No se encuentran recursos de mapeo en el idioma seleccionado.

This site uses cookies. By continuing to browse the site you are agreeing to our use of cookies. Read our privacy policy>

Ejemplos típicos de configuración de la serie Sx300

Rate and give feedback:
Acerca de la traducción
Huawei ha traducido este documento a diferentes idiomas combinando la traducción automática con la revisión humana a fin de permitirle entender mejor su contenido. Nota: Sin importar lo avanzada que sea, la traducción automática no puede igualar la calidad que proporcionan los traductores profesionales. Huawei no asume ninguna responsabilidad por la precisión de las traducciones y recomienda consultar el documento escrito en inglés (al cual puede acceder mediante el enlace proporcionado).
Espera en caliente del balanceo de carga de Capa 2 en los módulos de NGFW instalados en un Switch de clúster donde se implementa el desvío de tráfico basado en la redirección

Espera en caliente del balanceo de carga de Capa 2 en los módulos de NGFW instalados en un Switch de clúster donde se implementa el desvío de tráfico basado en la redirección

Requisitos de servicio

Como se muestra en Figura 1-1, dos switches forman un CSS, y dos módulos de NGFW están instalados en la ranura 1 de los switches respectivos e implementan Espera en caliente. Los módulos de NGFW funcionan en la Capa 2 y están conectados transparentemente a la red. Los módulos de NGFW implementan la verificación de seguridad en el tráfico enviado por usuarios de intranet a Internet. El tráfico intercambiado entre las diferentes VLAN no pasa los módulos de NGFW. En cambio, el tráfico es reenviado directamente por los switches.

Este ejemplo utiliza los módulos de NGFW que ejecutan V100R001C30 y switches que ejecutan V200R008C00. Para los ejemplos de configuración de los módulos de NGFW que ejecutan otras versiones, consulteDeployment Guide.

Figura 1-1  Red para el despliegue del Módulo de dual NGFW de Capa 2 y CSS de switch
NOTA:

El módulo de NGFW tiene dos interfaces fijas de Ethernet internas: GE1/0/0 a GE1/0/1. La numeración de las interfaces de Ethernet internas en el switch está determinada por la ranura en la que está instalado el Módulo de NGFW. Por ejemplo, cuando el Módulo de NGFW está instalado en la ranura 1 del switch, las interfaces de Ethernet internas utilizadas por el switch son XGE1/1/0/0 a XGE1/1/0/1.

Eth-Trunk2 y Eth-Trunk3 son interfaces de los switches en CSS.

Solución del despliegue

Las cuatro interfaces que conectan los switches a los módulos de NGFW están agrupadas en una interfaz Eth-Trunk, y el tráfico se distribuye entre los dos módulos de NGFW. Los dos módulos de NGFW implementan Espera en caliente en el modo de balanceo de carga de Capa 2.

  1. Agregue las cuatro interfaces en los switches a Eth-Trunk 10 y las cuatro interfaces en los módulos de NGFW a Eth-Trunk 1.
  2. La redirección se configura en los switches para dirigir el tráfico intercambiado entre los usuarios de la intranet e Internet a los módulos de NGFW. Eth-Trunk 1 se configura como un par de interfaz (los paquetes que ingresan a la interfaz se reenvían fuera de la misma interfaz después de ser procesados) en los módulos de NGFW para enviar tráfico de regreso a los switches.
    NOTA:
    Cuando el módulo de NGFW funciona en modo de par de interfaz, el switch no puede tener habilitada la función de detección de bucle. Si el switch tiene habilitada la función de detección de bucle, los paquetes de difusión se envían a la interfaz. Debido a que el Módulo de NGFW funciona en modo de par de interfaz, todos los paquetes recibidos por la interfaz se envían desde esta interfaz. Esto hace que el switch detecte los bucles de tráfico y deshabilite la interfaz.
  3. Los módulos de NGFW implementan Espera en caliente en el modo de balanceo de carga de Capa 2. Por lo tanto, configure las VLAN a ser rastreadas de las interfaces de vínculo ascendentes y descendentes.

    Figura 1-2 proporciona una red lógica para entender fácilmente.

    Figura 1-2  Configuración de Espera en caliente en los módulos de NGFW
    NOTA:

    Figura 1-2 solo proporciona información de las interfaces relacionadas con los switches y los módulos de NGFW.

  4. Agrupe las interfaces GE0/0/1 y GE0/0/2 en el panel de cada módulo de NGFW en una interfaz Eth-Trunk0, que funciona como la interfaz de latido y el canal de reserva y habilite Espera en caliente.
  5. Configure las funciones de seguridad, como políticas de seguridad, e IPS en NGFW Module_A. Module_A de NGFW sincronizará automáticamente sus configuraciones a NGFW Module_B.

Procedimiento

  1. Complete las configuraciones de la interfaz y de red básica en los módulos de NGFW.

    # Configure el nombre del dispositivo en NGFW Module_A.

    <sysname> system-view
    [sysname] sysname Module_A

    # Cree las VLAN en NGFW Module_A.

    [Module_A] vlan batch 200 301 to 302
    [Module_A-vlan-302] quit

    # Cree Eth-Trunk 1 de Capa 2 en NGFW Module_A y permita los paquetes desde las VLAN de vínculo ascendentes y descendentes.

    [Module_A] interface Eth-Trunk 1
    [Module_A-Eth-Trunk1] description To_SwitchA_trunk10
    [Module_A-Eth-Trunk1] portswitch
    [Module_A-Eth-Trunk1] port link-type trunk
    [Module_A-Eth-Trunk1] port trunk permit vlan 200 301 to 302
    [Module_A-Eth-Trunk1] quit

    # Agregue las interfaces que conectan NGFW Module_A con su switch conectado a Eth-Trunk 1.

    [Module_A] interface GigabitEthernet 1/0/0
    [Module_A-GigabitEthernet1/0/0] portswitch
    [Module_A-GigabitEthernet1/0/0] Eth-Trunk 1
    [Module_A-GigabitEthernet1/0/0] quit
    [Module_A] interface GigabitEthernet 1/0/1
    [Module_A-GigabitEthernet1/0/1] portswitch
    [Module_A-GigabitEthernet1/0/1] Eth-Trunk 1
    [Module_A-GigabitEthernet1/0/1] quit

    # Configure Eth-Trunk 1 como un par de interfaz en NGFW Module_A.

    [Module_A] pair-interface Eth-Trunk 1 Eth-Trunk 1

    # Agregue las dos interfaces en el panel de NGFW Module_A a Eth-Trunk 0.

    [Module_A] interface Eth-Trunk 0
    [Module_A-Eth-Trunk0] description hrp_interface
    [Module_A-Eth-Trunk0] ip address 10.10.0.1 24
    [Module_A-Eth-Trunk0] quit
    [Module_A] interface GigabitEthernet 0/0/1
    [Module_A-GigabitEthernet0/0/1] Eth-Trunk 0
    [Module_A-GigabitEthernet0/0/1] quit
    [Module_A] interface GigabitEthernet 0/0/2
    [Module_A-GigabitEthernet0/0/2] Eth-Trunk 0
    [Module_A-GigabitEthernet0/0/2] quit

    # Asigne las interfaces de NGFW Module_A a las zonas de seguridad.

    [Module_A] firewall zone trust
    [Module_A-zone-trust] add interface Eth-Trunk 1
    [Module_A-zone-trust] quit
    [Module_A] firewall zone name hrp
    [Module_A-zone-hrp] set priority 75
    [Module_A-zone-hrp] add interface Eth-Trunk 0
    [Module_A-zone-hrp] quit

    # Configure el nombre del dispositivo en NGFW Module_B.

    <sysname> system-view
    [sysname] sysname Module_B

    # Cree las VLAN en NGFW Module_B.

    [Module_B] vlan batch 200 301 to 302
    [Module_B-vlan-302] quit

    # Cree Eth-Trunk 1 de Capa 2 en NGFW Module_B y permita los paquetes de las VLAN d vínculo ascendentes y descendentes.

    [Module_B] interface Eth-Trunk 1
    [Module_B-Eth-Trunk1] description To_SwitchB_trunk10
    [Module_B-Eth-Trunk1] portswitch
    [Module_B-Eth-Trunk1] port link-type trunk
    [Module_B-Eth-Trunk1] port trunk permit vlan 200 301 to 302
    [Module_B-Eth-Trunk1] quit

    # Agregue las interfaces que conectan NGFW Module_B con su switch conectado a Eth-Trunk 1.

    [Module_B] interface GigabitEthernet 1/0/0
    [Module_B-GigabitEthernet1/0/0] portswitch
    [Module_B-GigabitEthernet1/0/0] Eth-Trunk 1
    [Module_B-GigabitEthernet1/0/0] quit
    [Module_B] interface GigabitEthernet 1/0/1
    [Module_B-GigabitEthernet1/0/1] portswitch
    [Module_B-GigabitEthernet1/0/1] Eth-Trunk 1
    [Module_B-GigabitEthernet1/0/1] quit

    # Configure Eth-Trunk 1 como un par de interfaz en NGFW Module_B.

    [Module_B] pair-interface Eth-Trunk 1 Eth-Trunk 1
    

    # Agregue las dos interfaces en el panel de NGFW Module_B a Eth-Trunk 0.

    [Module_B] interface Eth-Trunk 0
    [Module_B-Eth-Trunk0] description hrp_interface
    [Module_B-Eth-Trunk0] ip address 10.10.0.2 24
    [Module_B-Eth-Trunk0] quit
    [Module_B] interface GigabitEthernet 0/0/1
    [Module_B-GigabitEthernet0/0/1] Eth-Trunk 0
    [Module_B-GigabitEthernet0/0/1] quit
    [Module_B] interface GigabitEthernet 0/0/2
    [Module_B-GigabitEthernet0/0/2] Eth-Trunk 0
    [Module_B-GigabitEthernet0/0/2] quit

    # Asigne las interfaces de NGFW Module_B a las zonas de seguridad.

    [Module_B] firewall zone trust
    [Module_B-zone-trust] add interface Eth-Trunk 1
    [Module_B-zone-trust] quit
    [Module_B] firewall zone name hrp
    [Module_B-zone-hrp] set priority 75
    [Module_B-zone-hrp] add interface Eth-Trunk 0
    [Module_B-zone-hrp] quit

  2. Configure Espera en caliente en los módulos de NGFW.

    # Habilite la copia de seguridad de sesión rápida en NGFW Module_A.

    [Module_A] hrp mirror session enable

    # Especifique la interfaz de latido y habilite Espera en caliente en NGFW Module_A.

    [Module_A] hrp interface Eth-Trunk 0
    [Module_A] hrp enable
    [Module_A] hrp loadbalance-device //Este comando solo se requiere en las versiones anteriores a V100R001C30SPC300.

    # Habilite la copia de seguridad de sesión rápida en NGFW Module_B.

    [Module_B] hrp mirror session enable

    # Especifique la interfaz de latido y habilite Espera en caliente en NGFW Module_B.

    [Module_B] hrp interface Eth-Trunk 0
    [Module_B] hrp enable
    [Module_B] hrp loadbalance-device //Este comando solo se requiere en las versiones anteriores a V100R001C30SPC300.
    NOTA:

    Después de configurar Espera en caliente, las configuraciones y sesiones en el dispositivo activo se sincronizan al dispositivo standby; por lo tanto, solo necesita realizar las siguientes configuraciones en el NGFW Module_A activo.

    Antes de configurar la prevención de intrusiones, asegúrese de que se cargue la licencia requerida y la base de datos de firmas de prevención intrusas sea la última versión.

    Al configurar la prevención de intrusiones, utilice el perfil de prevención de intrusiones predeterminada default.

  3. Configure los servicios de seguridad en los módulos de NGFW.

    # En NGFW Module_A, configure una política de seguridad para permitir que los usuarios de la intranet accedan a Internet y configuren la prevención de intrusiones.

    HRP_A[Module_A] security-policy
    HRP_A[Module_A-policy-security] rule name policy_to_wan
    HRP_A[Module_A-policy-security-rule-policy_to_wan] source-address 10.1.0.0 24
    HRP_A[Module_A-policy-security-rule-policy_to_wan] source-address 10.2.0.0 24
    HRP_A[Module_A-policy-security-rule-policy_to_wan] profile ips default
    HRP_A[Module_A-policy-security-rule-policy_to_wan] action permit
    HRP_A[Module_A-policy-security-rule-policy_to_wan] quit
    HRP_A[Module_A-policy-security] quit
    
    NOTA:

    En este ejemplo, la política de seguridad configurada permite a los usuarios de la intranet acceder a Internet. Para permitir que Internet acceda a la intranet, configure una regla cuya dirección de destino sea una dirección de intranet.

    # Configure ASPF en NGFW Module_A. FTP se usa como un ejemplo.

    HRP_A[Module_A] firewall zone trust
    HRP_A[Module_A-zone-trust] detect ftp
    HRP_A[Module_A-zone-trust] quit
    

    # Guarde las configuraciones en NGFW Module_A y NGFW Module_B.

    HRP_A<Module_A> save
    The current configurations will be written to the device.
    Are you sure?[Y/N] y
    Now saving the current configuration to the device......
    Info:The Current Configuration was saved to the device successfully
    HRP_S<Module_B> save
    The current configurations will be written to the device.
    Are you sure?[Y/N] y
    Now saving the current configuration to the device......
    Info:The Current Configuration was saved to the device successfully

  4. Configure los switches de core para formar un CSS.
    1. Instale el hardware y conecte los cables. Para más detalles, consulte CSS Installation Guide.
    2. Establezca el modo de conexión de CSS (como el modo de conexión de la tarjeta de CSS), ID de CSS y prioridad de CSS.

      # Configure el CSS en SwitchA. En el ejemplo, el modo de conexión de CSS es el modo de conexión de tarjeta de CSS, el ID de CSS es 1 y la prioridad de CSS es 100.

      <Huawei> system-view
      [Huawei] sysname SwitchA
      [SwitchA] set css mode css-card                //Establezca el modo de conexión CSS. El modo predeterminado es el modo de conexión de la tarjeta CSS.
      [SwitchA] set css id 1                          //Establezca la ID de CSS. El valor predeterminado es 1.
      [SwitchA] set css priority 100                 //Establece la prioridad de CSS. El valor predeterminado es 1.
      

      # Configure el CSS en SwitchB. En el ejemplo, el modo de conexión de CSS es el modo de conexión de tarjeta de CSS, el ID de CSS es 2 y la prioridad de CSS es 10.

      <Huawei> system-view
      [Huawei] sysname SwitchB
      [SwitchB] set css mode css-card
      [SwitchB] set css id 2
      [SwitchB] set css priority 10
      

    3. Habilite la función de CSS.

      # Para usar SwitchA como el switch activo, habilite CSS en SwitchA y luego reinicie SwitchA.

      [SwitchA] css enable
      Warning: The CSS configuration will take effect only after the system is rebooted. T
      he next CSS mode is CSS card. Reboot now? [Y/N]:y

      # Habilite CSS en SwitchB y luego reinicie SwitchB.

      [SwitchB] css enable
      Warning: The CSS configuration will take effect only after the system is rebooted. T
      he next CSS mode is CSS card. Reboot now? [Y/N]:y

    4. Compruebe si el CSS está establecido.

      # Inicie sesión en el CSS desde el puerto de la consola de cualquier MPU y ejecute el siguiente comando para ver el estado de CSS.

      <SwitchA> display css status
      CSS Enable switch On                                                            
                                                                                      
      Chassis Id   CSS Enable   CSS Status      CSS Mode    Priority    Master Force  
      ------------------------------------------------------------------------------  
      1            On           Master          CSS card    100         Off           
      2            On           Standby         CSS card    10          Off           

      Si se muestran los ID de CSS, las prioridades de CSS, el estado de habilitación de CSS y el estado de CSS de los dos switches de miembro, como se muestra en la información anterior, se ha establecido el CSS.

      Se recomienda configurar MAD para minimizar el impacto de una división de CSS en los servicios. Las configuraciones detalladas no se describirán aquí.

    5. Cambie el nombre del sistema de clúster a CSS.

      <SwitchA> system-view
      [SwitchA] sysname CSS
      [CSS]

  5. Configure las interfaces de switch y las VLAN. Este ejemplo describe cómo configurar la interconexión entre el switch y los módulos de NGFW.
    1. Cree las VLAN.

      [CSS] vlan batch 200 301 to 302

    2. Configure las interfaces de vínculo ascendentes y descendentes, aisle las interfaces de vínculo ascendentes y descendentes de Eth-Trunk10 unidireccionalmente. No se menciona aquí agregar las interfaces a las interfaces Eth-Trunk.

      [CSS] interface eth-trunk 2
      [CSS-Eth-Trunk2] port link-type trunk
      [CSS-Eth-Trunk2] undo port trunk allow-pass vlan 1
      [CSS-Eth-Trunk2] port trunk allow-pass vlan 301
      [CSS-Eth-Trunk2] am isolate Eth-Trunk 10
      [CSS-Eth-Trunk2] quit
      [CSS] interface eth-trunk 3
      [CSS-Eth-Trunk3] port link-type trunk
      [CSS-Eth-Trunk3] undo port trunk allow-pass vlan 1
      [CSS-Eth-Trunk3] port trunk allow-pass vlan 302
      [CSS-Eth-Trunk3] am isolate Eth-Trunk 10
      [CSS-Eth-Trunk3] quit
      [CSS] interface eth-trunk 5
      [CSS-Eth-Trunk5] port link-type access
      [CSS-Eth-Trunk5] port default vlan 200
      [CSS-Eth-Trunk5] am isolate Eth-Trunk 10
      [CSS-Eth-Trunk5] quit

    3. Configure las interfaces VLANIF como gateways de vínculo ascendentes y descendentes.

      [CSS] interface vlanif301
      [CSS-Vlanif301] ip address 10.1.0.1 24
      [CSS-Vlanif301] quit
      [CSS] interface vlanif302
      [CSS-Vlanif302] ip address 10.2.0.1 24
      [CSS-Vlanif302] quit
      [CSS] interface vlanif200
      [CSS-Vlanif200] ip address 10.3.0.1 24
      [CSS-Vlanif200] quit

    4. Agregue las interfaces de switch conectadas con el Módulo de NGFW a Eth-Trunk 10.

      [CSS] interface eth-trunk 10
      [CSS-Eth-Trunk10] description To_Module
      [CSS-Eth-Trunk10] port link-type trunk
      [CSS-Eth-Trunk10] trunkport xgigabitethernet 1/1/0/0 to 1/1/0/1
      [CSS-Eth-Trunk10] trunkport xgigabitethernet 2/1/0/0 to 2/1/0/1
      [CSS-Eth-Trunk10] undo port trunk allow-pass vlan 1
      [CSS-Eth-Trunk10] port trunk allow-pass vlan 200 301 to 302
      [CSS-Eth-Trunk10] mac-address learning disable
      [CSS-Eth-Trunk10] undo local-preference enable
      [CSS-Eth-Trunk10] stp disable
      [CSS-Eth-Trunk10] quit
      

    5. Establezca el modo de balanceo de carga de la interfaz Eth-Trunk.

      NOTA:

      Cuando el tráfico se envía desde los switches a los módulos de NGFW, el Eth-Trunk de table cruzado distribuye el tráfico. Para garantizar que los paquetes de ida y vuelta sean enviados por el mismo Módulo de NGFW, establezca el modo mejorado del balanceo de carga. En el ejemplo, las direcciones IP de origen y destino se utilizan para ilustración.

      [CSS] load-balance-profile module
      [CSS-load-balance-profile-module] ipv4 field sip dip
      [CSS-load-balance-profile-module] quit
      [CSS] interface Eth-Trunk 10
      [CSS-Eth-Trunk10] load-balance enhanced profile module
      [CSS-Eth-Trunk10] quit

    6. Configure las políticas de tráfico para redirigir el tráfico a los módulos de NGFW.

      # Cree las ACL.

      [CSS] acl 3001       //Coincida el tráfico intercambiado entre los usuarios de intranet de diferentes VLAN.
      [CSS-acl-adv-3001] rule permit ip source 10.1.0.0 0.0.0.255 destination 10.2.0.0 0.0.0.255
      [CSS-acl-adv-3001] rule permit ip source 10.2.0.0 0.0.0.255 destination 10.1.0.0 0.0.0.255
      [CSS-acl-adv-3001] quit
      [CSS] acl 3002  //Coincida el tráfico enviado por los usuarios de la intranet para acceder a Internet.
      [CSS-acl-adv-3002] rule permit ip source 10.1.0.0 0.0.0.255
      [CSS-acl-adv-3002] rule permit ip source 10.2.0.0 0.0.0.255
      [CSS-acl-adv-3002] quit
      [CSS] acl 3004       //Coincida el tráfico de Internet a la intranet.
      [CSS-acl-adv-3004] rule permit ip destination 10.1.0.0 0.0.0.255
      [CSS-acl-adv-3004] rule permit ip destination 10.2.0.0 0.0.0.255
      [CSS-acl-adv-3004] quit
      

      # Configure el switch para que no dirija el tráfico intercambiado entre los usuarios de la intranet, sino para dirigir el tráfico enviado por la intranet a acceder a Internet a los módulos de NGFW.

      [CSS] traffic classifier classifier1 precedence 5       
      [CSS-classifier-classifier1] if-match acl 3001
      [CSS-classifier-classifier1] quit
      [CSS] traffic behavior behavior1      //Permita el tráfico intercambiado entre los usuarios de intranet.
      [CSS-behavior-behavior1] permit
      [CSS-behavior-behavior1] quit
      [CSS] traffic classifier classifier2 precedence 10       
      [CSS-classifier-classifier2] if-match acl 3002
      [CSS-classifier-classifier2] quit
      [CSS] traffic behavior behavior2      //Redirija el tráfico de la intranet a Internet a la interfaz que conecta el switch al módulo de NGFW.
      [CSS-behavior-behavior2] redirect interface Eth-Trunk 10
      [CSS-behavior-behavior2] quit
      [CSS] traffic policy policy1       //Configure una política de tráfico.
      [CSS-trafficpolicy-policy1] classifier classifier1 behavior behavior1
      [CSS-trafficpolicy-policy1] classifier classifier2 behavior behavior2
      [CSS-trafficpolicy-policy1] quit
      [CSS] interface Eth-Trunk 2
      [CSS-Eth-Trunk2] traffic-policy policy1 inbound
      [CSS-Eth-Trunk2] quit
      [CSS] interface Eth-Trunk 3
      [CSS-Eth-Trunk3] traffic-policy policy1 inbound
      [CSS-Eth-Trunk3] quit
      

      # Configure el switch para redirigir el tráfico de Internet a la intranet al Módulo de NGFW.

      [CSS] traffic classifier classifier4       
      [CSS-classifier-classifier4] if-match acl 3004
      [CSS-classifier-classifier4] quit
      [CSS] traffic behavior behavior4      //Redirija el tráfico de Internet a la intranet a la interfaz que conecta el switch al Módulo de NGFW.
      [CSS-behavior-behavior4] redirect interface Eth-Trunk 10
      [CSS-behavior-behavior4] quit
      [CSS] traffic policy policy2       //Configure una política de tráfico.
      [CSS-trafficpolicy-policy2] classifier classifier4 behavior behavior4
      [CSS-trafficpolicy-policy2] quit
      [CSS] interface Eth-Trunk 5
      [CSS-Eth-Trunk5] traffic-policy policy2 inbound
      [CSS-Eth-Trunk5] quit
      

    7. Configure una ruta estática.

      NOTA:

      Después de recibir los paquetes, el switch busca la tabla de enrutamiento para completar el reenvío de Capa 3, aunque las políticas de redireccionamiento están configuradas. Sin embargo, las interfaces de salida de los paquetes todavía están determinadas por las políticas de redirección.

      En el ejemplo, cuando se recibe un paquete de la intranet a Internet, el switch primero busca la tabla de enrutamiento, cambia la etiqueta VLAN de 301 o 302 a 200 según la ruta predeterminada y luego reenvía el paquete al Módulo de NGFW. Después de recibir un paquete de Internet a la intranet, el switch cambia la etiqueta VLAN de 200 a 301 o 302 según la ruta directa y luego reenvía el paquete al Módulo de NGFW.

      Si no se coincide ninguna entrada de enrutamiento, el switch reenvía el paquete según la política de redireccionamiento sin cambiar la etiqueta VLAN.

      # Configure una ruta predeterminada a Internet.

      [CSS] ip route-static 0.0.0.0 0.0.0.0 10.3.0.5

Verificación

  1. Ejecute el comando display hrp state en NGFW Module_A para comprobar el estado actual de HRP. Si se muestra el siguiente resultado, se establece exitosamente una relación de HRP.

    HRP_A[Module_A] display hrp state
     The firewall's config state is: ACTIVE                                                                                             
                                                                                                                                        
     Backup channel usage: 0.01%                                                                                                        
     Time elapsed after the last switchover: 0 days, 0 hours, 36 minutes   
     Current state of interfaces tracked by active: 
               Eth-trunk1 (VLAN 200) : up
               Eth-trunk1 (VLAN 301) : up
               Eth-trunk1 (VLAN 302) : up
     Current state of interfaces tracked by standby: 
               Eth-trunk1 (VLAN 200) : up
               Eth-trunk1 (VLAN 301) : up
               Eth-trunk1 (VLAN 302) : up
  2. Compruebe si el acceso desde la intranet a Internet es exitoso y compruebe la tabla de sesiones de cada Módulo de NGFW.

    HRP_A[Module_A] display firewall session table
    Current Total Sessions : 1
      http  VPN: public --> public 10.1.0.10:22048 --> 3.3.3.3:80
    HRP_S[Module_B] display firewall session table
    Current Total Sessions : 1
      http  VPN: public --> public Remote 10.1.0.10:22048 --> 3.3.3.3:80

    De acuerdo con el resultado anterior, NGFW Module_A ha creado una entrada de sesión para el acceso desde la intranet a Internet. Existe una entrada de sesión con la etiqueta de Remota en NGFW Module_B, que indica que la copia de seguridad de la sesión es exitosa después de configurar Espera en caliente.

  3. Configure un PC en la zona Trust para hacer ping constantemente a la dirección pública y ejecute el comando shutdown en Eth-trunk1 del NGFW Module_A. Luego, compruebe la conmutación de estado del Módulo de NGFW y los paquetes de ping descartados. Si la conmutación de estado es normal, NGFW Module_B se convierte en el activo y carga los servicios. No se descartan o se descartan varios paquetes ping (de 1 a 3 paquetes, dependiendo de los entornos de red reales).

    Ejecute el comando undo shutdown en Eth-trunk1 del NGFW Module_A y compruebe la conmutación de estado del Módulo de NGFW y los paquetes de ping descartados. Si la conmutación de estado es normal, NGFW Module_A se convierte en el activo y comienza a cargar los servicios después de que expire el retraso de preempción (60 segundos por defecto). No se descartan o se descartan varios paquetes ping (de 1 a 3 paquetes, dependiendo de los entornos de red reales).

Scripts de configuración

Los scripts de configuración de los módulos de NGFW:

NGFW Module_A NGFW Module_B
#
 sysname Module_A
#
 hrp mirror session enable
 hrp enable
 hrp interface Eth-Trunk0
 hrp loadbalance-device //Este comando solo se requiere en las versiones anteriores a V100R001C30SPC300.
#
vlan batch 200 301 to 302
#
pair-interface Eth-Trunk1 Eth-Trunk1
# 
vlan 200
 hrp track active
 hrp track standby
     Eth-Trunk1
#
vlan 301
 hrp track active
 hrp track standby
     Eth-Trunk1
#
vlan 302
 hrp track active
 hrp track standby
     Eth-Trunk1
#
interface Eth-Trunk0
 description hrp_interface
 ip address 10.10.0.1 255.255.255.0
#
interface Eth-Trunk1
 description To_SwitchA_trunk10
 portswitch 
 port link-type trunk
 port trunk permit vlan 200 301 to 302  
#
interface GigabitEthernet0/0/1
 eth-trunk 0
#
interface GigabitEthernet0/0/2
 eth-trunk 0
#
interface GigabitEthernet1/0/0
 portswitch 
 eth-trunk 1
#
interface GigabitEthernet1/0/1
 portswitch  
 eth-trunk 1
#
firewall zone trust
 set priority 85
 detect ftp
 add interface Eth-Trunk1
# 
firewall zone name hrp
 set priority 75
 add interface Eth-Trunk0
#   
security-policy  
 rule name policy_to_wan
  source-address 10.1.0.0 mask 255.255.255.0
  source-address 10.2.0.0 mask 255.255.255.0
  profile ips default
  action permit    
#
return
#
 sysname Module_B
#
 hrp mirror session enable
 hrp enable
 hrp interface Eth-Trunk0
 hrp loadbalance-device //Este comando solo se requiere en las versiones anteriores a V100R001C30SPC300.
#
vlan batch 200 301 to 302
#
pair-interface Eth-Trunk1 Eth-Trunk1
# 
vlan 200
 hrp track active
 hrp track standby
     Eth-Trunk1
#
vlan 301
 hrp track active
 hrp track standby
     Eth-Trunk1
#
vlan 302
 hrp track active
 hrp track standby
     Eth-Trunk1
#
interface Eth-Trunk0
 description hrp_interface
 ip address 10.10.0.2 255.255.255.0
#
interface Eth-Trunk1
 description To_SwitchB_trunk10
 portswitch 
 port link-type trunk
 port trunk permit vlan 200 301 to 302 
#
interface GigabitEthernet0/0/1
 eth-trunk 0
#
interface GigabitEthernet0/0/2
 eth-trunk 0
#
interface GigabitEthernet1/0/0
 portswitch 
 eth-trunk 1
#
interface GigabitEthernet1/0/1
 portswitch 
 eth-trunk 1
#
firewall zone trust
 set priority 85
 detect ftp
 add interface Eth-Trunk1
#
firewall zone name hrp
 set priority 75
 add interface Eth-Trunk0
#  
security-policy  
 rule name policy_to_wan
  source-address 10.1.0.0 mask 255.255.255.0
  source-address 10.2.0.0 mask 255.255.255.0
  profile ips default
  action permit 
# 
return

Script de configuración de CSS:

# ----Traffic diversion configuration----
load-balance-profile module
#
vlan batch 200 301 to 302
#
acl number 3001
 rule 5 permit ip source 10.1.0.0 0.0.0.255 destination 10.2.0.0 0.0.0.255
 rule 10 permit ip source 10.2.0.0 0.0.0.255 destination 10.1.0.0 0.0.0.255
acl number 3002
 rule 5 permit ip source 10.1.0.0 0.0.0.255
 rule 10 permit ip source 10.2.0.0 0.0.0.255
acl number 3004
 rule 5 permit ip destination 10.1.0.0 0.0.0.255
 rule 10 permit ip destination 10.2.0.0 0.0.0.255
#
traffic classifier classifier1 operator or precedence 5
 if-match acl 3001
traffic classifier classifier2 operator or precedence 10
 if-match acl 3002
traffic classifier classifier4 operator or precedence 15
 if-match acl 3004
#
traffic behavior behavior1
 permit
traffic behavior behavior2
 permit      
 redirect interface Eth-Trunk10
traffic behavior behavior4
 permit
 redirect interface Eth-Trunk10
#
traffic policy policy1 match-order config      
 classifier classifier1 behavior behavior1
 classifier classifier2 behavior behavior2
traffic policy policy2 match-order config       
 classifier classifier4 behavior behavior4
#
interface Vlanif200
 ip address 10.3.0.1 255.255.255.0
#
interface Vlanif301
 ip address 10.1.0.1 255.255.255.0
#
interface Vlanif302
 ip address 10.2.0.1 255.255.255.0
#
interface Eth-Trunk2
 port link-type trunk
 undo port trunk allow-pass vlan 1
 port trunk allow-pass vlan 301
 am isolate Eth-Trunk 10
 traffic-policy policy1 inbound
#
interface Eth-Trunk3
 port link-type trunk
 undo port trunk allow-pass vlan 1
 port trunk allow-pass vlan 302
 am isolate Eth-Trunk 10
 traffic-policy policy1 inbound
#
interface Eth-Trunk5
 port default vlan 200
 am isolate Eth-Trunk 10
 traffic-policy policy2 inbound
#
interface Eth-Trunk10
 description To_Module
 port link-type trunk
 undo port trunk allow-pass vlan 1
 port trunk allow-pass vlan 200 301 to 302
 mac-address learning disable
 stp disable
 load-balance enhanced profile module
 undo local-preference enable
#
interface XGigabitEthernet1/1/0/0
 eth-trunk 10
#
interface XGigabitEthernet1/1/0/1
 eth-trunk 10
#
interface xgigabitethernet1/1/0/2
 eth-trunk 2
#
interface xgigabitethernet1/1/0/3
 eth-trunk 3
#
interface xgigabitethernet1/1/0/5
 eth-trunk 5
#
interface XGigabitEthernet2/1/0/0
 eth-trunk 10
#
interface XGigabitEthernet2/1/0/1
 eth-trunk 10
#
interface xgigabitethernet2/1/0/2
 eth-trunk 2
#
interface xgigabitethernet2/1/0/3
 eth-trunk 3
#
interface xgigabitethernet2/1/0/5
 eth-trunk 5
#
ip route-static 0.0.0.0 0.0.0.0 10.3.0.5
#
return
Descargar
Updated: 2018-08-15

N.° del documento: EDOC1100027119

Vistas:15365

Descargas: 127

Average rating:
This Document Applies to these Products
Documentos relacionados
Related Version
Share
Anterior Siguiente