De acuerdo
Comunidad Huawei Enterprise
Comunidad Foro Seguridad
Ejemplo para configurar l...

Ejemplo para configurar la apuesta de interfuncionamiento entre firewalls via comandos CLI

Última respuesta mzo. 31, 2021 16:32:18 378 1 0 0 0
Mostrar todos los comentarios 1#

En esta sección se describe cómo configurar el interfuncionamiento entre el enlace IP y la espera activa según el ejemplo para configurar  active/standby hot standby.

 

Requisitos de red

El FW se implementa en el nodo de servicio como un dispositivo de seguridad. Los dispositivos upstream y downstream son enrutadores. FW_A y FW_B funcionan en modo activo / en espera

 

La figura 1 muestra el diagrama de redes. La descripción detallada es la siguiente:

 

OSPF se aplica entre el enrutador y los dos FW. El enrutador envía paquetes de servicio al FW activo de acuerdo con el resultado del cálculo de la ruta.

Los puertos ascendentes y descendentes del FW se agregan al mismo grupo de enlaces. La velocidad de convergencia de la ruta se acelera si un enlace es defectuoso.


FW supervisa la salida de la red a través de la función de interfuncionamiento entre IP-link y hot standby. Cuando la salida de la red en el enlace donde reside FW_A está inactiva, FW_B puede cambiar al dispositivo activo y los paquetes de servicio se envían a FW_B.

 

Figura 1 Diagrama de red del ejemplo para configurar el interfuncionamiento entre el enlace IP y el host stand by

030000vx6lzidzz6urd9ll.png?image.png

 

Procedimiento

Completa las configuraciones básicas en FW_A.

# Establezca una dirección IP para GigabitEthernet 1/0/1.

<FW_A> system-view

[FW_A] interface GigabitEthernet 1/0/1

[FW_A-GigabitEthernet1/0/1] ip address 10.100.10.2 24

[FW_A-GigabitEthernet1/0/1] quit

 

# Agregue GigabitEthernet 1/0/1 a la zona Trust.

[FW_A] firewall zone trust

[FW_A-zone-trust] add interface GigabitEthernet 1/0/1

[FW_A-zone-trust] quit


# Establezca una dirección IP para GigabitEthernet 1/0/3.

[FW_A] interface GigabitEthernet 1/0/3

[FW_A-GigabitEthernet1/0/3] ip address 10.100.30.2 24

[FW_A-GigabitEthernet1/0/3] quit


# Agregue GigabitEthernet 1/0/3 a la zona Untrust.

[FW_A] firewall zone untrust

[FW_A-zone-untrust] add interface GigabitEthernet 1/0/3

[FW_A-zone-untrust] quit


# Agregue GigabitEthernet 1/0/1 y GigabitEthernet 1/0/3 al mismo grupo de administración de grupo de enlaces

[FW_A] interface GigabitEthernet 1/0/1

[FW_A-GigabitEthernet1/0/1] link-group 1

[FW_A-GigabitEthernet1/0/1] quit

[FW_A] interface GigabitEthernet 1/0/3

[FW_A-GigabitEthernet1/0/3] link-group 1

[FW_A-GigabitEthernet1/0/3] quit


# Establezca una dirección IP para GigabitEthernet 1/0/2.

[FW_A] interface GigabitEthernet 1/0/2

[FW_A-GigabitEthernet1/0/2] ip address 10.100.50.2 24

[FW_A-GigabitEthernet1/0/2] quit


# Agregue GigabitEthernet 1/0/2 a la DMZ.

[FW_A] firewall zone dmz

[FW_A-zone-dmz] add interface GigabitEthernet 1/0/2

[FW_A-zone-dmz] quit


# Ejecute el protocolo de enrutamiento dinámico OSPF en FW_A.

[FW_A] ospf 101

[FW_A-ospf-101] area 0

[FW_A-ospf-101-area-0.0.0.0] network 10.100.10.0 0.0.0.255

[FW_A-ospf-101-area-0.0.0.0] network 10.100.30.0 0.0.0.255

[FW_A-ospf-101-area-0.0.0.0] quit

[FW_A-ospf-101] quit

 


# Habilite la función de ajustar el valor de costo relacionado de OSPF de acuerdo con el estado de HRP.  

NOTA: Cuando el FW se implementa en la red OSPF para trabajar en modo de espera activa, este comando debe configurarse.


[FW] hrp adjust ospf-cost enable

 


# Configure el grupo VGMP para monitorear el estado de las interfaces.

[FW_A] hrp track interface GigabitEthernet 1/0/1

[FW_A] hrp track interface GigabitEthernet 1/0/3


# Configure the IP-link to monitor the network egress.

[FW_A] ip-link check enable

[FW_A] ip-link name test

[FW_A-iplink-test] destination 1.1.1.1 interface GigabitEthernet 1/0/3

[FW_A-iplink-test] quit

 

Active la copia de seguridad automática de los comandos de configuración y configure las reglas de filtrado de paquetes entre zonas para la zona Trust y la zona Untrust en FW_A.

 

NOTA:

Cuando HRP está habilitado en FW_A y FW_B, y la copia de seguridad automática de los comandos de configuración está habilitada en FW_A, la política de seguridad configurada en FW_A se realiza automáticamente en FW_B.

 

# Habilitar copia de seguridad automática de los comandos de configuración.

 

HRP_M[FW_A] hrp auto-sync config

# Configure la política de seguridad para asegurar que los usuarios en el segmento de red 192.168.1.0/24 puedan acceder a la zona Untrust.

 

HRP_M[FW_A] security-policy

HRP_M[FW_A-policy-security] rule name ha

HRP_M[FW_A-policy-security-rule-ha] source-zone trust

HRP_M[FW_A-policy-security-rule-ha] destination-zone untrust

HRP_M[FW_A-policy-security-rule-ha] source-address 192.168.1.0 24

HRP_M[FW_A-policy-security-rule-ha] action permit

 

Configurar el enrutador.

Configurar OSPF en el enrutador. Para obtener comandos de configuración detallados, consulte los documentos relacionados con el enrutador.


Saludos.




SeguridadFirewallOSPFIP-Link

La publicación está sincronizada con: Configuraciones típicas para firewalls

  • x
  • convención:

Me gusta (0) No me gusta (0) Favorito(0) Compartir Reporte
Previo: Ejemplo de configuración de Server Load Balancing con servidores FTP
Próximo: simulador de Usg6000
Gustavo.HdezF
Admin Publicado 2021-3-31 16:32:18

También te puede interesar:

Conociendo el concepto de HWTACACS en el ámbito de la seguridad informática

Compilación de publicaciones sobre la solución de seguridad NIP6000 de Huawei

Escenarios de aplicación borde de red y detección fuera de ruta para NIP6000

Conoce como operar y mantener la solución NIP6000 de Huawei

Compilación de publicaciones sobre configuraciones rápidas para firewalls de Huawei

Una introducción a las zonas de seguridad en un firewall de Huawei

Guía de dimensionamiento firewall USG6000 Series NGFW

Descripción general de la función DNS utilizado en firewalls de Huawei.

Escenario de aplicación típica del firewall como cliente DNS

 

Conoce más de esta línea de productos en:

Controlador de red eSight

Foro de switches de Huawei

Foro de seguridad de Huawei

 

O pregúntale al robot inteligente de Huawei, conócelo aquí: 

Infografía: Conoce a iKnow, el robot inteligente

 
Ver más
  • x
  • convención:
Volver a la lista

Comentar

Editor Avanzado
B Color Image Link Quote Code Smilies
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse
Responder

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Contrato de usuario.”

My Followers

¡Ingresa y disfruta de todos los beneficios para los miembros!

Inicia sesión
Sitio web de Huawei Soporte Acerca de Huawei Privacidad Contrato de usuario Términos de uso Cookies Configuración de Cookies Capacitación y certificación

Póngase en contacto con nosotros: e_online@huawei.com Copyright © 2022 Huawei Technologies Co., Ltd. Todos los derechos reservados.

APP

Bloquear
¿Estás seguro de bloquear a este usuario?
Los usuarios en lista negra no pueden comentar tus publicaciones,no pueden mencionarte,no pueden enviarte mensajes privados.
Recordatorio
Agrega tu número de teléfono para obtener un bono de invitación.