No se encuentran recursos de mapeo en el idioma seleccionado.

This site uses cookies. By continuing to browse the site you are agreeing to our use of cookies. Read our privacy policy>

Ejemplos típicos de configuración de la serie Sx300

Rate and give feedback:
Acerca de la traducción
Huawei ha traducido este documento a diferentes idiomas combinando la traducción automática con la revisión humana a fin de permitirle entender mejor su contenido. Nota: Sin importar lo avanzada que sea, la traducción automática no puede igualar la calidad que proporcionan los traductores profesionales. Huawei no asume ninguna responsabilidad por la precisión de las traducciones y recomienda consultar el documento escrito en inglés (al cual puede acceder mediante el enlace proporcionado).
Espera en caliente activo/standby de Capa 3 en los módulos de NGFW instalados en un Switch de clúster donde se implementa el desvío de tráfico basado en VLAN

Espera en caliente activo/standby de Capa 3 en los módulos de NGFW instalados en un Switch de clúster donde se implementa el desvío de tráfico basado en VLAN

Requisitos de servicio

Como se muestra en Figura 1-8, dos switches forman un CSS, y dos módulos de NGFW están instalados en la ranura 1 de los switches respectivos e implementan Espera en caliente. Los módulos de NGFW implementan la verificación de seguridad en el tráfico enviado por los usuarios de la intranet para acceder al área del servidor o a Internet.

Este ejemplo utiliza los módulos de NGFW que ejecutan V100R001C30 y switches que ejecutan V200R008C00. Para los ejemplos de configuración de los módulos de NGFW que ejecutan otras versiones, consulteDeployment Guide.

Figura 1-8  Red de CSS de switch y módulo de NGFW Espera en caliente
NOTA:

El módulo de NGFW tiene dos interfaces fijas de Ethernet internas: GE1/0/0 a GE1/0/1. La numeración de las interfaces de Ethernet internas en el switch está determinada por la ranura en la que está instalado el Módulo de NGFW. Por ejemplo, cuando el Módulo de NGFW está instalado en la ranura 1 del switch, las interfaces de Ethernet internas utilizadas por el switch son XGE1/1/0/0 a XGE1/1/0/1.

Eth-Trunk2 y Eth-Trunk3 son interfaces de los switches en CSS.

Solución del despliegue

Los módulos de NGFW funcionan en la capa 3, y los gateways de red de vínculo ascendentes y descendentes apuntan a los módulos de NGFW. Los switches funcionan en la Capa 2.

  1. Las interfaces que conectan cada módulo de NGFW e switch se atan en una interfaz Eth-Trunk. La interfaz Eth-Trunk es Eth-Trunk 1 en cada módulo de NGFW, Eth-Trunk 10 en el SwitchA y Eth-Trunk 11 en el SwitchB.
  2. Eth-Trunk en el lado del switch está configurado para funcionar en modo de Trunk y permite el paso de los paquetes de las VLAN 301, 302 y 200. Configure tres subinterfaces de Eth-Trunk en el lado del Módulo de NGFW para realizar la terminación de dot1q a los paquetes de las VLAN 301, 302 y 200, respectivamente, y realice el reenvío de Capa 3.
  3. Dos módulos de NGFW forman Espera en caliente en modo activo/standby. Por lo tanto, un grupo VRRP debe configurarse en las subinterfaces de vínculo ascendentes y descendentes de cada Módulo de NGFW. Un módulo de NGFW se agrega a un grupo VGMP activo, y el otro módulo de NGFW se agrega a un grupo VGMP standby.

    Las direcciones IP de gateway virtual del grupo VRRP son las direcciones de gateway de las redes de vínculo descendentes y ascendentes.

    Figura 1-9 proporciona una red lógica.

    Figura 1-9  Configuración de subinterfaces de Eth-Trunk y VRRP en los módulos de NGFW
    NOTA:

    Figura 1-9 solo proporciona información de las interfaces relacionadas con los switches y los módulos de NGFW.

  4. Agrupe las interfaces GE0/0/1 y GE0/0/2 en el panel de cada módulo de NGFW en una interfaz Eth-Trunk0, que funciona como la interfaz de latido y el canal de reserva y habilita Espera en caliente.
  5. Configure las funciones de seguridad, como políticas de seguridad, e IPS en NGFW Module_A. Module_A de NGFW sincronizará automáticamente sus configuraciones a NGFW Module_B.

Procedimiento

  1. Complete las configuraciones de la interfaz y de red básica en los módulos de NGFW.

    # Configure el nombre del dispositivo en NGFW Module_A.

    <sysname> system-view
    [sysname] sysname Module_A

    # Agregue las interfaces que conectan NGFW Module_A con su switch conectado a Eth-Trunk 1.

    [Module_A] interface Eth-Trunk 1
    [Module_A-Eth-Trunk1] description To_SWITCHA_trunk10
    [Module_A-Eth-Trunk1] quit
    [Module_A] interface GigabitEthernet 1/0/0
    [Module_A-GigabitEthernet1/0/0] Eth-Trunk 1
    [Module_A-GigabitEthernet1/0/0] quit
    [Module_A] interface GigabitEthernet 1/0/1
    [Module_A-GigabitEthernet1/0/1] Eth-Trunk 1
    [Module_A-GigabitEthernet1/0/1] quit

    # Configure las subinterfaces de Eth-Trunk 1 en NGFW Module_A y asígnelas a las VLAN 301, 302 y 200, respectivamente.

    NOTA:

    En las redes reales, la cantidad de subinterfaces requeridas depende de la cantidad de VLAN a partir de los paquetes que se deben finalizar.

    [Module_A] interface Eth-Trunk 1.301
    [Module_A-Eth-Trunk1.301] vlan-type dot1q 301
    [Module_A-Eth-Trunk1.301] ip address 10.1.0.1 24
    [Module_A-Eth-Trunk1.301] quit
    [Module_A] interface Eth-Trunk 1.302
    [Module_A-Eth-Trunk1.302] vlan-type dot1q 302
    [Module_A-Eth-Trunk1.302] ip address 10.2.0.1 24
    [Module_A-Eth-Trunk1.302] quit
    [Module_A] interface Eth-Trunk 1.200
    [Module_A-Eth-Trunk1.200] vlan-type dot1q 200
    [Module_A-Eth-Trunk1.200] ip address 10.3.0.1 24
    [Module_A-Eth-Trunk1.200] quit
    

    # Agregue las dos interfaces en el panel de NGFW Module_A a Eth-Trunk 0.

    [Module_A] interface Eth-Trunk 0
    [Module_A-Eth-Trunk0] description hrp_interface
    [Module_A-Eth-Trunk0] ip address 10.10.0.1 24
    [Module_A-Eth-Trunk0] quit
    [Module_A] interface GigabitEthernet 0/0/1
    [Module_A-GigabitEthernet0/0/1] Eth-Trunk 0
    [Module_A-GigabitEthernet0/0/1] quit
    [Module_A] interface GigabitEthernet 0/0/2
    [Module_A-GigabitEthernet0/0/2] Eth-Trunk 0
    [Module_A-GigabitEthernet0/0/2] quit

    # Asigne las interfaces de NGFW Module_A a las zonas de seguridad.

    [Module_A] firewall zone untrust
    [Module_A-zone-untrust] add interface Eth-Trunk 1.200
    [Module_A-zone-untrust] quit
    [Module_A] firewall zone dmz
    [Module_A-zone-dmz] add interface Eth-Trunk 1.302
    [Module_A-zone-dmz] quit
    [Module_A] firewall zone trust
    [Module_A-zone-trust] add interface Eth-Trunk 1.301
    [Module_A-zone-trust] quit
    [Module_A] firewall zone name hrp
    [Module_A-zone-hrp] set priority 75
    [Module_A-zone-hrp] add interface Eth-Trunk 0
    [Module_A-zone-hrp] quit

    # Configure el nombre del dispositivo en NGFW Module_B.

    <sysname> system-view
    [sysname] sysname Module_B

    # Agregue las interfaces que conectan NGFW Module_B con su switch conectado a Eth-Trunk 1.

    [Module_B] interface Eth-Trunk 1
    [Module_B-Eth-Trunk1] description To_SWITCHB_trunk11
    [Module_B-Eth-Trunk1] quit
    [Module_B] interface GigabitEthernet 1/0/0
    [Module_B-GigabitEthernet1/0/0] Eth-Trunk 1
    [Module_B-GigabitEthernet1/0/0] quit
    [Module_B] interface GigabitEthernet 1/0/1
    [Module_B-GigabitEthernet1/0/1] Eth-Trunk 1
    [Module_B-GigabitEthernet1/0/1] quit

    # Configure las subinterfaces de Eth-Trunk 1 en NGFW Module_B y asígnelas a las VLAN 301, 302 y 200, respectivamente.

    [Module_B] interface Eth-Trunk 1.301
    [Module_B-Eth-Trunk1.301] vlan-type dot1q 301
    [Module_B-Eth-Trunk1.301] ip address 10.1.0.2 24
    [Module_B-Eth-Trunk1.301] quit
    [Module_B] interface Eth-Trunk 1.302
    [Module_B-Eth-Trunk1.302] vlan-type dot1q 302
    [Module_B-Eth-Trunk1.302] ip address 10.2.0.2 24
    [Module_B-Eth-Trunk1.302] quit
    [Module_B] interface Eth-Trunk 1.200
    [Module_B-Eth-Trunk1.200] vlan-type dot1q 200
    [Module_B-Eth-Trunk1.200] ip address 10.3.0.2 24
    [Module_B-Eth-Trunk1.200] quit
    

    # Agregue las dos interfaces en el panel de NGFW Module_B a Eth-Trunk 0.

    [Module_B] interface Eth-Trunk 0
    [Module_B-Eth-Trunk0] description hrp_interface
    [Module_B-Eth-Trunk0] ip address 10.10.0.2 24
    [Module_B-Eth-Trunk0] quit
    [Module_B] interface GigabitEthernet 0/0/1
    [Module_B-GigabitEthernet0/0/1] Eth-Trunk 0
    [Module_B-GigabitEthernet0/0/1] quit
    [Module_B] interface GigabitEthernet 0/0/2
    [Module_B-GigabitEthernet0/0/2] Eth-Trunk 0
    [Module_B-GigabitEthernet0/0/2] quit

    # Asigne las interfaces de NGFW Module_B a las zonas de seguridad.

    [Module_B] firewall zone untrust
    [Module_B-zone-untrust] add interface Eth-Trunk 1.200
    [Module_B-zone-untrust] quit
    [Module_B] firewall zone dmz
    [Module_B-zone-dmz] add interface Eth-Trunk 1.302
    [Module_B-zone-dmz] quit
    [Module_B] firewall zone trust
    [Module_B-zone-trust] add interface Eth-Trunk 1.301
    [Module_B-zone-trust] quit
    [Module_B] firewall zone name hrp
    [Module_B-zone-hrp] set priority 75
    [Module_B-zone-hrp] add interface Eth-Trunk 0
    [Module_B-zone-hrp] quit

  2. En el Módulo de NGFW, configure una ruta predeterminada a Internet.

    # Ruta predeterminada de NGFW Module_A a Internet

    [Module_A] ip route-static 0.0.0.0 0.0.0.0 10.3.0.5

    # La ruta predeterminada de NGFW Module_B a Internet

    [Module_B] ip route-static 0.0.0.0 0.0.0.0 10.3.0.5

  3. Configure Espera en caliente en los módulos de NGFW.

    # Configure los grupos VRRP en NGFW Module_A.

    [Module_A] interface Eth-Trunk 1.301
    [Module_A-Eth-Trunk1.301] vrrp vrid 1 virtual-ip 10.1.0.3 active
    [Module_A-Eth-Trunk1.301] quit
    [Module_A] interface Eth-Trunk 1.302
    [Module_A-Eth-Trunk1.302] vrrp vrid 2 virtual-ip 10.2.0.3 active
    [Module_A-Eth-Trunk1.302] quit
    [Module_A] interface Eth-Trunk 1.200
    [Module_A-Eth-Trunk1.200] vrrp vrid 3 virtual-ip 10.3.0.3 active
    [Module_A-Eth-Trunk1.200] quit

    # Especifique la interfaz de latido y habilite Espera en caliente en NGFW Module_A.

    [Module_A] hrp interface Eth-Trunk 0
    [Module_A] hrp enable

    # Configure los grupos VRRP en NGFW Module_B.

    [Module_B] interface Eth-Trunk 1.301
    [Module_B-Eth-Trunk1.301] vrrp vrid 1 virtual-ip 10.1.0.3 standby
    [Module_B-Eth-Trunk1.301] quit
    [Module_B] interface Eth-Trunk 1.302
    [Module_B-Eth-Trunk1.302] vrrp vrid 2 virtual-ip 10.2.0.3 standby
    [Module_B-Eth-Trunk1.302] quit
    [Module_B] interface Eth-Trunk 1.200
    [Module_B-Eth-Trunk1.200] vrrp vrid 3 virtual-ip 10.3.0.3 standby
    [Module_B-Eth-Trunk1.200] quit

    # Especifique la interfaz de latido y habilite Espera en caliente en NGFW Module_B.

    [Module_B] hrp interface Eth-Trunk 0
    [Module_B] hrp enable
    [Module_B] hrp standby-device  //Este comando solo se requiere en las versiones anteriores a V100R001C30SPC300.
    NOTA:

    Después de configurar Espera en caliente, las configuraciones y sesiones en el dispositivo activo se sincronizan al dispositivo standby; por lo tanto, solo necesita realizar las siguientes configuraciones en el NGFW Module_A activo.

    Antes de configurar la prevención de intrusiones, asegúrese de que se cargue la licencia requerida y la base de datos de firmas de prevención intrusas sea la última versión.

    Al configurar la prevención de intrusiones, utilice el perfil de prevención de intrusiones predeterminada default.

  4. Configure los servicios de seguridad en los módulos de NGFW.

    # En NGFW Module_A, configure una política de seguridad para permitir que los usuarios de la intranet accedan a la zona del servidor (segmento de red 10.2.0.0/24).

    HRP_A[Module_A] security-policy
    HRP_A[Module_A-policy-security] rule name policy_to_server
    HRP_A[Module_A-policy-security-rule-policy_to_server] source-zone trust 
    HRP_A[Module_A-policy-security-rule-policy_to_server] destination-zone dmz
    HRP_A[Module_A-policy-security-rule-policy_to_server] destination-address 10.2.0.0 24
    HRP_A[Module_A-policy-security-rule-policy_to_server] service http ftp
    HRP_A[Module_A-policy-security-rule-policy_to_server] action permit
    HRP_A[Module_A-policy-security-rule-policy_to_server] quit
    HRP_A[Module_A-policy-security] quit
    

    # En NGFW Module_A, configure una política de seguridad para permitir que los usuarios de la intranet accedan a Internet y configuren la prevención de intrusiones.

    HRP_A[Module_A] security-policy
    HRP_A[Module_A-policy-security] rule name policy_to_wan
    HRP_A[Module_A-policy-security-rule-policy_to_wan] source-zone trust 
    HRP_A[Module_A-policy-security-rule-policy_to_wan] destination-zone untrust
    HRP_A[Module_A-policy-security-rule-policy_to_wan] source-address 10.1.0.0 24
    HRP_A[Module_A-policy-security-rule-policy_to_wan] service http ftp
    HRP_A[Module_A-policy-security-rule-policy_to_wan] profile ips default
    HRP_A[Module_A-policy-security-rule-policy_to_wan] action permit
    HRP_A[Module_A-policy-security-rule-policy_to_wan] quit
    HRP_A[Module_A-policy-security] quit
    

    # Configure ASPF en NGFW Module_A. FTP se usa como un ejemplo.

    HRP_A[Module_A] firewall interzone trust dmz
    HRP_A[Module_A-interzone-trust-dmz] detect ftp
    HRP_A[Module_A-interzone-trust-dmz] quit
    HRP_A[Module_A] firewall interzone trust untrust
    HRP_A[Module_A-interzone-trust-untrust] detect ftp
    HRP_A[Module_A-interzone-trust-untrust] quit
    

    # Guarde las configuraciones en NGFW Module_A y NGFW Module_B.

    HRP_A<Module_A> save
    The current configurations will be written to the device.
    Are you sure?[Y/N] y
    Now saving the current configuration to the device......
    Info:The Current Configuration was saved to the device successfully
    HRP_S<Module_B> save
    The current configurations will be written to the device.
    Are you sure?[Y/N] y
    Now saving the current configuration to the device......
    Info:The Current Configuration was saved to the device successfully

  5. Configure los switches de core para formar un CSS.
    1. Instale el hardware y conecte los cables. Para más detalles, consulte CSS Installation Guide.
    2. Establezca el modo de conexión de CSS (como el modo de conexión de la tarjeta de CSS), ID de CSS y prioridad de CSS.

      # Configure el CSS en SwitchA. En el ejemplo, el modo de conexión de CSS es el modo de conexión de tarjeta de CSS, el ID de CSS es 1 y la prioridad de CSS es 100.

      <Huawei> system-view
      [Huawei] sysname SwitchA
      [SwitchA] set css mode css-card                //Establezca el modo de conexión CSS. El modo predeterminado es el modo de conexión de la tarjeta CSS.
      [SwitchA] set css id 1                          //Establezca la ID de CSS. El valor predeterminado es 1.
      [SwitchA] set css priority 100                 //Establece la prioridad de CSS. El valor predeterminado es 1.
      

      # Configure el CSS en SwitchB. En el ejemplo, el modo de conexión de CSS es el modo de conexión de tarjeta de CSS, el ID de CSS es 2 y la prioridad de CSS es 10.

      <Huawei> system-view
      [Huawei] sysname SwitchB
      [SwitchB] set css mode css-card
      [SwitchB] set css id 2
      [SwitchB] set css priority 10
      

    3. Habilite la función de CSS.

      # Para usar SwitchA como el switch activo, habilite CSS en SwitchA y luego reinicie SwitchA.

      [SwitchA] css enable
      Warning: The CSS configuration will take effect only after the system is rebooted. T
      he next CSS mode is CSS card. Reboot now? [Y/N]:y

      # Habilite CSS en SwitchB y luego reinicie SwitchB.

      [SwitchB] css enable
      Warning: The CSS configuration will take effect only after the system is rebooted. T
      he next CSS mode is CSS card. Reboot now? [Y/N]:y

    4. Compruebe si el CSS está establecido.

      # Inicie sesión en el CSS desde el puerto de la consola de cualquier MPU y ejecute el siguiente comando para ver el estado de CSS.

      <SwitchA> display css status
      CSS Enable switch On                                                            
                                                                                      
      Chassis Id   CSS Enable   CSS Status      CSS Mode    Priority    Master Force  
      ------------------------------------------------------------------------------  
      1            On           Master          CSS card    100         Off           
      2            On           Standby         CSS card    10          Off           

      Si se muestran los ID de CSS, las prioridades de CSS, el estado de habilitación de CSS y el estado de CSS de los dos switches de miembro, como se muestra en la información anterior, se ha establecido el CSS.

      Se recomienda configurar MAD para minimizar el impacto de una división de CSS en los servicios. Las configuraciones detalladas no se describirán aquí.

    5. Cambie el nombre del sistema de clúster a CSS.

      <SwitchA> system-view
      [SwitchA] sysname CSS
      [CSS]

  6. Configure las interfaces del switch.
    1. Cree las VLAN.

      [CSS] vlan batch 200 301 to 302

    2. Agregue las interfaces de switch conectadas con NGFW Module_A a Eth-Trunk 10.

      [CSS] interface eth-trunk 10
      [CSS-Eth-Trunk10] description To_Module_A
      [CSS-Eth-Trunk10] port link-type trunk
      [CSS-Eth-Trunk10] trunkport xgigabitethernet 1/1/0/0 to 1/1/0/1
      [CSS-Eth-Trunk10] undo port trunk allow-pass vlan 1
      [CSS-Eth-Trunk10] port trunk allow-pass vlan 200 301 to 302       //Dirija el tráfico desde diferentes VLAN al Módulo NGFW.
      [CSS-Eth-Trunk10] quit
      

    3. Agregue las interfaces de switch conectadas con NGFW Module_B a Eth-Trunk 11.

      [CSS] interface eth-trunk 11
      [CSS-Eth-Trunk11] description To_Module_B
      [CSS-Eth-Trunk11] port link-type trunk
      [CSS-Eth-Trunk11] trunkport xgigabitethernet 2/1/0/0 to 2/1/0/1
      [CSS-Eth-Trunk11] undo port trunk allow-pass vlan 1
      [CSS-Eth-Trunk11] port trunk allow-pass vlan 200 301 to 302      //Dirija el tráfico desde diferentes VLAN al Módulo NGFW.
      [CSS-Eth-Trunk11] quit
      

    4. Configure Eth-Trunk 2 conectado a los usuarios de intranet. Agregar las interfaces a Eth-Trunk 2 no se menciona aquí.

      [CSS] interface eth-trunk 2
      [CSS-Eth-Trunk2] port link-type trunk
      [CSS-Eth-Trunk2] undo port trunk allow-pass vlan 1
      [CSS-Eth-Trunk2] port trunk allow-pass vlan 301      
      [CSS-Eth-Trunk2] quit

    5. Configure Eth-Trunk 3 conectado a los usuarios de intranet. Agregar las interfaces a Eth-Trunk 3 no se menciona aquí.

      [CSS] interface eth-trunk 3
      [CSS-Eth-Trunk3] port link-type trunk
      [CSS-Eth-Trunk3] undo port trunk allow-pass vlan 1
      [CSS-Eth-Trunk3] port trunk allow-pass vlan 302      
      [CSS-Eth-Trunk3] quit

    6. Configure Eth-Trunk 5 conectado al router de egreso. Agregar las interfaces a Eth-Trunk 5 no se menciona aquí.

      [CSS] interface eth-trunk 5
      [CSS-Eth-Trunk5] port link-type access
      [CSS-Eth-Trunk5] port default vlan 200
      [CSS-Eth-Trunk5] quit

  7. Configure los dispositivos de vínculo ascendentes y descendentes.
    1. Configure la interfaz de vínculo ascendente Eth-Trunk 2 en el switch de intranet para que funcione en modo trunk y permita el paso del tráfico de la VLAN 301.
    2. Configure la interfaz de vínculo ascendente Eth-Trunk 3 en el switch del servidor para que funcione en modo trunk y permita el paso del tráfico desde la VLAN 302.
    3. Establezca la dirección de gateway de los PC de Intranet en la dirección IP virtual (10.1.0.3) del grupo VRRP al grupo que pertenece Eth-Trunk 1.301.
    4. Establezca la dirección de gateway de los servidores en la dirección IP virtual (10.2.0.3) del grupo VRRP al grupo que pertenece Eth-Trunk 1.302.
    5. La dirección del siguiente salto de la ruta desde el router de egreso a la intranet es la dirección IP virtual (10.3.0.3) del grupo VRRP al grupo que pertenece Eth-Trunk 1.200.

Verificación

  1. Ejecute el comando display hrp state en NGFW Module_A para comprobar el estado actual de HRP. Si se muestra el siguiente resultado, se establece exitosamente una relación de HRP.

    HRP_A[Module_A] display hrp state
     The firewall's config state is: ACTIVE                                         
                                                                                    
     Backup channel usage: 0.01%                                                    
     Time elapsed after the last switchover: 0 days, 0 hours, 1 minutes             
     Current state of virtual routers configured as active:                         
                       Eth-Trunk1.200    vrid   3 : active
               (GigabitEthernet1/0/0)             : up  
               (GigabitEthernet1/0/1)             : up  
                       Eth-Trunk1.302    vrid   2 : active
               (GigabitEthernet1/0/0)             : up  
               (GigabitEthernet1/0/1)             : up  
                       Eth-Trunk1.301    vrid   1 : active
               (GigabitEthernet1/0/0)             : up  
               (GigabitEthernet1/0/1)             : up
    
  2. Compruebe si el acceso desde la intranet a Internet es exitoso y compruebe la tabla de sesiones de cada Módulo de NGFW.

    HRP_A[Module_A] display firewall session table
    Current Total Sessions : 1
      http  VPN: public --> public 10.1.0.10:22048 --> 3.3.3.3:80
    HRP_S[Module_B] display firewall session table
    Current Total Sessions : 1
      http  VPN: public --> public Remote 10.1.0.10:22048 --> 3.3.3.3:80

    De acuerdo con el resultado anterior, NGFW Module_A ha creado una entrada de sesión para el acceso desde la intranet a Internet. Existe una entrada de sesión con la etiqueta de Remota en NGFW Module_B, que indica que la copia de seguridad de la sesión es exitosa después de configurar Espera en caliente.

  3. Compruebe si el acceso de los usuarios en la intranet a los servidores es exitoso y compruebe la tabla de sesiones de cada Módulo de NGFW.

    HRP_A[Module_A] display firewall session table
    Current Total Sessions : 1
      http  VPN: public --> public 10.1.0.10:22048 --> 10.2.0.8:80
    HRP_S[Module_A] display firewall session table
    Current Total Sessions : 1
      http  VPN: public --> public Remote 10.1.0.10:22048 --> 10.2.0.8:80
    
  4. Configure un PC en la zona Trust para hacer ping constantemente a la dirección pública y ejecute el comando shutdown en Eth-trunk1 del NGFW Module_A. Luego, compruebe la conmutación de estado del Módulo de NGFW y los paquetes de ping descartados. Si la conmutación de estado es normal, NGFW Module_B se convierte en el dispositivo activo y carga los servicios. El símbolo del sistema de NGFW Module_B se cambia de HRP_S a HRP_A, y el símbolo del sistema de NGFW Module_A se cambia de HRP_A a HRP_S. No se descartan o se descartan varios paquetes de ping (1 a 3 paquetes, dependiendo de los entornos de red reales).

    Ejecute el comando undo shutdown en Eth-trunk1 del NGFW Module_A y compruebe la conmutación de estado del Módulo de NGFW y los paquetes de ping descartados. Si la conmutación de estado es normal, NGFW Module_A se convierte en el dispositivo activo y comienza a cargar los servicios después de que expire el retraso de preempción (60 segundos por defecto). El símbolo del sistema de NGFW Module_A se cambia de HRP_S a HRP_A, y el símbolo del sistema de NGFW Module_B se cambia de HRP_A a HRP_S. No se descartan o se descartan varios paquetes de ping (1 a 3 paquetes, dependiendo de los entornos de red reales).

Scripts de configuración

Los Scripts de configuración de los Módulos de NGFW:

NGFW Module_A NGFW Module_B
#
 sysname Module_A
#
 hrp enable
 hrp interface Eth-Trunk0 
#
interface Eth-Trunk0
 description hrp_interface
 ip address 10.10.0.1 255.255.255.0
#
interface Eth-Trunk1
 description To_SWITCHA_trunk10
#
interface Eth-Trunk1.200
 vlan-type dot1q 200
 ip address 10.3.0.1 255.255.255.0
 vrrp vrid 3 virtual-ip 10.3.0.3 active
#
interface Eth-Trunk1.301
 vlan-type dot1q 301
 ip address 10.1.0.1 255.255.255.0
 vrrp vrid 1 virtual-ip 10.1.0.3 active
#
interface Eth-Trunk1.302
 vlan-type dot1q 302
 ip address 10.2.0.1 255.255.255.0
 vrrp vrid 2 virtual-ip 10.2.0.3 active
#
interface GigabitEthernet0/0/1
 eth-trunk 0
#
interface GigabitEthernet0/0/2
 eth-trunk 0
#
interface GigabitEthernet1/0/0
 eth-trunk 1
#
interface GigabitEthernet1/0/1
 eth-trunk 1
#
firewall zone trust
 set priority 85
 add interface Eth-Trunk1.301
#
firewall zone untrust
 set priority 5   
 add interface Eth-Trunk1.200
#
firewall zone dmz  
 set priority 50   
 add interface Eth-Trunk1.302
# 
firewall zone name hrp
 set priority 75
 add interface Eth-Trunk0
# 
 firewall interzone trust untrust
  detect ftp
# 
firewall interzone trust dmz
  detect ftp
#
 ip route-static 0.0.0.0 0.0.0.0 10.3.0.5
#    
security-policy  
 rule name policy_to_server
  source-zone trust  
  destination-zone dmz
  destination-address 10.2.0.0 mask 255.255.255.0
  service http
  service ftp
  action permit   
 rule name policy_to_wan
  source-zone trust  
  destination-zone untrust
  source-address 10.1.0.0 mask 255.255.255.0
  service http
  service ftp
  profile ips default
  action permit    
#
return
#
 sysname Module_B
#
 hrp enable
 hrp interface Eth-Trunk0 
 hrp standby-device  //Este comando solo se requiere en las versiones anteriores a V100R001C30SPC300.
#
interface Eth-Trunk0
 description hrp_interface
 ip address 10.10.0.2 255.255.255.0
#
interface Eth-Trunk1
 description To_SWITCHB_trunk11
#
interface Eth-Trunk1.200
 vlan-type dot1q 200
 ip address 10.3.0.2 255.255.255.0
 vrrp vrid 3 virtual-ip 10.3.0.3 standby
#
interface Eth-Trunk1.301
 vlan-type dot1q 301
 ip address 10.1.0.2 255.255.255.0
 vrrp vrid 1 virtual-ip 10.1.0.3 standby
#
interface Eth-Trunk1.302
 vlan-type dot1q 302
 ip address 10.2.0.2 255.255.255.0
 vrrp vrid 2 virtual-ip 10.2.0.3 standby
#
interface GigabitEthernet0/0/1
  eth-trunk 0
#
interface GigabitEthernet0/0/2
 eth-trunk 0
#
interface GigabitEthernet1/0/0
 eth-trunk 1
#
interface GigabitEthernet1/0/1
 eth-trunk 1
#
firewall zone trust
 set priority 85
 add interface Eth-Trunk1.301
#
firewall zone untrust
 set priority 5 
 add Eth-Trunk1.200
#
firewall zone dmz  
 set priority 50   
 add interface Eth-Trunk1.302
#
firewall zone name hrp
 set priority 75
 add interface Eth-Trunk0
# 
firewall interzone trust untrust
  detect ftp
#
firewall interzone trust dmz
 detect ftp
#
 ip route-static 0.0.0.0 0.0.0.0 10.3.0.5
#    
security-policy  
 rule name policy_to_server
  source-zone trust  
  destination-zone dmz
  destination-address 10.2.0.0 mask 255.255.255.0
  service http
  service ftp
  action permit   
 rule name policy_to_wan
  source-zone trust  
  destination-zone untrust
  source-address 10.1.0.0 mask 255.255.255.0
  service http
  service ftp
  profile ips default
  action permit   
# 
return

Script de configuración de CSS:

# ----CSS configuration----
vlan batch 200 301 to 302
#
interface Eth-Trunk2
 port link-type trunk
 undo port trunk allow-pass vlan 1
 port trunk allow-pass vlan 301
#
interface Eth-Trunk3
 port link-type trunk
 undo port trunk allow-pass vlan 1
 port trunk allow-pass vlan 302
#
interface Eth-Trunk5
 port link-type access
 port default vlan 200
#
interface Eth-Trunk10
 description To_Module_A
 port link-type trunk
 undo port trunk allow-pass vlan 1
 port trunk allow-pass vlan 200 301 to 302
#
interface Eth-Trunk11
 description To_Module_B
 port link-type trunk
 undo port trunk allow-pass vlan 1
 port trunk allow-pass vlan 200 301 to 302
#
interface XGigabitEthernet1/1/0/0
 eth-Trunk 10
#
interface XGigabitEthernet1/1/0/1
 eth-Trunk 10
#
interface XGigabitEthernet2/1/0/0
 eth-Trunk 11
#
interface XGigabitEthernet2/1/0/1
 eth-Trunk 11
#
return
Descargar
Updated: 2018-08-15

N.° del documento: EDOC1100027119

Vistas:15659

Descargas: 131

Average rating:
This Document Applies to these Products
Documentos relacionados
Related Version
Share
Anterior Siguiente