【Exemple de configuration typique】CLI : Exemple de configuration de l'interfonctionnement entre IP-Link et Hot Standby

Dernière réponse jun. 18, 2019 17:55:06 93 1 7 2


Cette section explique comment configurer l'interfonctionnement entre IP-Link et Hot Standby, conformément à l'exemple de configuration active/standby hot standby

Configuration réseau requise

Le  FW est déployé sur le nœud de service en tant que périphérique de sécurité. Les périphériques en amont et en aval sont des routeurs. FW_A et FW_B fonctionnent en mode actif / veille

La figure 1 montre le diagramme de mise en réseau. La description détaillée est la suivante:

  • Le protocole OSPF est appliqué entre le routeur et deux FWs . Le routeur envoie des paquets de service au FW actif en fonction du résultat du calcul de l'itinéraire.
  • Les ports amont et aval du FW sont ajoutés au même groupe de liens. Le taux de convergence de la route est accéléré si une liaison est défaillante.
  • FW surveille la sortie du réseau via la fonction d'interfonctionnement entre IP-link et hot-standby. Lorsque la sortie réseau sur la liaison où réside FW _A est en panne, FW _B peut basculer sur le périphérique actif et les paquets de service sont envoyés à FW _B.
Figure 1 Schéma de réseau de l'exemple de configuration de l'interfonctionnement IP-Link et Hot Standby 



5603b45b39e0d.png

Procedure

1. Terminez les configurations de base sur FW_A

<FW_A> system-view

[FW_A] interface GigabitEthernet 1/0/1

[FW_A-GigabitEthernet1/0/1] ip address 10.100.10.2 24

[FW_A-GigabitEthernet1/0/1] quit

# Add GigabitEthernet 1/0/1 to the Trust zone.

[FW_A] firewall zone trust

[FW_A-zone-trust] add interface GigabitEthernet 1/0/1

[FW_A-zone-trust] quit

# Définir une adresse IP pour GigabitEthernet 1/0/3.

[FW_A] interface GigabitEthernet 1/0/3

[FW_A-GigabitEthernet1/0/3] ip address 10.100.30.2 24

[FW_A-GigabitEthernet1/0/3] quit

# Ajouter GigabitEthernet 1/0/3 à la zone de confiance

[FW_A-zone-untrust] add interface GigabitEthernet 1/0/3

[FW_A-zone-untrust] quit

# Ajoutez GigabitEthernet 1/0/1 et GigabitEthernet 1/0/3 au même groupe de gestion du groupe de liens.

[FW_A] interface GigabitEthernet 1/0/1

[FW_A-GigabitEthernet1/0/1] link-group 1

[FW_A-GigabitEthernet1/0/1] quit

[FW_A] interface GigabitEthernet 1/0/3

[FW_A-GigabitEthernet1/0/3] link-group 1

[FW_A-GigabitEthernet1/0/3] quit

# Définissez une adresse IP pour GigabitEthernet 1/0/2.

[FW_A] interface GigabitEthernet 1/0/2

[FW_A-GigabitEthernet1/0/2] ip address 10.100.50.2 24

[FW_A-GigabitEthernet1/0/2] quit

# Add GigabitEthernet 1/0/2 to the DMZ.

[FW_A] firewall zone dmz

[FW_A-zone-dmz] add interface GigabitEthernet 1/0/2

[FW_A-zone-dmz] quit

# Exécuter le protocole de routage dynamique OSPF sur FW_A

[FW_A] ospf 101

[FW_A-ospf-101] area 0

[FW_A-ospf-101-area-0.0.0.0] network 10.100.10.0 0.0.0.255

[FW_A-ospf-101-area-0.0.0.0] network 10.100.30.0 0.0.0.255

[FW_A-ospf-101-area-0.0.0.0] quit

[FW_A-ospf-101] quit

# Activer la fonction d'ajustement de la valeur de coût connexe de OSPF en fonction du statut HRP.


Avis :

Lorsque le FW est déployé sur le réseau OSPF pour fonctionner en mode hot standby, cette commande doit être configurée


[FW] hrp adjust ospf-cost enable

# Configurez le groupe VGMP pour surveiller l’état des interfaces.

[FW_A] hrp track interface GigabitEthernet 1/0/1

[FW_A] hrp track interface GigabitEthernet 1/0/3

# Configurez le lien IP pour surveiller la sortie du réseau.

[FW_A] ip-link check enable

[FW_A] ip-link name test

[FW_A-iplink-test] destination 1.1.1.1 interface GigabitEthernet 1/0/3

[FW_A-iplink-test] quit

# Configurez l'interfonctionnement entre IP-link et hot standby. Lorsque la sortie du réseau est hors service, l'état de la liaison IP devient bas et la priorité du groupe VGMP est réduite 2.

[FW_A] hrp track ip-link test

# Configurez un canal de sauvegarde HRP.

[FW_A] hrp interface GigabitEthernet 1/0/2 remote 10.100.50.3
# Activer HRP.

[FW_A] hrp enable


2. Configurez la fonction hot standby sur FW _B.

La configuration du FW_B est similaire à celle du FW_A. Les différences sont les suivantes:

  • Les adresses IP des interfaces sur FW_B doivent être différentes de celles des interfaces sur FW_A; de plus, les adresses IP des interfaces de service correspondant à FW_B et FW_A ne doivent pas appartenir au même segment de réseau.
  • Lorsque OSPF est exécuté sur FW_B, l'itinéraire vers le segment de réseau directement connecté à l'interface de service sur FW_B doit être annoncé.
  • Exécutez la commande hrp standby-device sur FW_B pour spécifier FW_B en tant que périphérique de secours.


3. Configurez l'interfonctionnement entre IP-link et hot standby sur FW_B.

[FW_B] ip-link check enable

[FW_B] ip-link name test

[FW_B-iplink-test] destination 2.2.2.2 interface GigabitEthernet 1/0/3

[FW_B-iplink-test] quit[FW_B] hrp track ip-link test


4. Activez la sauvegarde automatique des commandes de configuration et configurez les règles de filtrage de paquets interzone pour les zones Trust et Untrust sur FW _A.

REMARQUE:

Lorsque HRP est activé à la fois sur FW_A et FW_B, et que la sauvegarde automatique des commandes de configuration est activée sur FW_A, 


les règles de sécurité configurées sur FW_A sont automatiquement sauvegardées sur FW_B.

# Activer la sauvegarde automatique des commandes de configuration.

HRP_M[FW_A] hrp auto-sync config

# Configurez la stratégie de sécurité pour vous assurer que les utilisateurs du segment de réseau 192.168.1.0/24 peuvent accéder à la zone de confiance.

HRP_M[FW_A] security-policy

HRP_M[FW_A-policy-security] rule name ha

HRP_M[FW_A-policy-security-rule-ha] source-zone trust

HRP_M[FW_A-policy-security-rule-ha] destination-zone untrust

HRP_M[FW_A-policy-security-rule-ha] source-address 192.168.1.0 24

HRP_M[FW_A-policy-security-rule-ha] action permit

5. Configurez le routeur.

Configurez OSPF sur le routeur. Pour des commandes de configuration détaillées, reportez-vous aux documents relatifs au routeur.


  • x
  • Standard:

aiji1680aiji publié il y a 2019-6-18 17:55:06 Utile(0) Utile(0)
helpful
  • x
  • Standard:

Responder

envoyer
Connectez-vous pour répondre. Se connecter | Enregistrer

Remarque : Afin de protéger vos droits et intérêts légitimes, ceux de la communauté et des tiers, ne divulguez aucun contenu qui pourrait présenter des risques juridiques pour toutes les parties. Le contenu interdit comprend, sans toutefois s'y limiter, le contenu politiquement sensible, le contenu lié à la pornographie, aux jeux d'argent, à l'abus et au trafic de drogues, le contenu qui peut divulguer ou enfreindre la propriété intellectuelle d'autrui, y compris les secrets professionnels, les marques commerciales, les droits d'auteur et les brevets, ainsi que la vie privée personnelle. Ne partagez pas votre nom d'utilisateur ou votre mot de passe avec d'autres personnes. Toutes les opérations effectuées à partir de votre compte seront considérées comme vos propres actions, et toutes les conséquences en découlant vous seront imputées. Pour plus de détails, voir « Politique de confidentialité ».
Si le bouton de la pièce-jointe n'est pas disponible, mettez à jour Adobe Flash Player à la dernière version.

Connectez-vous pour participer à la communication et au partage

S'identifier
Réponse rapide Accéder au haut de page