所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

防火墙在SCG运营商场景中的应用

评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
防火墙在SCG运营商场景中的应用

防火墙在SCG运营商场景中的应用

简介

本案例介绍了防火墙在SCG运营商场景中的应用。通过分析SCG无线综合业务网关面临的安全问题,本案例给出了典型的应用方案。

基于Eudemon200E-N&Eudemon1000E-N&Eudemon8000E-X V500R005C00版本写作,可供Eudemon200E-N&Eudemon1000E-N&Eudemon8000E-X V500R005C00、Eudemon200E-G&Eudemon1000E-G V600R006C00及后续版本参考。不同版本之间可能存在差异,请以实际版本为准。

方案简介

SCG简介

SCG(Service Control Gateway)是华为技术有限公司推出的无线综合业务网关产品。SCG不仅可以提供基于业务的计费和带宽控制功能,还能提供WAP/HTTP业务感知与转换、访问控制、广告插入、恶意URL过滤等功能。它在整个网络中的位置如图1-1所示。一方面,终端用户通过运营商的承载网络接入SCG;另一方面,SP/CP通过SCG为终端用户提供服务。FW部署在SCG的uplink和downlink侧,主要提供NAT功能、域间隔离和边界防护的作用。

图1-1 FW在SCG中的应用

说明:

当SCG进行WAP/HTTP业务感知与转换时,支持显式代理和透明代理。

  • 显式代理(WAPGW)

    SCG对外提供Gateway形式的服务。在显式代理下,用户访问业务时需要在终端上设置SCG地址作为网关地址。SCG接收到用户请求后,将用户地址替换成SCG的地址后连接Internet

  • 透明代理(Proxy)

    SCG在网络中类似一个路由设备,不对外提供Gateway形式的服务。在透明代理下,用户访问业务时不需要在终端上设置网关地址,用户请求通过网络设备路由到SCG。SCG接收到用户请求后,直接以终端的IP地址连接Web server。这样可以避免显式代理下因NAT转换后的用户地址重复或者过于集中而导致网站拒绝访问或需要输入验证码等。

流量模型

GGSN与uplink FW之间建立GRE隧道,GGSN侧手机等业务利用GRE隧道到uplink FW,然后接入SCG。SCG进行WAP/HTTP业务感知与转换。最后,流量经downlink FW进行NAT转换后接入Internet。

说明:

GGSN将用户信息发送给Radius服务器进行认证,认证通过后,Radius服务器将访问者信息发送给uplink FW。

方案设计

典型组网

组网图

图1-2所示,FW部署在SCG的uplink和downlink侧且FW的业务接口工作在三层。uplink侧FW通过交换机接到GGSN;downlink侧FW通过路由器接到Internet。

GGSN侧手机等业务流量通过FW_A到SCG,然后通过FW_C接入Internet。FW上行的接口启用OSPF功能,FW下行的接口启用VRRP功能。

FW_A与FW_B、FW_C与FW_D分别以主备方式工作。uplink侧业务正常时,流进SCG的流量通过FW_A转发,当FW_A出现故障时,流量通过FW_B转发;downink侧业务正常时,流出SCG的流量通过FW_C转发,当FW_C出现故障时,流量通过FW_D转发,保证SCG两侧业务不中断。

说明:

可以将两台FW各划分为根系统和虚拟系统。将两台的FW的根系统配置成uplink侧FW并组成双机热备,将两台的FW的虚拟系统配置成downlink侧FW并组成双机热备。

在此种场景下,双机热备仅支持主备方式,不支持负载分担方式。

图1-2 FW在SCG场景中的典型组网

可靠性分析

当Up-LinK侧主用防火墙FW_A整机和相连的链路发生故障时,故障切换如图1-3所示。具体过程如下:

  • 故障切换:

    FW_A整机和相连的链路故障,FW_B切换为主用防火墙,路由切换到FW_B上。

  • 故障恢复:

    FW_A整机和相连的链路故障恢复后,并抢占为主用防火墙,路由重新指向FW_A,流量也重新切换回FW_A。

图1-3 Up-LinK侧故障

当主用防火墙FW_C整机和相连的链路发生故障时,故障切换如图1-4所示。具体过程如下:

  • 故障切换:

    FW_C整机和相连的链路故障,FW_D切换为主用防火墙,路由切换到FW_D上。

  • 故障恢复:

    FW_C整机和相连的链路故障恢复后,并抢占为主用防火墙,路由重新指向FW_C,流量也重新切换回FW_C。

图1-4 Down-Link侧故障

业务规划

接口和安全区域

为了避免心跳接口故障导致双机通信异常,心跳接口建议使用Eth-trunk接口。对于支持扩展多个接口卡的设备(具体支持情况,请查阅硬件指南),必须使用跨板Eth-Trunk接口,即一个Eth-Trunk的成员接口来自于不同的接口板,这样既提高了可靠性,又增加了备份通道的带宽。对于无接口扩展能力无法使用跨板Eth-Trunk的设备,可能存在一块接口卡故障导致所有HRP备份通道不可用、业务受损。

上下行物理链路的带宽必须保持一致,且带宽要大于峰值流量,避免在流量突发的情况下,导致流量拥塞影响业务。

FW_A和FW_B上的接口和安全区域规划如表1-1所示,FW_C和FW_D的接口和安全区域如表1-2所示。

表1-1 FW_A和FW_B的接口及安全区域规划

FW_A

FW_B

描述

Eth-Trunk0

  • 成员接口:

    1.GE1/0/0

    2.GE1/0/1

  • IP地址:10.10.0.1/24
  • 安全区域:dmz

Eth-Trunk0

  • 成员接口:

    1.GE1/0/0

    2.GE1/0/1

  • IP地址:10.10.0.2/24
  • 安全区域:dmz

心跳接口。

Eth-Trunk1

  • 成员接口:

    1.GE1/0/2

    2.GE1/0/3

  • 子接口 Eth-Trunk1.1
    • 关联的VLAN ID:11
    • IP地址:10.2.0.1/24
    • 安全区域:untrust
  • 子接口 Eth-Trunk1.2
    • 关联的VLAN ID:12
    • IP地址:10.2.2.1/24
    • 安全区域:untrust

Eth-Trunk1

  • 成员接口:

    1.GE1/0/2

    2.GE1/0/3

  • 子接口 Eth-Trunk1.1
    • 关联的VLAN ID:11
    • IP地址:10.2.0.2/24
    • 安全区域:untrust
  • 子接口 Eth-Trunk1.2
    • 关联的VLAN ID:12
    • IP地址:10.2.2.2/24
    • 安全区域:untrust

连接GGSN侧业务的接口。

Eth-Trunk2

  • 成员接口:

    1.GE1/0/4

    2.GE1/0/5

  • 子接口 Eth-Trunk2.1
    • 关联的VLAN ID:21
    • IP地址:10.3.0.1/24
    • 安全区域:trust

Eth-Trunk2

  • 成员接口:

    1.GE1/0/4

    2.GE1/0/5

  • 子接口 Eth-Trunk2.1
    • 关联的VLAN ID:21
    • IP地址:10.3.0.2/24
    • 安全区域:trust

用来连接SCG侧业务的接口。

表1-2 FW_C和FW_D的接口及安全区域规划

FW_C

FW_D

描述

Eth-Trunk0

  • 成员接口:

    1.GE1/0/0

    2.GE1/0/1

  • IP地址:10.10.0.3/24
  • 安全区域:dmz

Eth-Trunk0

  • 成员接口:

    1.GE1/0/0

    2.GE1/0/1

  • IP地址:10.10.0.4/24
  • 安全区域:dmz

心跳接口。

Eth-Trunk1

  • 成员接口:

    1.GE1/0/2

    2.GE1/0/3

  • 子接口 Eth-Trunk1.1
    • 关联的VLAN ID:11
    • IP地址:10.2.1.1/24
    • 安全区域:untrust

Eth-Trunk1

  • 成员接口:

    1.GE1/0/2

    2.GE1/0/3

  • 子接口 Eth-Trunk1.1
    • 关联的VLAN ID:11
    • IP地址:10.2.1.1/24
    • 安全区域:untrust

连接Internet的接口。

Eth-Trunk2

  • 成员接口:

    1.GE1/0/4

    2.GE1/0/5

  • 子接口 Eth-Trunk2.1
    • 关联的VLAN ID:21
    • IP地址:10.3.1.1/24
    • 安全区域:trust

Eth-Trunk2

  • 成员接口:

    1.GE1/0/4

    2.GE1/0/5

  • 子接口 Eth-Trunk2.1
    • 关联的VLAN ID:21
    • IP地址:10.3.1.2/24
    • 安全区域:trust

用来连接SCG侧业务的接口。

可靠性

FW_A与FW_B、FW_C与FW_D分别以主备方式工作。uplink侧业务正常时,流进SCG的流量通过FW_A转发,当FW_A出现故障时,流量通过FW_B转发;downink侧业务正常时,流出SCG的流量通过FW_C转发,当FW_C出现故障时,流量通过FW_D转发,保证SCG两侧业务不中断。FW_A和FW_B的可靠性规划如表1-3所示,FW_A和FW_B的可靠性规划如表1-4所示。

表1-3 可靠性规划

项目

FW_A

FW_B

备份方式

主备备份

主备备份

心跳接口

Eth-trunk0

Eth-trunk0

抢占延时时间

300s

300s

监控接口

Eth-trunk1

Eth-trunk1

自动调整cost值功能

开启

开启

表1-4 可靠性规划

项目

FW_C

FW_D

备份方式

主备备份

主备备份

心跳接口

Eth-trunk0

Eth-trunk0

抢占延时时间

300s

300s

监控接口

Eth-trunk1

Eth-trunk1

自动调整cost值功能

开启

开启

GRE隧道

在GGSN与uplink FW之间建立GRE隧道,使得两个网段互通。手机等业务流量通过GRE隧道接到FW。以规划两个GRE隧道为例,如表1-5所示。

说明:

请根据实际的业务需求规划GRE隧道数量。

表1-5 GRE隧道规划

项目

FW_A

FW_B

创建loopback接口

loopback1地址:10.2.0.10/32

loopback2地址:10.2.0.11/32

loopback1地址:10.2.0.12/32

loopback2地址:10.2.0.13/32

Tunnel接口1

指定封装参数。

  • 封装协议:GRE
  • mtu:1476
  • 源地址:loopback1
  • 识别关键字:123456
  • 安全区域:tunnelzone

指定封装参数。

  • 封装协议:GRE
  • mtu:1476
  • 源地址:loopback1
  • 识别关键字:123456
  • 安全区域:tunnelzone

Tunnel接口2

指定封装参数。

  • 封装协议:GRE
  • mtu:1476
  • 源地址:loopback2
  • 关键字:123456
  • 安全区域:tunnelzone

指定封装参数。

  • 封装协议:GRE
  • mtu:1476
  • 源地址:loopback2
  • 关键字:123456
  • 安全区域:tunnelzone

配置路由

通过OSPF发布路由,将流量引入到GRE隧道中。

  • network 172.16.2.0 0.0.0.255//Tunnel接口

通过OSPF学习路由将流量引入到GRE隧道中。

  • network 172.16.2.0 0.0.0.255//Tunnel接口

配置安全策略

允许GRE报文的转发。

  • 配置安全策略允许封装前的报文通过域间安全策略。
  • 配置安全策略允许封装后的报文通过域间安全策略。

允许GRE报文的转发。

  • 配置安全策略允许封装前的报文通过域间安全策略。
  • 配置安全策略允许封装后的报文通过域间安全策略。

安全策略

配置安全策略,允许相关安全域之间报文传输。FW_A和FW_B上的安全策略规划如表1-6所示,FW_C和FW_D上的安全策略规划如表1-7所示。

表1-6 安全策略规划

项目

数据流向

说明

trust - tunnelzone

Outbound

针对封装前的GRE报文配置的安全策略。

Inbound

针对封装前的GRE报文配置的安全策略。

local - dmz

Outbound

主备防火墙的备份接口之间的安全策略。

Inbound

主备防火墙的备份接口之间的安全策略。

local- untrust

Outbound

针对封装后GRE报文配置的安全策略。

Inbound

针对封装后GRE报文配置的安全策略。

表1-7 安全策略规划

项目

数据流向

说明

local - dmz

Outbound

主备防火墙的备份接口之间的安全策略。

Inbound

主备防火墙的备份接口之间的安全策略。

trust - untrust

Outbound

针对私网地址做源NAT转换的安全策略。

Inbound

针对私网地址做源NAT转换的安全策略。

NAT

GGSN将用户信息发送给Radius服务器进行认证,认证通过后,Radius服务器将访问者信息发送给FW。在SCG侧配置NAT Server转换,将SCG网络私网地址转换为公网地址提供给Radius服务器进行访问,如表1-8所示。

说明:

建议downlink防火墙公网地址数=[最大在线用户数*60%]/[2*60000]个。

表1-8 NAT Server规划

项目

FW_A

FW_B

公网地址

3.3.3.3

3.3.3.3

私网地址

10.3.0.10

10.3.0.10

SCG侧需要在FW上进行NAT转换,采用转换后的公网地址后访问Internet业务。通过NAT转换减少了公网地址的占用,同时也提高了内网的安全性。

FW通常采用NAT PAT方式。NAT地址池规划表1-9所示,主备防火墙的规划保持一致。

表1-9 NAT地址池规划

项目

FW_C

FW_D

安全区域

Trust - Untrust

Trust - Untrust

方向

Outbound

Outbound

动作

source-nat

source-nat

地址池地址

1.1.1.6~1.1.1.10

1.1.1.6~1.1.1.10

路由

图1-5所示,SCG无线综合业务网关出口防火墙分为uplink和downlink FW。因此,uplink和downlink FW规划两个OSPF进程分别与GGSN侧、Internet侧设备进行对接。

路由规划要点如下:

  • FW通过OSPF发布FW上下行的路由。
  • FW_C和FW_D配置黑洞路由。
  • 防火墙采用主备方式组网,建议主用防火墙端口cost值设置为10,备用防火墙端口cost值设置为1000。防火墙通过HRP跟踪OSPF-COST功能实现业务段路由的主备调整。
说明:

对GGSN和Internet侧发布路由时要求FW接口设置不同的cost值,确保回包数据到主设备。

GGSN侧三层交换机和Internet侧路由器的Holddown计时器值和Multipath值均设为默认值。

图1-5 路由规划

FW_A和FW_B上的路由规划如表1-10所示。

表1-10 路由规划

项目

FW_A

FW_B

协议类型

OSPF

OSPF

Area ID

0.0.0.0

0.0.0.0

Process ID

1

1

认证方式

MD5

MD5

认证密码

说明:

用户根据需要自行设置认证密码

Huawei-123

Huawei-123

Cost值

10

1000

Hello 间隔

30s

30s

OSPF端口模式

P2P

P2P

SPF计算时间间隔

默认

默认

发布网段

  • 10.2.0.0 0.0.0.255
  • 10.3.0.0 0.0.0.255
  • 10.2.0.0 0.0.0.255
  • 10.3.0.0 0.0.0.255

FW_C和FW_D上的路由规划如表1-11所示。

表1-11 路由规划

项目

FW_C

FW_D

协议类型

OSPF

OSPF

Area ID

0.0.0.0

0.0.0.0

Process ID

2

2

认证方式

MD5

MD5

认证密码

说明:

用户根据需要自行设置认证密码

Huawei-123

Huawei-123

Cost值

10

1000

Hello 间隔

30s

30s

OSPF端口模式

P2P

P2P

SPF计算时间间隔

默认

默认

发布网段

  • 10.2.1.0 0.0.0.255
  • 10.3.1.0 0.0.0.255
  • 10.2.1.0 0.0.0.255
  • 10.3.1.0 0.0.0.255

配置黑洞路由,防止路由环路

  • 目的地址:

    1.1.1.6

    1.1.1.7

    1.1.1.8

    1.1.1.9

    1.1.1.10

  • 下一跳:

    NULL0

  • 目的地址:

    1.1.1.6

    1.1.1.7

    1.1.1.8

    1.1.1.9

    1.1.1.10

  • 下一跳:

    NULL0

其他规划

ASPF

在域间涉及到多通道协议(如FTP/RTSP/PPTP)时,需要在相应域间打开detect功能。推荐配置如下:

detect rtsp

detect ftp

detect pptp

说明:

不建议在域间配置detect qqdetect msn两条命令。

攻击防范

在FW上开启攻击防范功能进行安全防护。推荐配置如下:

firewall defend land enable

firewall defend smurf enable

firewall defend fraggle enable

firewall defend ip-fragment enable

firewall defend tcp-flag enable

firewall defend winnuke enable

firewall defend source-route enable

firewall defend teardrop enable

firewall defend route-record enable

firewall defend time-stamp enable

firewall defend ping-of-death enable

网管(SNMP)

简单网络管理协议(SNMP)是目前TCP/IP网络中应用最为广泛的网络管理协议。请在FW上配置SNMP代理以便通过网管服务器对此设备进行管理。

注意事项

双机热备

  • 在此种场景下,双机热备仅支持主备方式,不支持负载分担方式。
  • HRP主抢占延时推荐300s。
  • 心跳口流量带宽不低于整机流量的20%。
  • uplink和downlink侧FW连接内网交换机端口需要配置端口联动,确保内网网络实现切换。

路由

  • 对GGSN和Internet侧发布路由时要求接口设置不同的cost值,确保回包数据到主设备。
  • GGSN侧三层交换机和Internet侧路由器的Holddown计时器值和Multipath值均设为默认值。

NAT

建议downlink防火墙公网地址个数=[最大在线用户数*60%]/[2*60000]个。

ASPF

不建议在域间配置detect qqdetect msn两条命令。

攻击防范

攻击防范建议按照推荐配置进行配置。

方案配置

配置步骤

配置接口和安全区域

操作步骤
  1. 配置FW_A的接口和安全区域。

    # 创建Eth-Trunk0,配置Eth-Trunk0的IP地址。

    <FW_A> system-view 
    [FW_A] interface Eth-Trunk 0 
    [FW_A-Eth-Trunk0] description To_FW_B 
    [FW_A-Eth-Trunk0] ip address 10.10.0.1 24 
    [FW_A-Eth-Trunk0] quit

    # 创建Eth-Trunk1.1,配置Eth-Trunk1.1的IP地址。

    [FW_A] interface Eth-Trunk 1 
    [FW_A-Eth-Trunk1] quit 
    [FW_A] interface Eth-Trunk 1.1 
    [FW_A-Eth-Trunk1.1] description To_GGSN1 
    [FW_A-Eth-Trunk1.1] ip address 10.2.0.1 24 
    [FW_A-Eth-Trunk1.1] vlan-type dot1q 11 
    [FW_A-Eth-Trunk1.1] quit

    # 创建Eth-Trunk1.2,配置Eth-Trunk1.2的IP地址。

    [FW_A] interface Eth-Trunk 1.2 
    [FW_A-Eth-Trunk1.2] description To_GGSN2 
    [FW_A-Eth-Trunk1.2] ip address 10.2.2.1 24 
    [FW_A-Eth-Trunk1.2] vlan-type dot1q 12 
    [FW_A-Eth-Trunk1.2] quit

    #创建Eth-Trunk2.1,配置Eth-Trunk2.1的IP地址。

    [FW_A] interface Eth-Trunk 2 
    [FW_A-Eth-Trunk2] quit 
    [FW_A] interface Eth-Trunk 2.1 
    [FW_A-Eth-Trunk2.1] description To_SCG 
    [FW_A-Eth-Trunk2.1] ip address 10.3.0.1 24 
    [FW_A-Eth-Trunk2.1] vlan-type dot1q 21 
    [FW_A-Eth-Trunk2.1] quit

    # 将接口GigabitEthernet1/0/0和GigabitEthernet1/0/1加入Eth-Trunk0。

    [FW_A] interface GigabitEthernet 1/0/0 
    [FW_A-GigabitEthernet1/0/0] eth-trunk 0 
    [FW_A-GigabitEthernet1/0/0] quit 
    [FW_A] interface GigabitEthernet 1/0/1 
    [FW_A-GigabitEthernet1/0/1] eth-trunk 0 
    [FW_A-GigabitEthernet1/0/1] quit

    # 将接口GigabitEthernet1/0/2和GigabitEthernet1/0/3加入Eth-Trunk1。

    [FW_A] interface GigabitEthernet 1/0/2 
    [FW_A-GigabitEthernet1/0/2] eth-trunk 1 
    [FW_A-GigabitEthernet1/0/2] quit 
    [FW_A] interface GigabitEthernet 1/0/3 
    [FW_A-GigabitEthernet1/0/3] eth-trunk 1 
    [FW_A-GigabitEthernet1/0/3] quit

    # 将接口GigabitEthernet1/0/4和GigabitEthernet1/0/5加入Eth-Trunk2。

    [FW_A] interface GigabitEthernet 1/0/4 
    [FW_A-GigabitEthernet1/0/4] eth-trunk 2 
    [FW_A-GigabitEthernet1/0/4] quit 
    [FW_A] interface GigabitEthernet 1/0/5 
    [FW_A-GigabitEthernet1/0/5] eth-trunk 2 
    [FW_A-GigabitEthernet1/0/5] quit

    # 将Eth-Trunk0加入dmz区域。

    [FW_A] firewall zone name dmz 
    [FW_A-zone-dmz] add interface Eth-Trunk 0 
    [FW_A-zone-dmz] quit

    # 将Eth-Trunk1.1和Eth-Trunk1.2加入untrust区域。

    [FW_A] firewall zone untrust 
    [FW_A-zone-untrust] add interface Eth-Trunk 1.1 
    [FW_A-zone-untrust] add interface Eth-Trunk 1.2 
    [FW_A-zone-untrust] quit

    # 将Eth-Trunk2.1加入trust区域。

    [FW_A] firewall zone trust 
    [FW_A-zone-trust] add interface Eth-Trunk 2.1 
    [FW_A-zone-trust] quit

  2. 配置FW_B的接口和安全区域。

    # 创建Eth-Trunk0,配置Eth-Trunk0的IP地址。

    <FW_B> system-view 
    [FW_B] interface Eth-Trunk 0 
    [FW_B-Eth-Trunk0] description To_FW_A 
    [FW_B-Eth-Trunk0] ip address 10.10.0.2 24 
    [FW_B-Eth-Trunk0] quit

    # 创建Eth-Trunk1.1,配置Eth-Trunk1.1的IP地址。

    [FW_B] interface Eth-Trunk 1 
    [FW_B-Eth-Trunk1] quit 
    [FW_B] interface Eth-Trunk 1.1 
    [FW_B-Eth-Trunk1.1] description To_GGSN1 
    [FW_B-Eth-Trunk1.1] ip address 10.2.0.2 24 
    [FW_B-Eth-Trunk1.1] vlan-type dot1q 11 
    [FW_B-Eth-Trunk1.1] quit

    # 创建Eth-Trunk1.2,配置Eth-Trunk1.2的IP地址。

    [FW_B] interface Eth-Trunk 1.2 
    [FW_B-Eth-Trunk1.2] description To_GGSN2 
    [FW_B-Eth-Trunk1.2] ip address 10.2.2.2 24 
    [FW_B-Eth-Trunk1.2] vlan-type dot1q 12 
    [FW_B-Eth-Trunk1.2] quit

    #创建Eth-Trunk2.1,配置Eth-Trunk2.1的IP地址。

    [FW_B] interface Eth-Trunk 2 
    [FW_B-Eth-Trunk2] quit 
    [FW_B] interface Eth-Trunk 2.1 
    [FW_B-Eth-Trunk2.1] description To_SCG 
    [FW_B-Eth-Trunk2.1] ip address 10.3.0.2 24 
    [FW_B-Eth-Trunk2.1] vlan-type dot1q 21 
    [FW_B-Eth-Trunk2.1] quit

    # 将接口GigabitEthernet1/0/0和GigabitEthernet1/0/1加入Eth-Trunk0。

    [FW_B] interface GigabitEthernet 1/0/0 
    [FW_B-GigabitEthernet1/0/0] eth-trunk 0 
    [FW_B-GigabitEthernet1/0/0] quit 
    [FW_B] interface GigabitEthernet 1/0/1 
    [FW_B-GigabitEthernet1/0/1] eth-trunk 0 
    [FW_B-GigabitEthernet1/0/1] quit

    # 将接口GigabitEthernet1/0/2和GigabitEthernet1/0/3加入Eth-Trunk1。

    [FW_B] interface GigabitEthernet 1/0/2 
    [FW_B-GigabitEthernet1/0/2] eth-trunk 1 
    [FW_B-GigabitEthernet1/0/2] quit 
    [FW_B] interface GigabitEthernet 1/0/3 
    [FW_B-GigabitEthernet1/0/3] eth-trunk 1 
    [FW_B-GigabitEthernet1/0/3] quit

    # 将接口GigabitEthernet1/0/4和GigabitEthernet1/0/5加入Eth-Trunk2。

    [FW_B] interface GigabitEthernet 1/0/4 
    [FW_B-GigabitEthernet1/0/4] eth-trunk 2 
    [FW_B-GigabitEthernet1/0/4] quit 
    [FW_B] interface GigabitEthernet 1/0/5 
    [FW_B-GigabitEthernet1/0/5] eth-trunk 2 
    [FW_B-GigabitEthernet1/0/5] quit

    # 将Eth-Trunk0加入dmz区域。

    [FW_B] firewall zone name dmz 
    [FW_B-zone-dmz] add interface Eth-Trunk 0 
    [FW_B-zone-dmz] quit

    # 将Eth-Trunk1.1和Eth-Trunk1.2加入untrust区域。

    [FW_B] firewall zone untrust 
    [FW_B-zone-untrust] add interface Eth-Trunk 1.1 
    [FW_B-zone-untrust] add interface Eth-Trunk 1.2 
    [FW_B-zone-untrust] quit

    # 将Eth-Trunk2.1加入trust区域。

    [FW_B] firewall zone trust 
    [FW_B-zone-trust] add interface Eth-Trunk 2.1 
    [FW_B-zone-trust] quit

  3. 配置FW_C的接口和安全区域。

    # 创建Eth-Trunk0,配置Eth-Trunk0的IP地址。

    <FW_C> system-view 
    [FW_C] interface Eth-Trunk 0 
    [FW_C-Eth-Trunk0] description To_FW_D 
    [FW_C-Eth-Trunk0] ip address 10.10.0.3 24 
    [FW_C-Eth-Trunk0] quit

    # 创建Eth-Trunk1,配置Eth-Trunk1的IP地址。

    [FW_C] interface Eth-Trunk 1 
    [FW_C-Eth-Trunk1] quit 
    [FW_C] interface Eth-Trunk 1.1 
    [FW_C-Eth-Trunk1.1] description To_Internet 
    [FW_C-Eth-Trunk1.1] ip address 10.2.1.1 24 
    [FW_C-Eth-Trunk1.1] vlan-type dot1q 11 
    [FW_C-Eth-Trunk1.1] quit

    #创建Eth-Trunk2.1,配置Eth-Trunk2.1的IP地址。

    [FW_C] interface Eth-Trunk 2 
    [FW_C-Eth-Trunk2] quit 
    [FW_C] interface Eth-Trunk 2.1 
    [FW_C-Eth-Trunk2.1] description To_SCG 
    [FW_C-Eth-Trunk2.1] ip address 10.3.1.1 24 
    [FW_C-Eth-Trunk2.1] vlan-type dot1q 21 
    [FW_C-Eth-Trunk2.1] quit

    # 将接口GigabitEthernet1/0/0和GigabitEthernet1/0/1加入Eth-Trunk0。

    [FW_C] interface GigabitEthernet 1/0/0 
    [FW_C-GigabitEthernet1/0/0] eth-trunk 0 
    [FW_C-GigabitEthernet1/0/0] quit 
    [FW_C] interface GigabitEthernet 1/0/1 
    [FW_C-GigabitEthernet1/0/1] eth-trunk 0 
    [FW_C-GigabitEthernet1/0/1] quit

    # 将接口GigabitEthernet1/0/2和GigabitEthernet1/0/3加入Eth-Trunk1。

    [FW_C] interface GigabitEthernet 1/0/2 
    [FW_C-GigabitEthernet1/0/2] eth-trunk 1 
    [FW_C-GigabitEthernet1/0/2] quit 
    [FW_C] interface GigabitEthernet 1/0/3 
    [FW_C-GigabitEthernet1/0/3] eth-trunk 1 
    [FW_C-GigabitEthernet1/0/3] quit

    # 将接口GigabitEthernet1/0/4和GigabitEthernet1/0/5加入Eth-Trunk2。

    [FW_C] interface GigabitEthernet 1/0/4 
    [FW_C-GigabitEthernet1/0/4] eth-trunk 2 
    [FW_C-GigabitEthernet1/0/4] quit 
    [FW_C] interface GigabitEthernet 1/0/5 
    [FW_C-GigabitEthernet1/0/5] eth-trunk 2 
    [FW_C-GigabitEthernet1/0/5] quit

    # 将Eth-Trunk0加入dmz区域。

    [FW_C] firewall zone name dmz 
    [FW_C-zone-dmz] add interface Eth-Trunk 0 
    [FW_C-zone-dmz] quit

    # 将Eth-Trunk1.1加入untrust区域。

    [FW_C] firewall zone untrust 
    [FW_C-zone-untrust] add interface Eth-Trunk 1.1 
    [FW_C-zone-untrust] quit

    # 将Eth-Trunk2.1加入trust区域。

    [FW_C] firewall zone trust 
    [FW_C-zone-trust] add interface Eth-Trunk 2.1 
    [FW_C-zone-trust] quit

  4. 配置FW_D的接口和安全区域。

    # 创建Eth-Trunk0,配置Eth-Trunk0的IP地址。

    <FW_D> system-view 
    [FW_D] interface Eth-Trunk 0 
    [FW_D-Eth-Trunk0] description To_FW_C 
    [FW_D-Eth-Trunk0] ip address 10.10.0.4 24 
    [FW_D-Eth-Trunk0] quit

    # 创建Eth-Trunk1.1,配置Eth-Trunk1.1的IP地址。

    [FW_D] interface Eth-Trunk 1 
    [FW_D-Eth-Trunk1] quit 
    [FW_D] interface Eth-Trunk 1.1 
    [FW_D-Eth-Trunk1.1] description To_Internet 
    [FW_D-Eth-Trunk1.1] ip address 10.2.1.2 24 
    [FW_D-Eth-Trunk1.1] vlan-type dot1q 11 
    [FW_D-Eth-Trunk1.1] quit

    #创建Eth-Trunk2.1,配置Eth-Trunk2.1的IP地址。

    [FW_D] interface Eth-Trunk 2 
    [FW_D-Eth-Trunk2] quit 
    [FW_D] interface Eth-Trunk 2.1 
    [FW_D-Eth-Trunk2.1] description To_SCG 
    [FW_D-Eth-Trunk2.1] ip address 10.3.1.2 24 
    [FW_D-Eth-Trunk2.1] vlan-type dot1q 21 
    [FW_D-Eth-Trunk2.1] quit

    # 将接口GigabitEthernet1/0/0和GigabitEthernet1/0/1加入Eth-Trunk0。

    [FW_D] interface GigabitEthernet 1/0/0 
    [FW_D-GigabitEthernet1/0/0] eth-trunk 0 
    [FW_D-GigabitEthernet1/0/0] quit 
    [FW_D] interface GigabitEthernet 1/0/1 
    [FW_D-GigabitEthernet1/0/1] eth-trunk 0 
    [FW_D-GigabitEthernet1/0/1] quit

    # 将接口GigabitEthernet1/0/2和GigabitEthernet1/0/3加入Eth-Trunk1。

    [FW_D] interface GigabitEthernet 1/0/2 
    [FW_D-GigabitEthernet1/0/2] eth-trunk 1 
    [FW_D-GigabitEthernet1/0/2] quit 
    [FW_D] interface GigabitEthernet 1/0/3 
    [FW_D-GigabitEthernet1/0/3] eth-trunk 1 
    [FW_D-GigabitEthernet1/0/3] quit

    # 将接口GigabitEthernet1/0/4和GigabitEthernet1/0/5加入Eth-Trunk2。

    [FW_D] interface GigabitEthernet 1/0/4 
    [FW_D-GigabitEthernet1/0/4] eth-trunk 2 
    [FW_D-GigabitEthernet1/0/4] quit 
    [FW_D] interface GigabitEthernet 1/0/5 
    [FW_D-GigabitEthernet1/0/5] eth-trunk 2 
    [FW_D-GigabitEthernet1/0/5] quit

    # 将Eth-Trunk0加入dmz区域。

    [FW_D] firewall zone name dmz 
    [FW_D-zone-dmz] add interface Eth-Trunk 0 
    [FW_D-zone-dmz] quit

    # 将Eth-Trunk1.1加入untrust区域。

    [FW_D] firewall zone untrust 
    [FW_D-zone-untrust] add interface Eth-Trunk 1.1 
    [FW_D-zone-untrust] quit

    # 将Eth-Trunk2.1加入trust区域。

    [FW_D] firewall zone trust 
    [FW_D-zone-trust] add interface Eth-Trunk 2.1 
    [FW_D-zone-trust] quit

配置可靠性

操作步骤
  1. 完成FW_A的双机热备配置。

    # 开启HRP功能。

    [FW_A] hrp enable

    #启用根据VGMP组状态调整OSPF的cost值功能。

    [FW_A] hrp ospf-cost adjust-enable

    # 配置VGMP管理组的抢占延迟时间。

    [FW_A] hrp preempt delay 300
    说明:

    建议VGMP管理组的抢占延迟时间配置为300s。

    # 配置心跳口。

    [FW_A] hrp interface Eth-Trunk 0 remote 10.10.0.2

    # 配置VGMP组监控上行业务接口。

    [FW_A] hrp track interface Eth-Trunk 1.1 
    [FW_A] hrp track interface Eth-Trunk 1.2

    # 在下行业务接口上配置VRRP备份组1,并将其状态设置为active。

    [FW_A] interface Eth-Trunk 2.1 
    [FW_A-Eth-Trunk2.1] vrrp vrid 1 virtual-ip 10.3.0.3 active 
    [FW_A-Eth-Trunk2.1] quit

    #配置端口联动。

    [FW_A] interface GigabitEthernet 1/0/2 
    [FW_A-GigabitEthernet 1/0/2] link-group 1 [FW_A] 
    interface GigabitEthernet 1/0/3 
    [FW_A-GigabitEthernet 1/0/3] link-group 1 
    [FW_A] interface GigabitEthernet 1/0/4 
    [FW_A-GigabitEthernet 1/0/4] link-group 1 [FW_A] 
    interface GigabitEthernet 1/0/5 
    [FW_A-GigabitEthernet 1/0/5] link-group 1

  2. 完成FW_B的双机热备配置。

    # 开启HRP功能。

    [FW_B] hrp enable

    #启用根据VGMP组状态调整OSPF的cost值功能。

    [FW_B] hrp ospf-cost adjust-enable

    # 配置VGMP管理组的抢占延迟时间。

    [FW_B] hrp preempt delay 300
    说明:

    建议VGMP管理组的抢占延迟时间配置为300s。

    # 配置心跳口。

    [FW_B] hrp interface Eth-Trunk 0 remote 10.10.0.1

    # 配置VGMP组监控上行业务接口。

    [FW_B] hrp track interface Eth-Trunk 1.1 
    [FW_B] hrp track interface Eth-Trunk 1.2

    # 在下行业务接口上配置VRRP备份组1,并将其状态设置为slave。

    [FW_B] interface Eth-trunk 2.1 
    [FW_B-Eth-Trunk2.1] vrrp vrid 1 virtual-ip 10.3.0.3 standby 
    [FW_B-Eth-Trunk2.1] quit

  3. 完成FW_C的双机热备配置。

    # 开启HRP功能。

    [FW_C] hrp enable

    #启用根据VGMP组状态调整OSPF的cost值功能。

    [FW_C] hrp ospf-cost adjust-enable

    # 配置VGMP管理组的抢占延迟时间。

    [FW_C] hrp preempt delay 300
    说明:

    建议VGMP管理组的抢占延迟时间配置为300s。

    # 配置心跳口。

    [FW_C] hrp interface Eth-Trunk 0 remote 10.10.0.4

    # 配置VGMP组监控上行业务接口。

    [FW_C] hrp track interface Eth-Trunk 1.1

    # 在下行业务接口上配置VRRP备份组1,并将其状态设置为active。

    [FW_C] interface Eth-trunk 2.1 
    [FW_C-Eth-Trunk2.1] vrrp vrid 1 virtual-ip 10.3.1.3 active 
    [FW_C-Eth-Trunk2.1] quit

    #配置端口联动。

    [FW_C] interface GigabitEthernet 1/0/2  
    [FW_C-GigabitEthernet 1/0/2] link-group 1 
    [FW_C] interface GigabitEthernet 1/0/3  
    [FW_C-GigabitEthernet 1/0/3] link-group 1 
    [FW_C] interface GigabitEthernet 1/0/4  
    [FW_C-GigabitEthernet 1/0/4] link-group 1 
    [FW_C] interface GigabitEthernet 1/0/5  
    [FW_C-GigabitEthernet 1/0/5] link-group 1

  4. 完成FW_D的双机热备配置。

    # 开启HRP功能。

    [FW_D] hrp enable

    #启用根据VGMP组状态调整OSPF的Cost值功能。

    [FW_D] hrp ospf-cost adjust-enable

    # 配置VGMP管理组的抢占延迟时间。

    [FW_D] hrp preempt delay 300
    说明:

    建议VGMP管理组的抢占延迟时间配置为300s。

    # 配置心跳口。

    [FW_D] hrp interface Eth-Trunk 0 remote 10.10.0.3

    # 配置VGMP组监控上行业务接口。

    [FW_D] hrp track interface Eth-Trunk 1.1

    # 在下行业务接口上配置VRRP备份组1,并将其状态设置为slave。

    [FW_D] interface Eth-Trunk 2.1 
    [FW_D-Eth-Trunk2.1] vrrp vrid 1 virtual-ip 10.3.1.3 standby 
    [FW_D-Eth-Trunk2.1] quit

配置GRE隧道

操作步骤
  1. 配置FW_A和FW_B的GRE隧道。

    说明:

    请在GRE隧道对端设备配置上相关参数,此处略。

    安全策略配置请查看配置安全策略步骤。

    #配置FW_A的GRE隧道。

    HRP_M[FW_A] interface loopback 1 
    HRP_M[FW_A-loopback1] ospf cost 10 
    HRP_M[FW_A-loopback1] ip address 10.2.0.10 32 
    HRP_M[FW_A-loopback1] quit 
    HRP_M[FW_A] interface loopback 2 
    HRP_M[FW_A-loopback2] ospf cost 10 
    HRP_M[FW_A-loopback2] ip address 10.2.0.11 32 
    HRP_M[FW_A-loopback2] quit 
    HRP_M[FW_A] interface Tunnel 1 
    HRP_M[FW_A-Tunnel1 ]ip address 172.16.2.1 32 
    HRP_M[FW_A-Tunnel1] quit 
    HRP_M[FW_A] interface Tunnel 2 
    HRP_M[FW_A-Tunnel2] ip address 172.16.2.2 32 
    HRP_M[FW_A-Tunnel2] quit 
    HRP_M[FW_A]firewall zone name tunnelzone 
    HRP_M[FW_A-zone-tunnelzone] set priority 20 
    HRP_M[FW_A-zone-tunnelzone] add interface tunnel 1 
    HRP_M[FW_A-zone-tunnelzone] add interface tunnel 2 
    HRP_M[FW_A-zone-tunnelzone] quit 
    HRP_M[FW_A] ospf 1 
    HRP_M[FW_A-ospf-1] area 1 
    HRP_M[FW_A-ospf-1-area-0.0.0.1] network 172.16.2.0 0.0.0.255 
    HRP_M[FW_A-ospf-1] quit 
    HRP_M[FW_A] interface Tunnel 1 
    HRP_M[FW_A-Tunnel1] tunnel-protocol gre 
    HRP_M[FW_A-Tunnel1] source loopback1 
    HRP_M[FW_A-Tunnel1] destination 10.2.10.1//隧道对端接口IP地址 
    HRP_M[FW_A-Tunnel1] gre key cipher 123456 
    HRP_M[FW_A-Tunnel1] ospf timer hello 30 
    HRP_M[FW_A-Tunnel1] quit  
    HRP_M[FW_A] interface Tunnel 2 
    HRP_M[FW_A-Tunnel2] tunnel-protocol gre 
    HRP_M[FW_A-Tunnel2] source loopback2 
    HRP_M[FW_A-Tunnel2] destination 10.2.11.1//隧道对端接口IP地址 
    HRP_M[FW_A-Tunnel2] gre key cipher 123456 
    HRP_M[FW_A-Tunnel2] ospf timer hello 30 
    HRP_M[FW_A-Tunnel2] quit

    #配置FW_B的GRE隧道。

    HRP_S[FW_B] interface loopback 1 
    HRP_S[FW_B-loopback1] ospf cost 1000 
    HRP_S[FW_B-loopback1] ip address 10.2.0.12 32 
    HRP_S[FW_B-loopback1] quit 
    HRP_S[FW_B] interface loopback 2 
    HRP_S[FW_B-loopback2] ospf cost 1000 
    HRP_S[FW_B-loopback2] ip address 10.2.0.13 32 
    HRP_S[FW_B-loopback2] quit 
    HRP_S[FW_B] interface Tunnel 1 
    HRP_S[FW_B-Tunnel1] ip address 172.16.2.3 32 
    HRP_S[FW_B-Tunnel1] quit 
    HRP_S[FW_B] interface Tunnel 2 
    HRP_S[FW_B-Tunnel2] ip address 172.16.2.4 32 
    HRP_S[FW_B-Tunnel2] quit 
    HRP_S[FW_B] ospf 1 
    HRP_S[FW_B-ospf-1] area 1 
    HRP_S[FW_B-ospf-1-area-0.0.0.1] network 172.16.2.0 0.0.0.255 
    HRP_S[FW_B-ospf-1] quit 
    HRP_S[FW_B] interface Tunnel 1 
    HRP_S[FW_B-Tunnel1] tunnel-protocol gre 
    HRP_S[FW_B-Tunnel1] source loopback1 
    HRP_S[FW_B-Tunnel1] destination 10.2.10.2//隧道对端接口IP地址 
    HRP_S[FW_B-Tunnel1] gre key cipher 123456 
    HRP_S[FW_B-Tunnel1] ospf timer hello 30 
    HRP_S[FW_B-Tunnel1] quit 
    HRP_S[FW_B] interface Tunnel 2 
    HRP_S[FW_B-Tunnel2] tunnel-protocol gre 
    HRP_S[FW_B-Tunnel2] source loopback2 
    HRP_S[FW_B-Tunnel2] destination 10.2.11.2//隧道对端接口IP地址 
    HRP_S[FW_B-Tunnel2] gre key cipher 123456 
    HRP_S[FW_B-Tunnel2] ospf timer hello 30 
    HRP_S[FW_B-Tunnel2] quit

配置安全策略

操作步骤
  1. 配置FW_A和FW_B的安全策略。

    说明:

    双机热备状态形成后,FW_A上的安全策略配置将会自动备份到FW_B,无需在FW_B上单独配置。

    # 配置trust和tunnelzone域间的安全策略,允许封装前的报文通过域间安全区域。

    HRP_M[FW_A-policy-security] rule name trust_tunnelzone_outbound 
    HRP_M[FW_A-policy-interzone-trust_tunnelzone_outbound] source-zone trust 
    HRP_M[FW_A-policy-interzone-trust_tunnelzone_outbound] destination-zone tunnelzone 
    HRP_M[FW_A-policy-interzone-trust_tunnelzone_outbound] source-address 10.3.0.0 24 
    HRP_M[FW_A-policy-interzone-trust_tunnelzone_outbound] action permit 
    HRP_M[FW_A-policy-interzone-trust_tunnelzone_outbound] quit 
    HRP_M[FW_A-policy-security] rule name trust_tunnelzone_inbound 
    HRP_M[FW_A-policy-interzone-trust_tunnelzone_inbound] source-zone tunnelzone 
    HRP_M[FW_A-policy-interzone-trust_tunnelzone_inbound] destination-zone trust 
    HRP_M[FW_A-policy-interzone-trust_tunnelzone_inbound] destination-address 10.3.0.0 24 
    HRP_M[FW_A-policy-interzone-trust_tunnelzone_inbound] action permit 
    HRP_M[FW_A-policy-interzone-trust_tunnelzone_inbound] quit

    # 配置Local和Dmz域间的安全策略,允许心跳报文通过域间安全区域。

    HRP_M[FW_A-policy-security] rule name local_dmz_outbound 
    HRP_M[FW_A-policy-interzone-local_dmz_outbound] source-zone local 
    HRP_M[FW_A-policy-interzone-local_dmz_outbound] destination-zone dmz 
    HRP_M[FW_A-policy-interzone-local_dmz_outbound] source-address 10.10.0.0 24 
    HRP_M[FW_A-policy-interzone-local_dmz_outbound] action permit 
    HRP_M[FW_A-policy-interzone-local_dmz_outbound] quit 
    HRP_M[FW_A-policy-security] rule name local_dmz_inbound 
    HRP_M[FW_A-policy-interzone-local_dmz_inbound] source-zone dmz 
    HRP_M[FW_A-policy-interzone-local_dmz_inbound] destination-zone local 
    HRP_M[FW_A-policy-interzone-local_dmz_inbound] destination-address 10.10.0.0 24 
    HRP_M[FW_A-policy-interzone-local_dmz_inbound] action permit 
    HRP_M[FW_A-policy-interzone-local_dmz_inbound] quit

    # 配置local和untrust域间的安全策略,允许封装后的GRE报文通过域间安全策略。

    HRP_M[FW_A-policy-security] rule name local_untrust_outbound 
    HRP_M[FW_A-policy-security-rule-local_untrust_outbound] source-zone untrust 
    HRP_M[FW_A-policy-security-rule-local_untrust_outbound] destination-zone local 
    HRP_M[FW_A-policy-security-rule-local_untrust_outbound] source-address 10.2.0.0 16 
    HRP_M[FW_A-policy-security-rule-local_untrust_outbound] action permit 
    HRP_M[FW_A-policy-security-rule-local_untrust_outbound] quit 
    HRP_M[FW_A-policy-security] rule name local_untrust_inbound 
    HRP_M[FW_A-policy-security-rule-local_untrust_inbound] source-zone untrust 
    HRP_M[FW_A-policy-security-rule-local_untrust_inbound] destination-zone local 
    HRP_M[FW_A-policy-security-rule-local_untrust_inbound] destination-address 10.2.0.0 16 
    HRP_M[FW_A-policy-security-rule-local_untrust_inbound] action permit 
    HRP_M[FW_A-policy-security-rule-local_untrust_inbound] quit

  2. 配置FW_C和FW_D安全策略

    说明:

    双机热备状态形成后,FW_C上的安全策略配置将会自动备份到FW_D,无需在FW_D上单独配置。

    # 配置Local和Dmz域间的安全策略,允许心跳报文通过域间安全区域。

    HRP_M[FW_C-policy-security] rule name local_dmz_outbound 
    HRP_M[FW_C-policy-interzone-local_dmz_outbound] source-zone local 
    HRP_M[FW_C-policy-interzone-local_dmz_outbound] destination-zone dmz 
    HRP_M[FW_C-policy-interzone-local_dmz_outbound] source-address 10.10.0.0 24 
    HRP_M[FW_C-policy-interzone-local_dmz_outbound] action permit 
    HRP_M[FW_C-policy-interzone-local_dmz_outbound] quit 
    HRP_M[FW_C-policy-security] rule name local_dmz_inbound 
    HRP_M[FW_C-policy-interzone-local_dmz_inbound] source-zone dmz 
    HRP_M[FW_C-policy-interzone-local_dmz_inbound] destination-zone local 
    HRP_M[FW_C-policy-interzone-local_dmz_inbound] destination-address 10.10.0.0 24 
    HRP_M[FW_C-policy-interzone-local_dmz_inbound] action permit 
    HRP_M[FW_C-policy-interzone-local_dmz_inbound] quit

    # 配置Trust和Untrust域间的安全策略。

    HRP_M[FW_C-policy-security] rule name trust_untrust_outbound 
    HRP_M[FW_C-policy-interzone-trust_untrust_outbound] source-zone trust 
    HRP_M[FW_C-policy-interzone-trust_untrust_outbound] destination-zone untrust 
    HRP_M[FW_C-policy-interzone-trust_untrust_outbound] destination-address 10.2.1.0 24 
    HRP_M[FW_C-policy-interzone-trust_untrust_outbound] action permit 
    HRP_M[FW_C-policy-interzone-trust_untrust_outbound] quit 
    HRP_M[FW_C-policy-security] rule name trust_untrust_inbound 
    HRP_M[FW_C-policy-interzone-trust_untrust_inbound] source-zone trust 
    HRP_M[FW_C-policy-interzone-trust_untrust_inbound] destination-zone untrust 
    HRP_M[FW_C-policy-interzone-trust_untrust_inbound] source-address 10.2.1.0 24 
    HRP_M[FW_C-policy-interzone-trust_untrust_inbound] action permit 
    HRP_M[FW_C-policy-interzone-trust_untrust_inbound] quit

配置NAT

操作步骤
  1. 配置FW_A和FW_B的NAT Server功能。

    说明:

    双机热备状态形成后,FW_A上的NAT配置将会自动备份到FW_B,无需在FW_B上单独配置。

    请根据实际的业务需求配置NAT Server。

    配置FW_A的NAT Server。

    HRP_M[FW_A] nat server for_server protocol tcp global 3.3.3.3 8080 inside 10.3.0.10 80

  2. 配置FW_C和FW_D的源NAT功能。

    说明:

    双机热备状态形成后,FW_C上的NAT和ASPF配置将会自动备份到FW_D,无需在FW_D上单独配置。

    # 创建FW_C的NAT地址池。

    HRP_M[FW_C] nat address-group addressgroup1 
    HRP_M[FW_C-address-group-addressgroup1] section 1.1.1.6 1.1.1.10 
    HRP_M[FW_C-address-group-addressgroup1] mode pat 
    HRP_M[FW_C-address-group-addressgroup1] quit

    # 配置NAT策略。此处以转换SCG设备10.3.1.0/24网段的所有报文的源地址为例进行介绍,在具体应用中,请根据实际情况增加规则。

    HRP_M[FW_C] nat-policy 
    HRP_M[FW_C-policy-nat] rule name trust_untrust_outbound 
    HRP_M[FW_C-policy-nat-rule-trust_untrust_outbound] source-zone trust 
    HRP_M[FW_C-policy-nat-rule-trust_untrust_outbound] destination-zone untrust 
    HRP_M[FW_C-policy-nat-rule-trust_untrust_outbound] source-address 10.3.1.0 0.0.0.255 
    HRP_M[FW_C-policy-nat-rule-trust_untrust_outbound] action source-nat address-group addressgroup1  
    HRP_M[FW_C-policy-nat-rule-trust_untrust_outbound] quit 
    HRP_M[FW_C-policy-nat] quit

配置路由

操作步骤
  1. 配置FW_A的路由。

    HRP_M[FW_A] acl number 2000 
    HRP_M[FW_A-acl-basic-2000] description ospf1_import_ggsn 
    HRP_M[FW_A-acl-basic-2000] rule 5 permit source 221.180.0.0 0.0.0.255//GGSN地址段 
    HRP_M[FW_A-acl-basic-2000] rule 100 deny 
    HRP_M[FW_A] interface eth-Trunk 1 
    HRP_M[FW_A-Eth-trunk1] ospf cost 10 
    HRP_M[FW_A-Eth-trunk1] ospf network-type p2p 
    HRP_M[FW_A-Eth-trunk1] quit 
    HRP_M[FW_A] ospf 1 
    HRP_M[FW_A-ospf-1] filter-policy 2000 import  
    HRP_M[FW_A-ospf-1] area 1 
    HRP_M[FW_A-ospf-1-area-0.0.0.1] authentication-mode md5 1 cipher Huawei-123 
    HRP_M[FW_A-ospf-1-area-0.0.0.1] network 10.2.0.0 0.0.0.255 
    HRP_M[FW_A-ospf-1-area-0.0.0.1] network 10.3.0.0 0.0.0.255 
    HRP_M[FW_A-ospf-1-area-0.0.0.1] quit 
    HRP_M[FW_A-ospf-1] quit

  2. 配置FW_B的路由。

    说明:

    双机热备状态形成后,FW_A上的acl配置将会自动备份到FW_B,无需在FW_B上单独配置。

    HRP_S[FW_B] interface eth-Trunk 1 
    HRP_S[FW_B-Eth-trunk1] ospf cost 1000 
    HRP_S[FW_B-Eth-trunk1] ospf network-type p2p 
    HRP_S[FW_B-Eth-trunk1] quit 
    HRP_S[FW_B] ospf 1 
    HRP_S[FW_B-ospf-1] filter-policy 2000 import 
    HRP_S[FW_B-ospf-1] area 1 
    HRP_S[FW_B-ospf-1-area-0.0.0.1] authentication-mode md5 1 cipher Huawei-123 
    HRP_S[FW_B-ospf-1-area-0.0.0.1] network 10.2.0.0 0.0.0.255 
    HRP_S[FW_B-ospf-1-area-0.0.0.1] network 10.3.0.0 0.0.0.255 
    HRP_S[FW_B-ospf-1-area-0.0.0.1] quit 
    HRP_S[FW_B-ospf-1] quit

  3. 配置FW_C的路由。

    HRP_M[FW_C] acl number 2100 
    HRP_M[FW_C-acl-basic-2000] description ospf1_import_ggsn 
    HRP_M[FW_C-acl-basic-2000] rule 5 permit source 0.0.0.0 0 
    HRP_M[FW_C-acl-basic-2000] rule 1000 deny 
    HRP_M[FW_C] interface eth-Trunk 1 
    HRP_M[FW_C-Eth-trunk1] ospf cost 10 
    HRP_M[FW_C-Eth-trunk1] ospf network-type p2p 
    HRP_M[FW_C-Eth-trunk1] quit 
    HRP_M[FW_C] ospf 2 
    HRP_M[FW_C-ospf-2] filter-policy 2100 import 
    HRP_M[FW_C-ospf-2] import-route static 
    HRP_M[FW_C-ospf-2] area 2 
    HRP_M[FW_C-ospf-2-area-0.0.0.2] authentication-mode md5 1 cipher Huawei-123 
    HRP_M[FW_C-ospf-2-area-0.0.0.2] network 10.2.1.0 0.0.0.255 
    HRP_M[FW_C-ospf-2-area-0.0.0.2] network 10.3.1.0 0.0.0.255 
    HRP_M[FW_C-ospf-2-area-0.0.0.2] quit 
    HRP_M[FW_C-ospf-2] quit

    # 配置黑洞路由。

    HRP_M[FW_C] ip route-static 1.1.1.6 32 NULL 0 
    HRP_M[FW_C] ip route-static 1.1.1.7 32 NULL 0 
    HRP_M[FW_C] ip route-static 1.1.1.8 32 NULL 0 
    HRP_M[FW_C] ip route-static 1.1.1.9 32 NULL 0 
    HRP_M[FW_C] ip route-static 1.1.1.10 32 NULL 0

  4. 配置FW_D的路由。

    说明:

    双机热备状态形成后,FW_C上的ACL配置将会自动备份到FW_D,无需在FW_D上单独配置。

    HRP_S[FW_D] interface eth-Trunk 1 
    HRP_S[FW_D-Eth-trunk1] ospf cost 10 
    HRP_S[FW_D-Eth-trunk1] ospf network-type p2p 
    HRP_S[FW_D-Eth-trunk1] quit 
    HRP_S[FW_D] ospf 2 
    HRP_S[FW_D-ospf-2] filter-policy 2100 import 
    HRP_S[FW_D-ospf-2] import-route static 
    HRP_S[FW_D-ospf-2] area 2 
    HRP_S[FW_D-ospf-2-area-0.0.0.2] authentication-mode md5 1 cipher Huawei-123 
    HRP_S[FW_D-ospf-2-area-0.0.0.2] network 10.2.1.0 0.0.0.255 
    HRP_S[FW_D-ospf-2-area-0.0.0.2] network 10.3.1.0 0.0.0.255 
    HRP_S[FW_D-ospf-2-area-0.0.0.2] quit 
    HRP_S[FW_D-ospf-2] quit

    # 配置黑洞路由。

    HRP_S[FW_D] ip route-static 1.1.1.6 32 NULL 0 
    HRP_S[FW_D] ip route-static 1.1.1.7 32 NULL 0 
    HRP_S[FW_D] ip route-static 1.1.1.8 32 NULL 0 
    HRP_S[FW_D] ip route-static 1.1.1.9 32 NULL 0 
    HRP_S[FW_D] ip route-static 1.1.1.10 32 NULL 0

其他配置

操作步骤
  1. 配置ASPF

    说明:

    双机热备状态形成后,FW_A上和ASPF配置将会自动备份到FW_B,无需在FW_B上单独配置。

    #配置FW_A的ASPF。

    HRP_M[FW_A] firewall interzone trust untrust 
    HRP_M[FW_A-interzone-trust-untrust] detect rtsp 
    HRP_M[FW_A-interzone-trust-untrust] detect ftp 
    HRP_M[FW_A-interzone-trust-untrust] detect pptp 
    HRP_M[FW_A-interzone-trust-untrust] quit
    说明:

    双机热备状态形成后,FW_C上的NAT和ASPF配置将会自动备份到FW_D,无需在FW_D上单独配置。

    #配置FW_C的ASPF。

    HRP_M[FW_C] firewall interzone trust untrust 
    HRP_M[FW_C-interzone-trust-untrust] detect rtsp 
    HRP_M[FW_C-interzone-trust-untrust] detect ftp 
    HRP_M[FW_C-interzone-trust-untrust] detect pptp 
    HRP_M[FW_C-interzone-trust-untrust] quit

  2. 配置攻击防范

    说明:

    双机热备状态形成后,FW_A上的攻击防范配置将会自动备份到FW_B,无需在FW_B上单独配置。

    配置FW_A的攻击防范。

    HRP_M[FW_A] firewall defend land enable 
    HRP_M[FW_A] firewall defend smurf enable 
    HRP_M[FW_A] firewall defend fraggle enable 
    HRP_M[FW_A] firewall defend ip-fragment enable 
    HRP_M[FW_A] firewall defend tcp-flag enable 
    HRP_M[FW_A] firewall defend winnuke enable 
    HRP_M[FW_A] firewall defend source-route enable 
    HRP_M[FW_A] firewall defend teardrop enable 
    HRP_M[FW_A] firewall defend route-record enable 
    HRP_M[FW_A] firewall defend time-stamp enable 
    HRP_M[FW_A] firewall defend ping-of-death enable
    说明:

    双机热备状态形成后,FW_C上的攻击防范配置将会自动备份到FW_D,无需在FW_D上单独配置。

    配置FW_C的攻击防范。

    HRP_M[FW_C] firewall defend land enable 
    HRP_M[FW_C] firewall defend smurf enable 
    HRP_M[FW_C] firewall defend fraggle enable 
    HRP_M[FW_C] firewall defend ip-fragment enable 
    HRP_M[FW_C] firewall defend tcp-flag enable 
    HRP_M[FW_C] firewall defend winnuke enable 
    HRP_M[FW_C] firewall defend source-route enable 
    HRP_M[FW_C] firewall defend teardrop enable 
    HRP_M[FW_C] firewall defend route-record enable 
    HRP_M[FW_C] firewall defend time-stamp enable 
    HRP_M[FW_C] firewall defend ping-of-death enable

  3. 配置网管(SNMP)

    说明:

    双机热备状态形成后,FW_A上的SNMP配置将会自动备份到FW_B,无需在FW_B上单独配置。

    网管的配置请根据采用的网管产品参考对应的网管配置手册,网管的认证参数配置必须和FW上保持一致,否则网管系统无法管理FW。此处设备和网管间通信以采用SNMPv3为例。

    # 配置FW上SNMP的版本。本步骤为可选配置,缺省情况下,SNMP的版本为SNMPv3版本。如果版本不为SNMPv3,请配置本步骤。

    HRP_M[FW_A] snmp-agent sys-info version v3

    # 配置SNMPv3用户组。

    HRP_M[FW_A] snmp-agent group v3 NMS1 privacy

    # 配置SNMPv3用户。

    HRP_M[FW_A] snmp-agent usm-user v3 Admin123 NMS1 authentication-mode md5 Admin@123 privacy-mode aes256 Admin@456

    # 配置联系人信息。

    HRP_M[FW_A] snmp-agent sys-info contact Mr.zhang

    # 配置位置信息。

    HRP_M[FW_A] snmp-agent sys-info location Beijing

    # 配置NGFW上SNMP的告警功能。

    HRP_M[FW_A] snmp-agent target-host trap address udp-domain 10.1.1.1 params securityname Admin123 v3 privacy 
    HRP_M[FW_A] snmp-agent trap enable  
    Warning: All switches of SNMP trap/notification will be open. Continue? [Y/N]:y
    说明:

    双机热备状态形成后,FW_C上的SNMP配置将会自动备份到FW_D,无需在FW_D上单独配置。

    网管的配置请根据采用的网管产品参考对应的网管配置手册,网管的认证参数配置必须和FW上保持一致,否则网管系统无法管理FW。此处设备和网管间通信以采用SNMPv3为例。

    # 配置FW上SNMP的版本。本步骤为可选配置,缺省情况下,SNMP的版本为SNMPv3版本。如果版本不为SNMPv3,请配置本步骤。

    HRP_M[FW_C] snmp-agent sys-info version v3

    # 配置SNMPv3用户组。

    HRP_M[FW_C] snmp-agent group v3 NMS1 privacy

    # 配置SNMPv3用户。

    HRP_M[FW_C] snmp-agent usm-user v3 Admin123 NMS1 authentication-mode md5 Admin@123 privacy-mode aes256 Admin@456

    # 配置联系人信息。

    HRP_M[FW_C] snmp-agent sys-info contact Mr.zhang

    # 配置位置信息。

    HRP_M[FW_C] snmp-agent sys-info location Beijing

    # 配置NGFW上SNMP的告警功能。

    HRP_M[FW_C] snmp-agent target-host trap address udp-domain 10.1.1.1 params securityname Admin123 v3 privacy 
    HRP_M[FW_A] snmp-agent trap enable  
    Warning: All switches of SNMP trap/notification will be open. Continue? [Y/N]:y

  4. 上下行路由器和交换机的基本网络参数和主备功能配置,请参考路由器和交换机产品资料配置。

结果验证

  1. 在FW_A上执行display hrp state命令,检查当前HRP的状态,显示以下信息表示HRP建立成功。
    HRP_M[FW_A] display hrp stateRole: active, peer: standby  
     Running priority: 46002, peer: 46002 
     Backup channel usage: 7% 
     Stable time: 0 days, 0 hours, 12 minutes
  2. 在FW_A或者FW_C的接口GigabitEthernet 1/0/2或者GigabitEthernet 1/0/3上执行shutdown命令,模拟链路故障,发现主备正常倒换,业务不会中断。
  3. 在FW_A执行display firewall session table查看详细的转换信息。以Radius服务器地址为3.3.3.4为例。
    HRP_M<FW_A> display firewall session table 
    Current Total Sessions : 1 
      http  VPN:public --> public  3.3.3.4:8080-->3.3.3.3:8080[10.3.0.10:80]
  4. 在FW_C上执行display nat-policy rule rule-name命令查看源NAT策略的命中次数,命中次数大于等于1即表示有数据流命中NAT策略。
  5. 在FW_C上执行display firewall session table命令查询源地址为SCG的私网地址的表项,查看本次NAT转换的信息。存在该表项,且NAT转换后的IP地址为NAT地址池中的地址,表示NAT策略配置成功。“[]”中的内容为NAT转换后的IP地址和端口。以Internet侧目的地址3.3.3.30为例。
    HRP_M<FW_C> display firewall session table 
    Current Total Sessions : 1 
     http  VPN:public --> public  10.3.1.0:2474[1.1.1.10:3761]-->3.3.3.30:8080
  6. 配置完成后,Radius服务器能够正常访问内网服务器提供的服务,表示服务器映射配置成功。
  7. 用户使用手机可以正常上网。
  8. SCG综合网关正常使用基于业务的计费和带宽控制等功能。

配置脚本

FW_A

FW_B

#

hrp enable

hrp interface Eth-Trunk 0 remote 10.10.0.2

hrp adjust ospf-cost enable

hrp preempt delay 300

hrp track interface Eth-Trunk 1.1

hrp track interface Eth-Trunk 1.2

#

firewall defend land enable

firewall defend smurf enable

firewall defend fraggle enable

firewall defend ip-fragment enable

firewall defend tcp-flag enable

firewall defend winnuke enable

firewall defend source-route enable

firewall defend teardrop enable

firewall defend route-record enable

firewall defend time-stamp enable

firewall defend ping-of-death enable

#

interface Eth-Trunk0

description To_FW_B

ip address 10.10.0.1 255.255.255.0

#

interface Eth-Trunk1.1

description To_GGSN1

ip address 10.2.0.1 255.255.255.0

vlan-type dot1q 11

ospf cost 10

ospf network-type p2p

#

interface Eth-Trunk1.2

description To_GGSN2

ip address 10.2.2.1 255.255.255.0

vlan-type dot1q 12

ospf cost 10

ospf network-type p2p

#

interface Eth-Trunk2.1

description To_SCG

ip address 10.3.0.1 255.255.255.0

vlan-type dot1q 21

vrrp vrid 1 virtual-ip 10.3.0.3 24 active

#

interface loopback 1

ip address 10.2.0.10 32

ospf cost 10

#

interface loopback 2

ip address 10.2.0.11 32

ospf cost 10

#

interface GigabitEthernet1/0/0

eth-trunk 0

#

interface GigabitEthernet1/0/1

eth-trunk 0

#

interface GigabitEthernet1/0/2

eth-trunk 1

link-group 1

#

interface GigabitEthernet1/0/3

eth-trunk 1

link-group 1

#

interface GigabitEthernet1/0/4

eth-trunk 2

link-group 1

#

interface GigabitEthernet1/0/5

eth-trunk 2

link-group 1

#

firewall zone trust

set priority 85

add interface Eth-Trunk2.1

#

firewall zone untrust

set priority 5

add interface Eth-Trunk1.1

add interface Eth-Trunk1.2

#

firewall zone dmz

set priority 50

add interface Eth-Trunk0

#

firewall zone tunnelzone

set priority 20

add interface tunnel1

add interface tunnel2

#

firewall interzone trust untrust

detect rtsp

detect ftp

detect pptp

#

security-policy

#

rule name trust_tunnelzone_outbound

source-zone trust

destination-zone tunnelzone

source-address 10.3.0.0 24

action permit

#

rule name trust_tunnelzone_inbound

source-zone tunnelzone

destination-zone trust

destination-address 10.3.0.0 24

action permit

#

rule name local_dmz_outbound

source-zone local

destination-zone dmz

source-address 10.10.0.0 24

action permit

#

rule name local_dmz_inbound

source-zone dmz

destination-zone local

destination-address 10.10.0.0 24

action permit

#

rule name local_untrust_outbound

source-zone local

destination-zone untrust

source-address 10.2.0.0 16

action permit

#

rule name local_untrust_inbound

source-zone dmz

destination-zone local

destination-address 10.2.0.0 16

action permit

#

nat server for_server protocol tcp global 3.3.3.3 8080 inside 10.3.0.10 80

#

acl number 2000

description ospf1_import_ggsn

rule 5 permit source 221.180.0.0 0.0.0.255

rule 100 deny

#

ospf 1

filter-policy 2000 import

area 0.0.0.1

authentication-mode md5 1 cipher Huawei-123

network 10.2.0.0 0.0.0.255

network 10.3.0.0 0.0.0.255

network 172.16.2.0 0.0.0.255

#

interface Tunnel1

ip address 172.16.2.1 32

tunnel-protocol gre

source loopback1

destination 10.2.10.1

gre key cipher 123456

ospf timer hello 30

#

interface Tunnel2

ip address 172.16.2.2 32

tunnel-protocol gre

source loopback2

destination 10.2.11.1

gre key cipher 123456

ospf timer hello 30

#

snmp-agent

snmp-agent local-engineid 000007DB7FFFFFFF000077D0

snmp-agent sys-info version v3

snmp-agent sys-info contact Mr.zhang

snmp-agent sys-info location Beijing

snmp-agent group v3 NMS1 privacy

snmp-agent target-host trap address udp-domain 10.1.1.1 params securityname

%$%$Lch*5Z>Q0:BIj9Nv<&^W(>5,%$%$ v3 privacy private-netmanager

snmp-agent usm-user v3 Admin123 NMS1 authentication-mode md5 %$%$q:JqX0VlJ,

5ykB"H'lF&k d[REPvIW_tq`0DkZ\JN)tTE`ja\%$%$ privacy-mode aes256 %$%$.AA`F.

dEUJ8Dl33bz;0PYcZQ">eB&vh6t$]4

#

return

#

hrp enable

hrp interface Eth-Trunk 0 remote 10.10.0.1

hrp adjust ospf-cost enable

hrp preempt delay 300

hrp track interface Eth-Trunk 1.1

hrp track interface Eth-Trunk 1.2

#

firewall defend land enable

firewall defend smurf enable

firewall defend fraggle enable

firewall defend ip-fragment enable

firewall defend tcp-flag enable

firewall defend winnuke enable

firewall defend source-route enable

firewall defend teardrop enable

firewall defend route-record enable

firewall defend time-stamp enable

firewall defend ping-of-death enable

#

interface Eth-Trunk0

description To_FW_A

ip address 10.10.0.2 255.255.255.0

#

interface Eth-Trunk1.1

description To_GGSN1

ip address 10.2.0.2 255.255.255.0

vlan-type dot1q 11

ospf cost 1000

ospf network-type p2p

#

interface Eth-Trunk1.2

description To_GGSN2

ip address 10.2.2.2 255.255.255.0

vlan-type dot1q 12

ospf cost 1000

ospf network-type p2p

#

interface Eth-Trunk2.1

description To_SCG

ip address 10.3.0.2 255.255.255.0

vlan-type dot1q 21

vrrp vrid 1 virtual-ip 10.3.0.3 24 standby

#

interface loopback 1

ip address 10.2.0.12 32

ospf cost 1000

#

interface loopback 2

ip address 10.2.0.13 32

ospf cost 1000

#

interface GigabitEthernet1/0/0

eth-trunk 0

#

interface GigabitEthernet1/0/1

eth-trunk 0

#

interface GigabitEthernet1/0/2

eth-trunk 1

#

interface GigabitEthernet1/0/3

eth-trunk 1

#

interface GigabitEthernet1/0/4

eth-trunk 2

#

interface GigabitEthernet1/0/5

eth-trunk 2

#

firewall zone trust

set priority 85

add interface Eth-Trunk2.1

#

firewall zone untrust

set priority 5

add interface Eth-Trunk1.1

add interface Eth-Trunk1.2

#

firewall zone dmz

set priority 50

add interface Eth-Trunk0

#

firewall zone tunnelzone

set priority 20

add interface tunnel1

add interface tunnel2

#

firewall interzone trust untrust

detect rtsp

detect ftp

detect pptp

#

security-policy

#

rule name trust_tunnelzone_outbound

source-zone trust

destination-zone tunnelzone

source-address 10.3.0.0 24

action permit

#

rule name trust_tunnelzone_inbound

source-zone tunnelzone

destination-zone trust

destination-address 10.3.0.0 24

action permit

#

rule name local_dmz_outbound

source-zone local

destination-zone dmz

source-address 10.10.0.0 24

action permit

#

rule name local_dmz_inbound

source-zone dmz

destination-zone local

destination-address 10.10.0.0 24

action permit

#

rule name local_untrust_outbound

source-zone local

destination-zone untrust

source-address 10.2.0.0 16

action permit

#

rule name local_untrust_inbound

source-zone dmz

destination-zone local

destination-address 10.2.0.0 16

action permit

#

nat server for_server protocol tcp global 3.3.3.3 8080 inside 10.3.0.10 80

#

acl number 2000

description ospf1_import_ggsn

rule 5 permit source 221.180.0.0 0.0.0.255

rule 100 deny

#

ospf 1

filter-policy 2000 import

area 0.0.0.1

authentication-mode md5 1 cipher Huawei-123

network 10.2.0.0 0.0.0.255

network 10.3.0.0 0.0.0.255

network 172.16.2.0 0.0.0.255

#

interface Tunnel1

ip address 172.16.2.3 32

tunnel-protocol gre

source loopback1

destination 10.2.10.2

gre key cipher 123456

ospf timer hello 30

#

interface Tunnel2

ip address 172.16.2.4 32

tunnel-protocol gre

source loopback2

destination 10.2.11.2

gre key cipher 123456

ospf timer hello 30

#

snmp-agent

snmp-agent local-engineid 000007DB7FFFFFFF000077D0

snmp-agent sys-info version v3

snmp-agent sys-info contact Mr.zhang

snmp-agent sys-info location Beijing

snmp-agent group v3 NMS1 privacy

snmp-agent target-host trap address udp-domain 10.1.1.1 params securityname

%$%$Lch*5Z>Q0:BIj9Nv<&^W(>5,%$%$ v3 privacy private-netmanager

snmp-agent usm-user v3 Admin123 NMS1 authentication-mode md5 %$%$q:JqX0VlJ,

5ykB"H'lF&k d[REPvIW_tq`0DkZ\JN)tTE`ja\%$%$ privacy-mode aes256 %$%$.AA`F.

dEUJ8Dl33bz;0PYcZQ">eB&vh6t$]4

#

return

FW_C

FW_D

#

hrp enable

hrp interface Eth-Trunk 0 remote 10.10.0.4

hrp adjust ospf-cost enable

hrp preempt delay 300

hrp track interface Eth-Trunk 1.1

#

firewall defend land enable

firewall defend smurf enable

firewall defend fraggle enable

firewall defend ip-fragment enable

firewall defend tcp-flag enable

firewall defend winnuke enable

firewall defend source-route enable

firewall defend teardrop enable

firewall defend route-record enable

firewall defend time-stamp enable

firewall defend ping-of-death enable

#

interface Eth-Trunk0

description To_FW_D

ip address 10.10.0.3 255.255.255.0

#

interface Eth-Trunk1.1

description To_Internet

ip address 10.2.1.1 255.255.255.0

vlan-type dot1q 11

ospf cost 10

ospf network-type p2p

ospf timer hello 30

#

interface Eth-Trunk2.1

description To_SCG

ip address 10.3.1.1 255.255.255.0

vlan-type dot1q 21

vrrp vrid 1 virtual-ip 10.3.1.3 24 active

#

interface GigabitEthernet1/0/0

eth-trunk 0

#

interface GigabitEthernet1/0/1

eth-trunk 0

#

interface GigabitEthernet1/0/2

eth-trunk 1

link-group 1

#

interface GigabitEthernet1/0/3

eth-trunk 1

link-group 1

#

interface GigabitEthernet1/0/4

eth-trunk 2

link-group 1

#

interface GigabitEthernet1/0/5

eth-trunk 2

link-group 1

#

firewall zone trust

set priority 85

add interface Eth-Trunk2.1

#

firewall zone untrust

set priority 5

add interface Eth-Trunk1.1

#

firewall zone dmz

set priority 50

add interface Eth-Trunk0

#

firewall interzone trust untrust

detect rtsp

detect ftp

detect pptp

#

security-policy

rule name local_dmz_outbound

source-zone local

destination-zone dmz

destination-address 10.10.0.0 24

action permit

rule name local_dmz_intbound

source-zone dmz

destination-zone local

source-address 10.10.0.0 24

action permit

rule name trust_untrust_outbound

source-zone trust

destination-zone untrust

destination-address 10.2.1.0 24

action permit

rule name trust_untrust_intbound

source-zone untrust

destination-zone trust

source-address 10.2.1.0 24

action permit

#

nat address-group 1

mode pat

section 0 1.1.1.6 1.1.1.10

#

nat-policy

rule name trust_untrust_outbound

source-zone trust

destination-zone untrust

source-address 10.3.1.0 0.0.0.255

action source-nat address-group addressgroup1

#

acl number 2100

description ospf2_import_default

rule 5 permit source 0.0.0.0 0

rule 1000 deny

#

ospf 2

filter-policy 2100 import

import-route static

area 0.0.0.2

authentication-mode md5 1 cipher Huawei-123

network 10.2.1.0 0.0.0.255

network 10.3.1.0 0.0.0.255

#

ip route-static 1.1.1.6 255.255.255.255 NULL0

ip route-static 1.1.1.7 255.255.255.255 NULL0

ip route-static 1.1.1.8 255.255.255.255 NULL0

ip route-static 1.1.1.9 255.255.255.255 NULL0

ip route-static 1.1.1.10 255.255.255.255 NULL0

#

snmp-agent

snmp-agent local-engineid 000007DB7FFFFFFF000077D0

snmp-agent sys-info version v3

snmp-agent sys-info contact Mr.zhang

snmp-agent sys-info location Beijing

snmp-agent group v3 NMS1 privacy

snmp-agent target-host trap address udp-domain 10.1.1.1 params securityname

%$%$Lch*5Z>Q0:BIj9Nv<&^W(>5,%$%$ v3 privacy private-netmanager

snmp-agent usm-user v3 Admin123 NMS1 authentication-mode md5 %$%$q:JqX0VlJ,

5ykB"H'lF&k d[REPvIW_tq`0DkZ\JN)tTE`ja\%$%$ privacy-mode aes256 %$%$.AA`F.

dEUJ8Dl33bz;0PYcZQ">eB&vh6t$]4

#

return

#

hrp enable

hrp interface Eth-Trunk 0 remote 10.10.0.3

hrp adjust ospf-cost enable

hrp preempt delay 300

hrp track interface Eth-Trunk 1.1

#

firewall defend land enable

firewall defend smurf enable

firewall defend fraggle enable

firewall defend ip-fragment enable

firewall defend tcp-flag enable

firewall defend winnuke enable

firewall defend source-route enable

firewall defend teardrop enable

firewall defend route-record enable

firewall defend time-stamp enable

firewall defend ping-of-death enable

#

interface Eth-Trunk0

description To_FW_C

ip address 10.10.0.4 255.255.255.0

#

interface Eth-Trunk1.1

description To_Internet

ip address 10.2.1.2 255.255.255.0

vlan-type dot1q 11

ospf cost 1000

ospf network-type p2p

ospf timer hello 30

#

interface Eth-Trunk2.1

description To_SCG

ip address 10.3.1.2 255.255.255.0

vlan-type dot1q 21

vrrp vrid 1 virtual-ip 10.3.1.3 24 standby

#

interface GigabitEthernet1/0/0

eth-trunk 0

#

interface GigabitEthernet1/0/1

eth-trunk 0

#

interface GigabitEthernet1/0/2

eth-trunk 1

#

interface GigabitEthernet1/0/3

eth-trunk 1

#

interface GigabitEthernet1/0/4

eth-trunk 2

#

interface GigabitEthernet1/0/5

eth-trunk 2

#

firewall zone trust

set priority 85

add interface Eth-Trunk2.1

#

firewall zone untrust

set priority 5

add interface Eth-Trunk1.1

#

firewall zone dmz

set priority 50

add interface Eth-Trunk0

#

firewall interzone trust untrust

detect rtsp

detect ftp

detect pptp

#

security-policy

rule name local_dmz_outbound

source-zone local

destination-zone dmz

destination-address 10.10.0.0 24

action permit

rule name local_dmz_intbound

source-zone dmz

destination-zone local

source-address 10.10.0.0 24

action permit

rule name trust_untrust_outbound

source-zone trust

destination-zone untrust

destination-address 10.2.1.0 24

action permit

rule name trust_untrust_intbound

source-zone untrust

destination-zone trust

source-address 10.2.1.0 24

action permit

#

nat address-group 1

mode pat

section 0 1.1.1.6 1.1.1.10

#

nat-policy

rule name trust_untrust_outbound

source-zone trust

destination-zone untrust

source-address 10.3.1.0 0.0.0.255

action source-nat address-group addressgroup1

#

acl number 2100

description ospf2_import_default

rule 5 permit source 0.0.0.0 0

rule 1000 deny

#

ospf 2

filter-policy 2100 import

import-route static

area 0.0.0.2

authentication-mode md5 1 cipher Huawei-123

network 10.2.1.0 0.0.0.255

network 10.3.1.0 0.0.0.255

#

ip route-static 1.1.1.6 255.255.255.255 NULL0

ip route-static 1.1.1.7 255.255.255.255 NULL0

ip route-static 1.1.1.8 255.255.255.255 NULL0

ip route-static 1.1.1.9 255.255.255.255 NULL0

ip route-static 1.1.1.10 255.255.255.255 NULL0

#

snmp-agent

snmp-agent local-engineid 000007DB7FFFFFFF000077D0

snmp-agent sys-info version v3

snmp-agent sys-info contact Mr.zhang

snmp-agent sys-info location Beijing

snmp-agent group v3 NMS1 privacy

snmp-agent target-host trap address udp-domain 10.1.1.1 params securityname

%$%$Lch*5Z>Q0:BIj9Nv<&^W(>5,%$%$ v3 privacy private-netmanager

snmp-agent usm-user v3 Admin123 NMS1 authentication-mode md5 %$%$q:JqX0VlJ,

5ykB"H'lF&k d[REPvIW_tq`0DkZ\JN)tTE`ja\%$%$ privacy-mode aes256 %$%$.AA`F.

dEUJ8Dl33bz;0PYcZQ">eB&vh6t$]4

#

return

翻译
下载文档
更新时间:2019-06-17

文档编号:EDOC1100087928

浏览量:725

下载量:162

平均得分:
本文档适用于这些产品
相关版本
相关文档
Share
上一页 下一页