。企业希望两台FW以主备备份⽅式⼯作。正常情况下,流量通过FW_A转发。当FW_A出现故障时,流量通过FW_B 转发,保证业务不中断。
分析
如果希望通过静态路由⽅式将经过核⼼交换机的流量引导到FW,则需要在核⼼交换机上配置静态路由,下⼀跳为防⽕墙接⼝的地址。但是由于核⼼交换机与上⾏路由器和下⾏汇聚交换机之间运⾏OSPF,因此流量到达核⼼交换机后会直接被转发到上⾏或下⾏设备,⽽不会被引流到FW上。
所以如果希望通过静态路由引流,就必须在核⼼交换机上配置VRF功能,将⼀台交换机虚拟成连接上⾏的交换机(根交换机Public)和连接下⾏的交换机(虚拟交换机VRF)。由于虚拟出的两个交换机完全隔离开来,流量就会被送到FW上。即虚拟出的交换机分别和上⾏路由器之间运⾏ospf,和下⾏汇聚交换机之间运⾏ospf,但是交换机--防⽕墙--交换机之间运⾏静态路由。那么就需要在防⽕墙和⼀份为⼆的交换机各⾃配置vrrp备份组,使得它们可以通过vrrp备份组的虚拟地址进⾏通信。在FW上需要配置静态路由,下⼀跳分别为VRRP备份组3和VRRP备份组4的地址。在Public上配置静态路由,下⼀跳为VRRP备份组2的地址。在VRF上配置静态路由,下⼀跳为VRRP备份组1的地址。
对拓扑进⾏抽象
操作步骤
1、公⽹部分
1.1 接⼝地址配置
/
/r1和r2主要是对接⼝地址和环回⼝地址进⾏配置,保证后续路由可通[r1]dis cu interface
interface GigabitEthernet0/0/0
ip address 12.1.1.1 255.255.255.0
interface GigabitEthernet0/0/1
ip address 1.1.1.1 255.255.255.0
interface LoopBack0中继机
ip address 11.11.11.11 255.255.255.255
<r2>dis cu interface
interface GigabitEthernet0/0/0
ip address 12.1.1.2 255.255.255.0
interface GigabitEthernet0/0/1
ip address 2.1.1.1 255.255.255.0
interface LoopBack0
ip address 22.22.22.22 255.255.255.255
1.2 动态路由配置
95202272<r1>dis cu con ospf
[V200R003C00]
#
ospf 1 router-id 1.1.1.1
area 0.0.0.0
network 1.1.1.1 0.0.0.0
network 11.11.11.11 0.0.0.0
network 12.1.1.1 0.0.0.0
//r2类似
2、防⽕墙部分
2.1 接⼝地址和安全区域配置
//接⼝地址
<f1>dis cu inter
interface GigabitEthernet1/0/0
ip address 10.0.0.1 255.255.255.0
interface GigabitEthernet1/0/1
ip address 10.1.0.1 255.255.255.0
interface GigabitEthernet1/0/6
ip address 10.10.0.1 255.255.255.0
//安全区域
dis cu con zone
firewall zone trust
add interface GigabitEthernet0/0/0
add interface GigabitEthernet1/0/0
firewall zone untrust
add interface GigabitEthernet1/0/1
firewall zone dmz
add interface GigabitEthernet1/0/6
//f2配置类似
图像拼接
2.2 静态路由配置
//f1
<f1>dis cu | in ip rou
2022-02-19 12:57:48.310
ip route-static 0.0.0.0 0.0.0.0 10.1.0.6
ip route-static 192.168.0.0 255.255.0.0 10.0.0.6
//f2类似
tpe薄膜
2.3、双机热备配置
2.3.1 配置vrrp备份组
interface GigabitEthernet1/0/0
vrrp vrid 1 virtual-ip 10.0.0.3 active
interface GigabitEthernet1/0/1
vrrp vrid 2 virtual-ip 10.1.0.3 active
2.3.2 配置hrp检测
hrp interface GigabitEthernet1/0/6 remote 10.10.0.2 2.3.3 启动双机热备
hrp
2.4、配置安全策略
security-policy
rule name 1
source-zone trust
source-zone untrust
destination-zone trust
destination-zone untrust
action permit水质改良
3、核⼼交换部分
3.1 虚拟交换机配置
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议