CE12808交换机V100R005C00SPC300版本双机堆叠配备NGFW Module双板卡交换机工作在二层组网方案

发布时间:  2015-10-10 浏览次数:  289 下载次数:  0
问题描述

1、组网描述:

两台CE12808交换机堆叠组网,两块NGFW Module分别安装在两台交换机的6号槽位组成双机热备组网,并对经过CE12800交换机的流量做安全检测。两块NGFW Module以负载分担方式工作。


2、配置概述

原组网环境中CE12808交换机做集群配置,创建服务器VLAN、业务VLAN以及上行VLAN,所有VLAN的网关全部在交换机上。部署NGFW板卡后将所有VLAN的网关上移到NGFW上,两台NGFW采用VRRP协议实现主备备份。两台NGFW心跳使用NGFW Module的物理外部接口进行捆绑。NGFW ModuleCE12808内部四条互连的万兆链路做如下划分:ge1/0/0-10ge1/6/0/0做为NGFWuntrust区域透传VLAN和出口路由器互连,ge1/0/1-10ge1/6/0/1做为NGFWdmz区域透传VLAN为服务器区域的VLAN,ge1/0/2-10ge1/6/0/2ge1/0/3-10ge1/6/0/3做为NGFWtrust区域透传各接入区域的VLANCE12808全部做二层转发使用各互联到接入交换机的接口透传相应的VLAN

处理过程

1CE12808-A配置

#配置交换机连接NGFW-Auntrust区域接口

interface 10GE1/6/0/0

 description TO-NGFW-A-GE1/0/0-untrust

 port link-type trunk

 undo port trunk allow-pass vlan 1

 port trunk allow-pass vlan 10 //上行VLAN

#配置交换机连接NGFW-Admz区域接口

interface 10GE1/6/0/1

 description TO-NGFW-A-DMZ-ge1/0/1

 port link-type trunk

 undo port trunk allow-pass vlan 1

 port trunk allow-pass vlan 11 to 15 //服务器区域用VLAN

#配置交换机连接NGFW-Atrust区域接口

interface Eth-Trunk10

 description TO-NGFW-A-Eth-trunk1-trust

 port link-type trunk

 undo port trunk allow-pass vlan 1

 port trunk allow-pass vlan 20 to 30 //各接入区域用VLAN

#将连接NGFW-trust区域的两条链路加入链路聚合组

interface 10GE1/6/0/2

 eth-trunk 10

#

interface 10GE1/6/0/3

 eth-trunk 10

#

2CE12808-B配置

#配置交换机连接NGFW-Buntrust区域接口

interface 10GE2/6/0/0

 description TO-NGFW-B-GE1/0/0-untrust

 port link-type trunk

 undo port trunk allow-pass vlan 1

 port trunk allow-pass vlan 10 //上行VLAN

#配置交换机连接NGFW-Bdmz区域接口

interface 10GE2/6/0/1

 description TO-NGFW-B-DMZ-ge1/0/1

 port link-type trunk

 undo port trunk allow-pass vlan 1

 port trunk allow-pass vlan 11 to 15 //服务器区域用VLAN

#配置交换机连接NGFW-Btrust区域接口

interface Eth-Trunk11

 description TO-NGFW-B-Eth-trunk1-trust

 port link-type trunk

 undo port trunk allow-pass vlan 1

 port trunk allow-pass vlan 20 to 30 //各接入区域用VLAN

#将连接NGFW-trust区域的两条链路加入链路聚合组

interface 10GE2/6/0/2

 eth-trunk 11

#

interface 10GE2/6/0/3

 eth-trunk 11

#

3NGFW配置

#配置NGFW-A上的VLAN

#创建VLAN

vlan batch 10 to 15 20 to 30

#配置NGFW-A接口IP地址,此处以上行为例

interface Vlanif10

 ip address 192.168.1.2 255.255.255.0

#配置NGFW-A上接口加入到对应的安全区域

#

firewall zone trust

add interface Eth-Trunk1

add interface Vlanifxx

#

firewall zone untrust                    

 add interface GigabitEthernet1/0/0

 add interface Vlanif10

#

firewall zone dmz

 add interface GigabitEthernet1/0/1

 add interface Vlanifxx

#配置NGFW-B上的VLAN

#创建VLAN

vlan batch 10 to 15 20 to 30

#配置NGFW-B接口IP地址,此处以上行为例

interface Vlanif10

 ip address 192.168.1.3 255.255.255.0

#配置NGFW-B上接口加入到对应的安全区域

#

firewall zone trust

add interface Eth-Trunk1

add interface Vlanifxx

#

firewall zone untrust                    

 add interface GigabitEthernet1/0/0

 add interface Vlanif10

#

firewall zone dmz

 add interface GigabitEthernet1/0/1

 add interface Vlanifxx

#

#配置NGFW Module双机热备功能

#配置NGFW-A心跳接口

interface Eth-Trunk0

 description TO-NGFW-B

 ip address 10.1.1.1 255.255.255.252

 service-manage ping permit

 service-manage telnet permit

#

#配置NGFW-B心跳接口

interface Eth-Trunk0

 description TO-NGFW-A

 ip address 10.1.1.2 255.255.255.252

 service-manage ping permit

 service-manage telnet permit

#

#配置NGFW-A心跳接口加入到hrp区域

firewall zone name hrp id 4

 set priority 70

 add interface Eth-Trunk0

#

#配置NGFW-B心跳接口加入到hrp区域

firewall zone name hrp id 4

 set priority 70

 add interface Eth-Trunk0

#

#配置NGFW Module_Alocal区域与心跳接口所在安全区域间的安全策略的动作为允许

security-policy

rule name hrp

  source-zone local

  source-zone hrp

  destination-zone local

  destination-zone hrp

  action permit

#配置NGFW Module_Blocal区域与心跳接口所在安全区域间的安全策略的动作为允许

security-policy

rule name hrp

  source-zone local

  source-zone hrp

  destination-zone local

  destination-zone hrp

  action permit

#NGFW Module_A上配置VRRP备份组,此处以上行为例

interface Vlanif10

vrrp vrid 1 virtual-ip 192.168.1.1 active

 vrrp vrid 1 timer advertise 1

 service-manage ping permit

#NGFW Module_B上配置VRRP备份组,此处以上行为例

interface Vlanif10

vrrp vrid 1 virtual-ip 192.168.1.1 standby

 vrrp vrid 1 timer advertise 1

 service-manage ping permit

#NGFW ModuleA上启用会话快速备份功能

#hrp mirror session enable

# hrp interface Eth-Trunk0 remote 10.1.1.2

# hrp mirror session enable

#hrp enable

#NGFW ModuleB上启用会话快速备份功能

#hrp mirror session enable

# hrp interface Eth-Trunk0 remote 10.1.1.1

# hrp mirror session enable

#hrp enable

#配置物理接口,此处以上行为例

interface GigabitEthernet1/0/0

 portswitch //使接口工作在二层模式

 description TO-CE12808-A-10GE6/0/0-untrust

 undo shutdown

 port link-type trunk

 undo port trunk allow-pass vlan 1

 port trunk allow-pass vlan 10

4、根据业务需求配置防火墙untrusttrustdmz的安全策略

建议与总结

本方案需要关闭CE12808STP功能或者是在CE12808连接NGFW的内部接口上关闭STP功能防止由于STP生成树计算错误导致和NGFW连接的内部接口被阻断。

END