【Ejemplo de configuración típica】 CLI: Ejemplo para configurar la apuesta de interfuncionamiento

60 0 0 0

En esta sección se describe cómo configurar el interfuncionamiento entre el enlace IP y la espera activa según el ejemplo para configurar  active/standby hot standby.

 

Requisitos de red

El FW se implementa en el nodo de servicio como un dispositivo de seguridad. Los dispositivos upstream y downstream son enrutadores. FW_A y FW_B funcionan en modo activo / en espera

 

La figura 1 muestra el diagrama de redes. La descripción detallada es la siguiente:

 

OSPF se aplica entre el enrutador y los dos FW. El enrutador envía paquetes de servicio al FW activo de acuerdo con el resultado del cálculo de la ruta.

Los puertos ascendentes y descendentes del FW se agregan al mismo grupo de enlaces. La velocidad de convergencia de la ruta se acelera si un enlace es defectuoso.

FW supervisa la salida de la red a través de la función de interfuncionamiento entre IP-link y hot standby. Cuando la salida de la red en el enlace donde reside FW_A está inactiva, FW_B puede cambiar al dispositi****ctivo y los paquetes de servicio se envían a FW_B.

 

Figura 1 Diagrama de red del ejemplo para configurar el interfuncionamiento entre el enlace IP y el host stand by

030000vx6lzidzz6urd9ll.png?image.png

Procedimiento

Completa las configuraciones básicas en FW_A.

# Establezca una dirección IP para GigabitEthernet 1/0/1.

<FW_A> system-view

[FW_A] interface GigabitEthernet 1/0/1

[FW_A-GigabitEthernet1/0/1] ip address 10.100.10.2 24

[FW_A-GigabitEthernet1/0/1] quit

 

# Agregue GigabitEthernet 1/0/1 a la zona Trust.

[FW_A] firewall zone trust

[FW_A-zone-trust] add interface GigabitEthernet 1/0/1

[FW_A-zone-trust] quit

# Establezca una dirección IP para GigabitEthernet 1/0/3.

[FW_A] interface GigabitEthernet 1/0/3

[FW_A-GigabitEthernet1/0/3] ip address 10.100.30.2 24

[FW_A-GigabitEthernet1/0/3] quit

# Agregue GigabitEthernet 1/0/3 a la zona Untrust.

[FW_A] firewall zone untrust

[FW_A-zone-untrust] add interface GigabitEthernet 1/0/3

[FW_A-zone-untrust] quit

# Agregue GigabitEthernet 1/0/1 y GigabitEthernet 1/0/3 al mismo grupo de administración de grupo de enlaces

[FW_A] interface GigabitEthernet 1/0/1

[FW_A-GigabitEthernet1/0/1] link-group 1

[FW_A-GigabitEthernet1/0/1] quit

[FW_A] interface GigabitEthernet 1/0/3

[FW_A-GigabitEthernet1/0/3] link-group 1

[FW_A-GigabitEthernet1/0/3] quit

# Establezca una dirección IP para GigabitEthernet 1/0/2.

[FW_A] interface GigabitEthernet 1/0/2

[FW_A-GigabitEthernet1/0/2] ip address 10.100.50.2 24

[FW_A-GigabitEthernet1/0/2] quit

# Agregue GigabitEthernet 1/0/2 a la DMZ.

[FW_A] firewall zone dmz

[FW_A-zone-dmz] add interface GigabitEthernet 1/0/2

[FW_A-zone-dmz] quit

# Ejecute el protocolo de enrutamiento dinámico OSPF en FW_A.

[FW_A] ospf 101

[FW_A-ospf-101] area 0

[FW_A-ospf-101-area-0.0.0.0] network 10.100.10.0 0.0.0.255

[FW_A-ospf-101-area-0.0.0.0] network 10.100.30.0 0.0.0.255

[FW_A-ospf-101-area-0.0.0.0] quit

[FW_A-ospf-101] quit

 


# Habilite la función de ajustar el valor de costo relacionado de OSPF de acuerdo con el estado de HRP.  

NOTA: Cuando el FW se implementa en la red OSPF para trabajar en modo de espera activa, este comando debe configurarse.

[FW] hrp adjust ospf-cost enable

 


# Configure el grupo VGMP para monitorear el estado de las interfaces.

[FW_A] hrp track interface GigabitEthernet 1/0/1

[FW_A] hrp track interface GigabitEthernet 1/0/3

# Configure the IP-link to monitor the network egress.

[FW_A] ip-link check enable

[FW_A] ip-link name test

[FW_A-iplink-test] destination 1.1.1.1 interface GigabitEthernet 1/0/3

[FW_A-iplink-test] quit

 

Active la copia de seguridad automática de los comandos de configuración y configure las reglas de filtrado de paquetes entre zonas para la zona Trust y la zona Untrust en FW_A.

 NOTA:

Cuando HRP está habilitado en FW_A y FW_B, y la copia de seguridad automática de los comandos de configuración está habilitada en FW_A, la política de seguridad configurada en FW_A se realiza automáticamente en FW_B.

 

# Habilitar copia de seguridad automática de los comandos de configuración.

 

HRP_M[FW_A] hrp auto-sync config

# Configure la política de seguridad para asegurar que los usuarios en el segmento de red 192.168.1.0/24 puedan acceder a la zona Untrust.

 

HRP_M[FW_A] security-policy

HRP_M[FW_A-policy-security] rule name ha

HRP_M[FW_A-policy-security-rule-ha] source-zone trust

HRP_M[FW_A-policy-security-rule-ha] destination-zone untrust

HRP_M[FW_A-policy-security-rule-ha] source-address 192.168.1.0 24

HRP_M[FW_A-policy-security-rule-ha] action permit

 

Configurar el enrutador.

Configurar OSPF en el enrutador. Para obtener comandos de configuración detallados, consulte los documentos relacionados con el enrutador.




  • x
  • convención:

Responder

Responder
Debe iniciar sesión para responder la publicación Inicio de sesi | Registrarse

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente

¡Ingresa y disfruta de todos los beneficios para los miembros!

Aterrizaje
Respuesta rápida Desplácese hasta arriba