高密 网站建设,重庆中色十二冶金建设有限公司网站,wordpress 腾讯课堂,做网站连接数据库怎么显示图片CLI举例#xff1a;负载分担场景下的源NAT配置#xff08;主备设备共用同一个地址池#xff09; 组网需求
如图1所示#xff0c;企业的两台FW的业务接口都工作在三层#xff0c;上下行分别连接路由器。FW与上下行路由器之间运行OSPF协议。上行接口连接同一个ISP。
现在希…CLI举例负载分担场景下的源NAT配置主备设备共用同一个地址池 组网需求
如图1所示企业的两台FW的业务接口都工作在三层上下行分别连接路由器。FW与上下行路由器之间运行OSPF协议。上行接口连接同一个ISP。
现在希望两台FW以负载分担方式工作。正常情况下部门A的用户发出的流量通过FW_A转发部门B的用户发出的流量通过FW_B转发。当其中一台FW出现故障时流量全部通过另一台FW转发保证业务不中断。
本例以上下行均连接路由器的负载分担组网为例实际上下行设备和接口根据实际场景判断是否需要配置OSPF源NAT配置没有差异。
本例不适用上行接口连接两个不同的ISP的场景。
图1 负载分担场景下的源NAT配置组网 数据规划 项目 FW_A FW_B 接口 GigabitEthernet 1/0/1 IP地址10.2.0.1/24 安全区域Untrust GigabitEthernet 1/0/3 IP地址10.3.0.1/24 安全区域Trust GigabitEthernet 1/0/7 IP地址10.10.0.1/24 安全区域DMZ GigabitEthernet 1/0/1 IP地址10.2.1.1/24 安全区域Untrust GigabitEthernet 1/0/3 IP地址10.3.1.1/24 安全区域Trust GigabitEthernet 1/0/7 IP地址10.10.0.2/24 安全区域DMZ OSPF 进程ID10 区域标识0 区域包含的网段10.2.0.0/24、10.3.0.0/24、1.1.1.10/32 进程ID10 区域标识0 区域包含的网段10.2.1.0/24、10.3.1.0/24、1.1.1.10/32 配置思路
分别在FW_A和FW_B上配置接口IP地址和安全区域完成网络基本参数配置。分别在FW_A和FW_B上配置OSPF。由于FW_A和FW_B共用一个NAT地址池主备设备都正常运行的情况下两台FW可能会将不同主机发来的流量的源IP地址和源端口转换为同一个公网地址和公网端口。为避免出现端口冲突问题需要为主备设备分配不同的端口范围。分别在FW_A和FW_B上配置双机热备功能包括配置接口监控、指定心跳口、启用快速备份功能等。在FW_A上配置允许设备间交互OSPF报文及允许内网访问外网的安全策略。FW_A上配置的安全策略会自动备份到FW_B上。在FW_A上配置NAT地址池。FW_A上配置的NAT地址池会自动备份到FW_B上。在FW_A上配置源NAT策略实现内网访问外网时自动进行源地址转换。FW_A上配置的源NAT策略会自动备份到FW_B上。配置下行设备使得正常情况下部门A用户发出的流量通过FW_A转发部门B用户发出的流量通过FW_B转发。在上行路由器上配置接口地址、指向ISP的静态路路由同时配置OSPF使得FW和路由之间互相学习对方的路由。在下行路由器上配置接口地址同时配置OSPF使得FW和路由之间互相学习对方的路由。具体配置请参见路由器的产品文档本举例不作介绍。 操作步骤
配置接口IP地址和安全区域完成网络基本参数配置。 在FW_A上配置接口。# 配置接口IP地址。FW_A system-view
[FW_A] interface GigabitEthernet 1/0/1
[FW_A-GigabitEthernet 1/0/1] ip address 10.2.0.1 24
[FW_A-GigabitEthernet 1/0/1] quit
[FW_A] interface GigabitEthernet 1/0/3
[FW_A-GigabitEthernet 1/0/3] ip address 10.3.0.1 24
[FW_A-GigabitEthernet 1/0/3] quit
[FW_A] interface GigabitEthernet 1/0/7
[FW_A-GigabitEthernet 1/0/7] ip address 10.10.0.1 24
[FW_A-GigabitEthernet 1/0/7] quit
# 配置接口加入相应安全区域。[FW_A] firewall zone trust
[FW_A-zone-trust] add interface GigabitEthernet 1/0/3
[FW_A-zone-trust] quit
[FW_A] firewall zone untrust
[FW_A-zone-untrust] add interface GigabitEthernet 1/0/1
[FW_A-zone-untrust] quit
[FW_A] firewall zone dmz
[FW_A-zone-dmz] add interface GigabitEthernet 1/0/7
[FW_A-zone-dmz] quit在FW_B上配置接口。# 配置接口IP地址。FW_B system-view
[FW_B] interface GigabitEthernet 1/0/1
[FW_B-GigabitEthernet 1/0/1] ip address 10.2.1.1 24
[FW_B-GigabitEthernet 1/0/1] quit
[FW_B] interface GigabitEthernet 1/0/3
[FW_B-GigabitEthernet 1/0/3] ip address 10.3.1.1 24
[FW_B-GigabitEthernet 1/0/3] quit
[FW_B] interface GigabitEthernet 1/0/7
[FW_B-GigabitEthernet 1/0/7] ip address 10.10.0.2 24
[FW_B-GigabitEthernet 1/0/7] quit
# 配置接口加入相应安全区域。[FW_B] firewall zone trust
[FW_B-zone-trust] add interface GigabitEthernet 1/0/3
[FW_B-zone-trust] quit
[FW_B] firewall zone untrust
[FW_B-zone-untrust] add interface GigabitEthernet 1/0/1
[FW_B-zone-untrust] quit
[FW_B] firewall zone dmz
[FW_B-zone-dmz] add interface GigabitEthernet 1/0/7
[FW_B-zone-dmz] quit在FW_A和FW_B上配置OSPF。# 在FW_A上配置OSPF。[FW_A] ospf 10
[FW_A-ospf-100] import-route unr
[FW_A-ospf-100] area 0
[FW_A-ospf-100-area-0.0.0.0] network 10.2.0.0 0.0.0.255
[FW_A-ospf-100-area-0.0.0.0] network 10.3.0.0 0.0.0.255
# 在FW_B上配置OSPF。[FW_B] ospf 10
[FW_B-ospf-100] import-route unr
[FW_B-ospf-100] area 0
[FW_B-ospf-100-area-0.0.0.0] network 10.2.1.0 0.0.0.255
[FW_B-ospf-100-area-0.0.0.0] network 10.3.1.0 0.0.0.255 配置负载分担场景的NAT地址池端口分配功能。 双机热备的负载分担场景下两台FW共用同一个NAT地址池时在NAPT模式下有可能两台设备分配的公网端口出现冲突。为了避免这种可能存在的冲突需要在两台设备上分别配置各自可使用的NAT资源包括公网IP地址和公网端口号。此时可以在主设备上配置hrp nat resource primary-group命令备设备上会自动生成hrp nat resource secondary-group命令如果主设备上配置的是hrp nat resource secondary-group命令则备设备上将自动对应生成hrp nat resource primary-group命令。[FW_A] hrp nat resource primary-group 配置双机热备功能。 在FW_A上配置双机热备功能。# 配置接口监控。[FW_A] hrp track interface GigabitEthernet 1/0/1
[FW_A] hrp track interface GigabitEthernet 1/0/3
# 指定心跳接口。[FW_A] hrp interface GigabitEthernet 1/0/7 remote 10.10.0.2
# 启用快速备份功能。[FW_A] hrp mirror session enable
负载分担场景下报文的来回路径可能会不一致务必启用会话快速备份功能使一台FW的会话信息立即同步至另一台FW保证内外部用户的业务不中断。# 启用双机热备。[FW_A] hrp enable 在FW_B上配置双机热备功能。 # 配置接口监控。[FW_B] hrp track interface GigabitEthernet 1/0/1
[FW_B] hrp track interface GigabitEthernet 1/0/3
# 指定心跳接口。[FW_B] hrp interface GigabitEthernet 1/0/7 remote 10.10.0.1
# 启用快速备份功能。[FW_B] hrp mirror session enable
# 启用双机热备。[FW_B] hrp enable 在FW_A上配置安全策略允许设备间交互OSPF报文及允许内网用户访问外网。 在FW_A上配置的安全策略会自动备份到FW_B上。 HRP_M[FW_A] security-policy
HRP_M[FW_A-policy-security] rule name policy_sec_1
HRP_M[FW_A-policy-security-rule-policy_sec_1] source-zone local trust untrust
HRP_M[FW_A-policy-security-rule-policy_sec_1] destination-zone local trust untrust
HRP_M[FW_A-policy-security-rule-policy_sec_1] action permit
HRP_M[FW_A-policy-security-rule-policy_sec_1] quit
HRP_M[FW_A-policy-security] quit 配置NAT地址池并允许端口转换实现公网地址复用。 在FW_A上配置的地址池会自动备份到FW_B上。 HRP_M[FW_A] nat address-group addressgroup1
HRP_M[FW_A-nat-address-group-addressgroup1] section 0 1.1.1.10 1.1.1.10
HRP_M[FW_A-nat-address-group-addressgroup1] mode pat
HRP_M[FW_A-nat-address-group-addressgroup1] route enable
HRP_M[FW_A-nat-address-group-addressgroup1] quit 配置源NAT策略使内网用户通过转换后的公网IP地址访问Internet。 在FW_A上配置的NAT策略会自动备份到FW_B上。 HRP_M[FW_A] nat-policy
HRP_M[FW_A-policy-nat] rule name policy_nat_1
HRP_M[FW_A-policy-nat-policy_nat_1] source-zone trust
HRP_M[FW_A-policy-nat-policy_nat_1] destination-zone untrust
HRP_M[FW_A-policy-nat-policy_nat_1] action source-nat address-group addressgroup1
HRP_M[FW_A-policy-nat-policy_nat_1] quit
HRP_M[FW_A-policy-nat] quit 配置下行设备使得两台FW都正常运行的情况下部门A用户发出的流量通过FW_A转发部门B用户发出的流量通过FW_B转发。在上行路由器上配置接口地址、指向ISP的静态路路由同时配置OSPF使得FW和路由之间互相学习对方的路由。在下行路由器上配置接口地址同时配置OSPF使得FW和路由之间互相学习对方的路由。具体配置请参见路由器的产品文档本举例不作介绍。 结果验证 主备设备均正常运行情况下分别在FW_A和FW_B上执行display hrp state命令检查HRP的状态信息显示以下信息表示HRP建立成功。 HRP_M[FW_A] display hrp stateRole: active, peer: active Running priority: 49010, peer: 49010 Backup channel usage: 3% Stable time: 0 days, 5 hours, 1 minutes
HRP_S[FW_B] display hrp stateRole: active, peer: active Running priority: 49010, peer: 49010 Backup channel usage: 3% Stable time: 0 days, 5 hours, 1 minutes 内网PC可以正常访问Internet表示安全策略配置成功。分别在FW_A和FW_B上执行display nat-policy rule rule-name命令查看源NAT策略的命中次数命中次数大于等于1即表示有数据流命中NAT策略。 分别在FW_A和FW_B上执行display firewall session table命令查询源地址为内网PC的私网地址的表项查看本次NAT转换的信息。存在该表项且NAT转换后的IP地址为NAT地址池中的地址表示NAT策略配置成功。“[]”中的内容为NAT转换后的IP地址和端口。 HRP_MFW display firewall session table
Current Total Sessions : 1http VPN:public -- public 10.3.2.55:2474[1.1.1.10:3761]--3.3.3.3:80 当FW_A出现故障时分别在FW_A和FW_B上执行display hrp state命令检查HRP的状态信息显示以下信息表示主备切换成功。 HRP_M[FW_A] display hrp stateRole:standby, peer: active (shoule be active-active) Running priority: 49012, peer: 49010 Backup channel usage: 0% Stable time: 0 days, 0 hours, 0 minutes
HRP_S[FW_B] display hrp stateRole: active, peer: standby (shoule be active-active) Running priority: 49010, peer: 49012 Backup channel usage: 0% Stable time: 0 days, 0 hours, 1 minutes 配置脚本
FW_AFW_B #hrp mirror session enablehrp enablehrp interface GigabitEthernet 1/0/7 remote 10.10.0.2
#
hrp nat resource primary-group
#
hrp track interface GigabitEthernet 1/0/1
hrp track interface GigabitEthernet 1/0/3
#
interface GigabitEthernet 1/0/7ip address 10.10.0.1 255.255.255.0
#
firewall zone trustset priority 85add interface GigabitEthernet 1/0/3
#
firewall zone untrustset priority 5add interface GigabitEthernet 1/0/1
#
firewall zone dmzset priority 50add interface GigabitEthernet 1/0/7
#
ospf 10 import-route unrarea 0.0.0.0network 10.2.0.0 0.0.0.255network 10.3.0.0 0.0.0.255
# nat address-group addressgroup1mode pat route enable section 0 1.1.1.10 1.1.1.10
#
security-policy rule name policy_sec_1source-zone localsource-zone trustsource-zone untrustdestination-zone localdestination-zone trust destination-zone untrustaction permit
#
nat-policy rule name policy_nat_1source-zone trustdestination-zone untrustaction source-nat address-group addressgroup1 #hrp mirror session enablehrp enablehrp interface GigabitEthernet 1/0/7 remote 10.10.0.1
#
hrp nat resource secondary-group
#
hrp track interface GigabitEthernet 1/0/1
hrp track interface GigabitEthernet 1/0/3
#
interface GigabitEthernet 1/0/7ip address 10.10.0.2 255.255.255.0
#
firewall zone trustset priority 85add interface GigabitEthernet 1/0/3
#
firewall zone untrustset priority 5add interface GigabitEthernet 1/0/1
#
firewall zone dmzset priority 50add interface GigabitEthernet 1/0/7
#
ospf 10 import-route unrarea 0.0.0.0network 10.2.1.0.0.0.255network 10.3.1.0 0.0.0.255
# nat address-group addressgroup1mode pat route enable section 0 1.1.1.10 1.1.1.10
#
security-policy rule name policy_sec_1source-zone localsource-zone trustsource-zone untrustdestination-zone localdestination-zone trust destination-zone untrustaction permit
#
nat-policy rule name policy_nat_1source-zone trustdestination-zone untrustaction source-nat address-group addressgroup1
