En esta sección se describe cómo configurar el interfuncionamiento entre el enlace IP y la espera activa según el ejemplo para configurar active/standby hot standby.
Requisitos de red
El FW se implementa en el nodo de servicio como un dispositivo de seguridad. Los dispositivos upstream y downstream son enrutadores. FW_A y FW_B funcionan en modo activo / en espera
La figura 1 muestra el diagrama de redes. La descripción detallada es la siguiente:
OSPF se aplica entre el enrutador y los dos FW. El enrutador envía paquetes de servicio al FW activo de acuerdo con el resultado del cálculo de la ruta.
Los puertos ascendentes y descendentes del FW se agregan al mismo grupo de enlaces. La velocidad de convergencia de la ruta se acelera si un enlace es defectuoso.
FW supervisa la salida de la red a través de la función de interfuncionamiento entre IP-link y hot standby. Cuando la salida de la red en el enlace donde reside FW_A está inactiva, FW_B puede cambiar al dispositivo activo y los paquetes de servicio se envían a FW_B.
Figura 1 Diagrama de red del ejemplo para configurar el interfuncionamiento entre el enlace IP y el host stand by
Procedimiento
Completa las configuraciones básicas en FW_A.
# Establezca una dirección IP para GigabitEthernet 1/0/1.
<FW_A> system-view
[FW_A] interface GigabitEthernet 1/0/1
[FW_A-GigabitEthernet1/0/1] ip address 10.100.10.2 24
[FW_A-GigabitEthernet1/0/1] quit
# Agregue GigabitEthernet 1/0/1 a la zona Trust.
[FW_A] firewall zone trust
[FW_A-zone-trust] add interface GigabitEthernet 1/0/1
[FW_A-zone-trust] quit
# Establezca una dirección IP para GigabitEthernet 1/0/3.
[FW_A] interface GigabitEthernet 1/0/3
[FW_A-GigabitEthernet1/0/3] ip address 10.100.30.2 24
[FW_A-GigabitEthernet1/0/3] quit
# Agregue GigabitEthernet 1/0/3 a la zona Untrust.
[FW_A] firewall zone untrust
[FW_A-zone-untrust] add interface GigabitEthernet 1/0/3
[FW_A-zone-untrust] quit
# Agregue GigabitEthernet 1/0/1 y GigabitEthernet 1/0/3 al mismo grupo de administración de grupo de enlaces
[FW_A] interface GigabitEthernet 1/0/1
[FW_A-GigabitEthernet1/0/1] link-group 1
[FW_A-GigabitEthernet1/0/1] quit
[FW_A] interface GigabitEthernet 1/0/3
[FW_A-GigabitEthernet1/0/3] link-group 1
[FW_A-GigabitEthernet1/0/3] quit
# Establezca una dirección IP para GigabitEthernet 1/0/2.
[FW_A] interface GigabitEthernet 1/0/2
[FW_A-GigabitEthernet1/0/2] ip address 10.100.50.2 24
[FW_A-GigabitEthernet1/0/2] quit
# Agregue GigabitEthernet 1/0/2 a la DMZ.
[FW_A] firewall zone dmz
[FW_A-zone-dmz] add interface GigabitEthernet 1/0/2
[FW_A-zone-dmz] quit
# Ejecute el protocolo de enrutamiento dinámico OSPF en FW_A.
[FW_A] ospf 101
[FW_A-ospf-101] area 0
[FW_A-ospf-101-area-0.0.0.0] network 10.100.10.0 0.0.0.255
[FW_A-ospf-101-area-0.0.0.0] network 10.100.30.0 0.0.0.255
[FW_A-ospf-101-area-0.0.0.0] quit
[FW_A-ospf-101] quit
# Habilite la función de ajustar el valor de costo relacionado de OSPF de acuerdo con el estado de HRP.
NOTA: Cuando el FW se implementa en la red OSPF para trabajar en modo de espera activa, este comando debe configurarse.
[FW] hrp adjust ospf-cost enable
# Configure el grupo VGMP para monitorear el estado de las interfaces.
[FW_A] hrp track interface GigabitEthernet 1/0/1
[FW_A] hrp track interface GigabitEthernet 1/0/3
# Configure the IP-link to monitor the network egress.
[FW_A] ip-link check enable
[FW_A] ip-link name test
[FW_A-iplink-test] destination 1.1.1.1 interface GigabitEthernet 1/0/3
[FW_A-iplink-test] quit
Active la copia de seguridad automática de los comandos de configuración y configure las reglas de filtrado de paquetes entre zonas para la zona Trust y la zona Untrust en FW_A.
NOTA:
Cuando HRP está habilitado en FW_A y FW_B, y la copia de seguridad automática de los comandos de configuración está habilitada en FW_A, la política de seguridad configurada en FW_A se realiza automáticamente en FW_B.
# Habilitar copia de seguridad automática de los comandos de configuración.
HRP_M[FW_A] hrp auto-sync config
# Configure la política de seguridad para asegurar que los usuarios en el segmento de red 192.168.1.0/24 puedan acceder a la zona Untrust.
HRP_M[FW_A] security-policy
HRP_M[FW_A-policy-security] rule name ha
HRP_M[FW_A-policy-security-rule-ha] source-zone trust
HRP_M[FW_A-policy-security-rule-ha] destination-zone untrust
HRP_M[FW_A-policy-security-rule-ha] source-address 192.168.1.0 24
HRP_M[FW_A-policy-security-rule-ha] action permit
Configurar el enrutador.
Configurar OSPF en el enrutador. Para obtener comandos de configuración detallados, consulte los documentos relacionados con el enrutador.
