所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

防火墙在云计算安全方案中的应用

评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
防火墙在云计算安全方案中的应用

防火墙在云计算安全方案中的应用

简介

防火墙旁挂在云计算网络的核心交换机上,通过虚拟系统隔离网络中的虚拟机业务。同时,防火墙形成双机热备状态,提高业务的可靠性。

基于USG6000&USG9500 V500R005C00版本写作,可供USG6000&USG9500 V500R005C00、Eudemon200E-N&Eudemon1000E-N&Eudemon8000E-X V500R005C00、USG6000E V600R006C00、Eudemon200E-G&Eudemon1000E-G V600R006C00及后续版本参考。不同版本之间可能存在差异,请以实际版本为准。

方案简介

云计算网络简介

随着云计算的迅猛发展,企业可以便捷地接入云计算网络,获取服务器、存储、应用等资源,减少构建IT基础设施的投资成本,大大加快了信息化进程。

图1-1所示,某个“工业云”为企业用户提供云计算服务,网络中的业务包括如下几种:

  • 企业用户访问虚拟机来获取定制化的资源。
  • 企业用户访问Portal系统来进行帐号申请和虚拟机空间管理等操作。
  • 云计算网络中的管理组件对虚拟机、Portal系统以及网络设备进行管理。
图1-1 云计算网络示意图

防火墙在云计算网络中的应用

图1-2所示,防火墙旁挂在云计算网络中的核心交换机上,将虚拟机和Portal系统发布出去供企业用户访问,并且对企业用户访问虚拟机的业务进行隔离。

图1-2 防火墙在云计算网络中的应用示意图

在云计算网络中,主要用到了防火墙的如下功能:

  • 双机热备

    两台防火墙之间形成主备备份方式的双机热备状态,提高业务可靠性。

  • NAT Server

    通过NAT Server将虚拟机和Portal系统的公网地址发布出去,供Internet上的企业用户访问。

  • 虚拟系统

    为每一个虚拟机划分一个虚拟系统,隔离企业用户访问虚拟机的业务;同时还可以在虚拟系统中配置安全策略,实现访问控制。

方案一:防火墙作为网关

典型组网

该云计算网络中,核心交换机使用CE12800、接入交换机使用CE6800、防火墙使用USG9500,本案例重点关注防火墙上的配置,整体的组网环境如图1-3所示。

图1-3 云计算网络组网图

云计算网络中主要有如下几个需求:

  • 不同的外网企业用户访问虚拟机时,相互之间不能影响,业务必须隔离。同时,每个虚拟机业务可使用的带宽资源也要限制在一定范围内,避免占用大量资源。
  • 内部网络中的虚拟机和Portal系统都配置私网地址,要求对外发布两者的公网地址,使外网企业用户能够通过公网地址访问虚拟机和Portal系统。
  • 对外网企业用户访问虚拟机和Portal系统的行为进行控制,仅允许访问业务的流量通过。
  • 提高设备的可靠性,不能因为一台设备出现故障而导致业务中断。

防火墙旁挂在核心交换机CE12800上,使用如下特性来满足上述需求:

  • 使用虚拟系统隔离外网企业用户访问虚拟机的业务,每一个虚拟机都属于一个虚拟系统,每个虚拟系统中都限制了最大带宽资源。
  • 使用子接口与CE12800相连,将子接口划分到虚拟系统和根系统中,虚拟系统中的子接口用来传输虚拟机业务,根系统中的子接口用来传输Portal系统业务。
  • 使用NAT Server对外发布虚拟机和Portal系统的公网地址,在每个虚拟系统中配置针对虚拟机的NAT Server,在根系统中配置针对Portal系统的NAT Server。
  • 使用安全策略对虚拟机和Portal系统的业务进行访问控制,在每个虚拟系统中配置针对虚拟机业务的安全策略,在根系统中配置针对Portal系统业务的安全策略。
  • 使用双机热备提高可靠性,两台防火墙形成主备备份状态的双机热备,当主用防火墙出现故障时,备用防火墙接替其工作,业务不会中断。

业务规划

图1-4所示,FW旁挂在CE12800上,工作在三层转发模式。CE12800从逻辑上分为上行、下行两个部分,上行部分工作在三层转发(L3)模式,下行部分工作在二层转发(L2)模式。FW与CE12800的上行部分之间运行OSPF,与CE12800的下行部分之间运行VRRP,FW上VRRP的虚拟IP地址作为虚拟机和Portal系统的网关。外网企业用户访问虚拟机和Portal系统的流量经过CE12800的上行部分转发至FW处理后,再经过CE12800的下行部分转发至虚拟机和Portal;回程流量则经过CE12800的下行部分转发至FW处理后,再经过CE12800的上行部分发送出去。

图1-4 FW旁挂连接示意图

详细的规划情况在下面逐一介绍。

接口和安全区域

下面以FW_A和CE12800_A为例,介绍两者之间的连接情况。

图1-5所示,FW_A上的GE1/0/1接口与CE12800_A上的10GE1/1/0/1接口相连,详细的连接情况如下:

  • FW_A上的GE1/0/1接口划分了多个子接口(此处仅以三个子接口为例进行说明),每个子接口上都配置了IP地址。其中多数的子接口都属于不同的虚拟系统,划分到虚拟系统的Untrust区域中;一个子接口属于根系统,划分到根系统的Untrust区域中。
  • CE12800_A上的10GE1/1/0/1接口为Trunk口,允许多个VLAN的报文通过,在每个Vlanif接口上都配置IP地址,逻辑上与FW_A上相应的子接口连接。
图1-5 FW_A上的GE1/0/1接口连接示意图

图1-6所示,FW_A上的GE1/0/2接口与CE12800_A上的10GE1/1/0/2接口相连,详细的连接情况如下:

  • FW_A上的GE1/0/2接口划分了两个子接口(也可以根据Portal系统的实际网络情况划分多个子接口),每个子接口上都配置了IP地址,每个子接口都划分到根系统的DMZ区域中。
  • CE12800_A上的10GE1/1/0/2接口为Trunk口,允许多个VLAN的报文通过。
  • FW_A上子接口的VRRP虚拟IP地址作为Portal系统的网关,终结VLAN,CE12800_A的作用是二层透传报文。
图1-6 FW_A上的GE1/0/2接口连接示意图

图1-7所示,FW_A上的GE1/0/3接口与CE12800_A上的10GE1/1/0/3接口相连,详细的连接情况如下:

  • FW_A上的GE1/0/3接口划分了多个子接口(此处仅以两个子接口为例进行说明),每个子接口上都配置了IP地址。每个子接口都属于不同的虚拟系统,划分到虚拟系统的Trust区域中。
  • CE12800_A上的10GE1/1/0/3接口为Trunk口,允许多个VLAN的报文通过。
  • FW_A上子接口的VRRP虚拟IP地址作为虚拟机的网关,终结VLAN,CE12800_A的作用是二层透传报文。
图1-7 FW_A上的GE1/0/3接口连接示意图

FW_B和CE12800_B之间的连接情况与上面的内容相同,此处不再赘述。

说明:

虚拟机之间的互访需求,可以通过访问各自的公网地址,互访报文经过CE12800转发来实现。

FW上的接口和安全区域的数据规划如表1-1所示。

表1-1 接口和安全区域数据规划

FW_A

FW_B

说明

GE1/0/1

IP地址:无

虚拟系统:public

安全区域:Untrust

GE1/0/1

IP地址:无

虚拟系统:public

安全区域:Untrust

与CE12800的10GE1/1/0/1接口相连。

GE1/0/1.10

IP地址:172.16.10.252/24

虚拟系统:vfw1

安全区域:Untrust

GE1/0/1.10

IP地址:172.16.10.253/24

虚拟系统:vfw1

安全区域:Untrust

虚拟系统vfw1的子接口。

GE1/0/1.11

IP地址:172.16.11.252/24

虚拟系统:vfw2

安全区域:Untrust

GE1/0/1.11

IP地址:172.16.11.253/24

虚拟系统:vfw2

安全区域:Untrust

虚拟系统vfw2的子接口。

GE1/0/1.1000

IP地址:172.16.9.252/24

虚拟系统:public

安全区域:Untrust

GE1/0/1.1000

IP地址:172.16.9.253/24

虚拟系统:public

安全区域:Untrust

根系统的子接口。

GE1/0/2

IP地址:无

虚拟系统:public

安全区域:DMZ

GE1/0/2

IP地址:无

虚拟系统:public

安全区域:DMZ

与CE12800的10GE1/1/0/2接口相连。

GE1/0/2.1

IP地址:10.159.1.252/24

虚拟系统:public

安全区域:DMZ

VRRP ID:1

虚拟IP:10.159.1.254

状态:active

GE1/0/2.1

IP地址:10.159.1.253/24

虚拟系统:public

安全区域:DMZ

VRRP ID:1

虚拟IP:10.159.1.254

状态:standby

根系统的子接口。

10.159.1.254作为Portal系统所在网络的网关。

GE1/0/2.2

IP地址:10.159.2.252/24

虚拟系统:public

安全区域:DMZ

VRRP ID:2

虚拟IP:10.159.2.254

状态:active

GE1/0/2.2

IP地址:10.159.2.253/24

虚拟系统:public

安全区域:DMZ

VRRP ID:2

虚拟IP:10.159.2.254

状态:standby

根系统的子接口。

10.159.2.254作为Portal系统所在网络的网关。

GE1/0/3

IP地址:无

虚拟系统:public

安全区域:Trust

GE1/0/3

IP地址:无

虚拟系统:public

安全区域:Trust

与CE12800的10GE1/1/0/3接口相连。

GE1/0/3.10

IP地址:10.159.10.252/24

虚拟系统:vfw1

安全区域:Trust

VRRP ID:10

虚拟IP:10.159.10.254

状态:active

GE1/0/3.10

IP地址:10.159.10.253/24

虚拟系统:vfw1

安全区域:Trust

VRRP ID:10

虚拟IP:10.159.10.254

状态:standby

虚拟系统vfw1的子接口。

10.159.10.254作为虚拟机的网关。

GE1/0/3.11

IP地址:10.159.11.252/24

虚拟系统:vfw2

安全区域:Trust

VRRP ID:11

虚拟IP:10.159.11.254

状态:active

GE1/0/3.11

IP地址:10.159.11.253/24

虚拟系统:vfw2

安全区域:Trust

VRRP ID:11

虚拟IP:10.159.11.254

状态:standby

虚拟系统vfw2的子接口。

10.159.11.254作为虚拟机的网关。

Eth-Trunk1

成员接口:GE2/0/1、GE2/0/2

IP地址:10.1.1.1/30

虚拟系统:public

安全区域:hrpzone

Eth-Trunk1

成员接口:GE2/0/1、GE2/0/2

IP地址:10.1.1.2/30

虚拟系统:public

安全区域:hrpzone

HRP备份接口。

虚拟系统

虚拟系统用来承载虚拟机业务,每个虚拟系统都对应一个虚拟机。虚拟系统中接口的划分情况在上面的接口和安全区域中已经介绍过了,除此之外,为了限制每个虚拟系统可使用的带宽,还需要为虚拟系统配置资源类。

FW上的虚拟系统数据规划如表1-2所示。此处仅以两个虚拟系统为例进行介绍,实际使用时请根据虚拟机的数量创建多个虚拟系统。

表1-2 虚拟系统数据规划

项目

FW_A

FW_B

说明

资源类

名称:vfw1_car

最大带宽:100M

名称:vfw1_car

最大带宽:100M

限制虚拟系统vfw1整体的最大带宽为100M。

名称:vfw2_car

最大带宽:100M

名称:vfw2_car

最大带宽:100M

限制虚拟系统vfw2整体的最大带宽为100M。

虚拟系统

名称:vfw1

资源类:vfw1_car

名称:vfw1

资源类:vfw1_car

-

名称:vfw2

资源类:vfw2_car

名称:vfw2

资源类:vfw2_car

-

路由

路由分为根系统中的路由和虚拟系统中的路由两部分,都配置缺省路由、黑洞路由和OSPF路由,其中OSPF路由运行于FW与CE12800相连的上行子接口上,如图1-8所示。

图1-8 FW_A上的OSPF路由示意图

具体分析如下:

  • 根系统配置缺省路由,下一跳为CE12800_A上相应的Vlanif接口的IP地址;每个虚拟系统中均配置缺省路由,下一跳为CE12800_A上相应的Vlanif接口的IP地址。
  • 根系统中配置目的地址是Portal系统的公网地址的黑洞路由,引入到根系统的OSPF中发布给CE12800;每个虚拟系统中配置目的地址是虚拟机公网地址的黑洞路由,引入到虚拟系统的OSPF中发布给CE12800_A。
  • 根系统和虚拟系统中都运行OSPF路由协议,虚拟系统中的OSPF是通过在根系统中绑定虚拟系统对应的VPN实例来实现的。

CE12800_A上也运行OSPF协议,将每个Vlanif接口所属的网段都发布出去。

FW上的路由数据规划如表1-3所示。

表1-3 路由数据规划

项目

FW_A

FW_B

说明

根系统中的路由

缺省路由

下一跳:172.16.9.251

缺省路由

下一跳:172.16.9.251

根系统的缺省路由,下一跳指向CE12800。

黑洞路由

目的地址:117.1.1.1/32、117.1.1.2/32

黑洞路由

目的地址:117.1.1.1/32、117.1.1.2/32

Portal系统Global地址的黑洞路由,防止路由环路。

OSPF

发布的网段:172.16.9.0/24

引入静态路由

OSPF

发布的网段:172.16.9.0/24

引入静态路由

将Portal系统的Global地址引入到OSPF中,发布给CE12800。

虚拟系统vfw1中的路由

缺省路由

下一跳:172.16.10.251

缺省路由

下一跳:172.16.10.251

虚拟系统vfw1的缺省路由,下一跳指向CE12800。

黑洞路由

目的地址:118.1.1.1/32

黑洞路由

目的地址:118.1.1.1/32

虚拟机Global地址的黑洞路由,防止路由环路。

OSPF

绑定的VPN实例:vfw1

发布的网段:172.16.10.0/24

引入静态路由

OSPF

绑定的VPN实例:vfw1

发布的网段:172.16.10.0/24

引入静态路由

将虚拟机的Global地址引入到OSPF中,发布给CE12800。

虚拟系统vfw2中的路由

缺省路由

下一跳:172.16.11.251

缺省路由

下一跳:172.16.11.251

虚拟系统vfw1的缺省路由,下一跳指向CE12800。

黑洞路由

目的地址:118.1.1.2/32

黑洞路由

目的地址:118.1.1.2/32

虚拟机Global地址的黑洞路由,防止路由环路。

OSPF

绑定的VPN实例:vfw2

发布的网段:172.16.11.0/24

引入静态路由

OSPF

绑定的VPN实例:vfw2

发布的网段:172.16.11.0/24

引入静态路由

将虚拟机的Global地址引入到OSPF中,发布给CE12800。

双机热备

对于双机热备来说,整个组网的逻辑图就可以理解为经典的防火墙上行连接三层设备,下行连接二层设备的双机热备组网。外网企业用户访问虚拟机的业务,其组网逻辑图如图1-9所示。

图1-9 虚拟机业务的逻辑组网图

外网企业用户访问Portal系统的业务,其组网逻辑图如图1-10所示。

图1-10 Portal系统业务的逻辑组网图

双机热备状态形成后,FW_A作为主用防火墙,FW_B作为备用防火墙。如图1-11所示,在网络正常的情况下,FW_A正常对外发布路由,FW_B发布的路由Cost值增加65500(缺省值,可调整)。Router_A和Router_B在转发外网企业用户访问虚拟机或Portal系统的流量时,会选择开销(Cost值)更小的路径,因此流量通过FW_A转发。

对于虚拟机或Portal系统回应给外网企业用户的返程流量,当虚拟机或Portal系统请求网关的MAC地址时,只有主用设备FW_A才会应答,将虚MAC地址回应给虚拟机和Portal系统。而CE6800则会记录虚MAC和端口的对应关系,返程流量经过CE6800被转发至FW_A。

图1-11 正常情况下的流量走向

当FW_A或者FW_A连接的链路出现故障时,双机主备倒换,这时FW_B正常对外发布路由,FW_A发布的路由Cost值增加65500。路由重新收敛后,流量都经过FW_B来转发,如图1-12所示。

对于虚拟机或Portal系统回应给外网企业用户的返程流量,双机主备倒换后,FW_B会对外发送免费ARP报文,使CE6800更新虚MAC和端口的对应关系,返程流量经过CE6800被转发至FW_B。

图1-12 出现故障时的流量走向

安全策略

安全策略分为根系统中的安全策略和虚拟系统中的安全策略两部分,根系统中安全策略的作用是允许外网企业用户访问Portal系统的报文通过,以及允许根系统与CE12800之间交互的OSPF报文通过;虚拟系统中安全策略的作用是允许外网企业用户访问虚拟机的报文通过,以及允许虚拟系统与CE12800之间交互的OSPF报文通过。

同时,可以在安全策略上引用反病毒、入侵防御的配置文件,防范各种病毒、蠕虫、木马和僵尸网络攻击。一般情况下,使用缺省的反病毒和入侵防御配置文件default,即可满足防范各种病毒、蠕虫、木马和僵尸网络攻击的需求。

FW上的安全策略数据规划如表1-4所示。

表1-4 安全策略数据规划

项目

FW_A

FW_B

说明

根系统中的安全策略

名称:sec_portal

源安全区域:Untrust

目的安全区域:DMZ

目的地址:10.159.0.0/16

动作:permit

反病毒:default

入侵防御:default

名称:sec_portal

源安全区域:Untrust

目的安全区域:DMZ

目的地址:10.159.0.0/16

动作:permit

反病毒:default

入侵防御:default

允许外网企业用户访问Portal系统的报文通过。

名称:sec_ospf

源安全区域:Untrust、Local

目的安全区域:Local、Untrust

服务:ospf

动作:permit

名称:sec_ospf

源安全区域:Untrust、Local

目的安全区域:Local、Untrust

服务:ospf

动作:permit

允许FW与CE12800交互OSPF报文。

虚拟系统vfw1中的安全策略

名称:sec_vm1

源安全区域:Untrust

目的安全区域:Trust

目的地址:10.159.10.0/24

动作:permit

反病毒:default

入侵防御:default

名称:sec_vm1

源安全区域:Untrust

目的安全区域:Trust

目的地址:10.159.10.0/24

动作:permit

反病毒:default

入侵防御:default

允许外网企业用户访问虚拟机的报文通过。

名称:sec_vm1_ospf

源安全区域:Untrust、Local

目的安全区域:Local、Untrust

服务:ospf

动作:permit

名称:sec_vm1_ospf

源安全区域:Untrust、Local

目的安全区域:Local、Untrust

服务:ospf

动作:permit

允许FW与CE12800交互OSPF报文。

虚拟系统vfw2中的安全策略

名称:sec_vm2

源安全区域:Untrust

目的安全区域:Trust

目的地址:10.159.11.0/24

动作:permit

反病毒:default

入侵防御:default

名称:sec_vm2

源安全区域:Untrust

目的安全区域:Trust

目的地址:10.159.11.0/24

动作:permit

反病毒:default

入侵防御:default

允许外网企业用户访问虚拟机的报文通过。

名称:sec_vm2_ospf

源安全区域:Untrust、Local

目的安全区域:Local、Untrust

服务:ospf

动作:permit

名称:sec_vm2_ospf

源安全区域:Untrust、Local

目的安全区域:Local、Untrust

服务:ospf

动作:permit

允许FW与CE12800交互OSPF报文。

NAT Server

NAT Server分为根系统中的NAT Server和虚拟系统中的NAT Server两部分,根系统中NAT Server的作用是将Portal系统映射成公网地址,供外网企业用户访问;虚拟系统中NAT Server的作用是将虚拟机映射成公网地址,供外网企业用户访问。

为了使外网的企业用户可以访问Portal系统和虚拟机,需要为Portal系统和每一个虚拟机申请公网地址。此处假设为Portal系统申请的公网地址为117.1.1.1和117.1.1.2,为虚拟机申请的公网地址为118.1.1.1和118.1.1.2。FW上的NAT Server数据规划如表1-5所示。

表1-5 NAT Server数据规划

项目

FW_A

FW_B

说明

根系统中的NAT Server

名称:nat_server_portal1

Global地址:117.1.1.1

Inside地址:10.159.1.100

名称:nat_server_portal1

Global地址:117.1.1.1

Inside地址:10.159.1.100

Portal系统的NAT Server。

名称:nat_server_portal2

Global地址:117.1.1.2

Inside地址:10.159.2.100

名称:nat_server_portal2

Global地址:117.1.1.2

Inside地址:10.159.2.100

Portal系统的NAT Server。

虚拟系统vfw1中的NAT Server

名称:nat_server_vm1

Global地址:118.1.1.1

Inside地址:10.159.10.100

名称:nat_server_vm1

Global地址:118.1.1.1

Inside地址:10.159.10.100

虚拟机的NAT Server。

虚拟系统vfw2中的NAT Server

名称:nat_server_vm2

Global地址:118.1.1.2

Inside地址:10.159.11.100

名称:nat_server_vm2

Global地址:118.1.1.2

Inside地址:10.159.11.100

虚拟机的NAT Server。

注意事项

虚拟系统

缺省情况下,USG9500支持10个虚拟系统,如果需要使用更多的虚拟系统,必须申请License。

OSPF

虚拟系统中不能直接配置OSPF,必须在根系统中创建OSPF进程时绑定虚拟系统对应的VPN实例。

黑洞路由

根系统和虚拟系统中配置针对虚拟机和Portal系统公网地址的黑洞路由,防止路由环路,并且可以引入到OSPF中发布出去。

策略备份加速

当策略数量较多时(比如超过500条),为了提升策略加速期间的匹配效率,需要开启备份加速功能。但是开启该功能后,新配置的策略需要等待策略备份加速完成后才能生效。

配置步骤

前提条件

虚拟系统的License文件已经申请,并在FW_A和FW_B上成功激活。

操作步骤

  1. 配置接口和安全区域。

    # 在FW_A上创建子接口。

    <FW_A> system-view 
    [FW_A] interface GigabitEthernet 1/0/1.10 
    [FW_A-GigabitEthernet1/0/1.10] quit 
    [FW_A] interface GigabitEthernet 1/0/1.11 
    [FW_A-GigabitEthernet1/0/1.11] quit 
    [FW_A] interface GigabitEthernet 1/0/1.1000 
    [FW_A-GigabitEthernet1/0/1.1000] quit 
    [FW_A] interface GigabitEthernet 1/0/2.1 
    [FW_A-GigabitEthernet1/0/2.1] quit 
    [FW_A] interface GigabitEthernet 1/0/2.2 
    [FW_A-GigabitEthernet1/0/2.2] quit 
    [FW_A] interface GigabitEthernet 1/0/3.10 
    [FW_A-GigabitEthernet1/0/3.10] quit 
    [FW_A] interface GigabitEthernet 1/0/3.11 
    [FW_A-GigabitEthernet1/0/3.11] quit

    # 在FW_B上创建子接口。

    <FW_B> system-view 
    [FW_B] interface GigabitEthernet 1/0/1.10 
    [FW_B-GigabitEthernet1/0/1.10] quit 
    [FW_B] interface GigabitEthernet 1/0/1.11 
    [FW_B-GigabitEthernet1/0/1.11] quit 
    [FW_B] interface GigabitEthernet 1/0/1.1000 
    [FW_B-GigabitEthernet1/0/1.1000] quit 
    [FW_B] interface GigabitEthernet 1/0/2.1 
    [FW_B-GigabitEthernet1/0/2.1] quit 
    [FW_B] interface GigabitEthernet 1/0/2.2 
    [FW_B-GigabitEthernet1/0/2.2] quit 
    [FW_B] interface GigabitEthernet 1/0/3.10 
    [FW_B-GigabitEthernet1/0/3.10] quit 
    [FW_B] interface GigabitEthernet 1/0/3.11 
    [FW_B-GigabitEthernet1/0/3.11] quit

    # 在FW_A上配置Eth-Trunk接口。

    [FW_A] interface Eth-Trunk 1 
    [FW_A-Eth-Trunk1] ip address 10.1.1.1 30 
    [FW_A-Eth-Trunk1] quit 
    [FW_A] interface GigabitEthernet 2/0/1 
    [FW_A-GigabitEthernet2/0/1] eth-trunk 1 
    [FW_A-GigabitEthernet2/0/1] quit 
    [FW_A] interface GigabitEthernet 2/0/2 
    [FW_A-GigabitEthernet2/0/2] eth-trunk 1 
    [FW_A-GigabitEthernet2/0/2] quit

    # 在FW_B上配置Eth-Trunk接口。

    [FW_B] interface Eth-Trunk 1 
    [FW_B-Eth-Trunk1] ip address 10.1.1.2 30 
    [FW_B-Eth-Trunk1] quit 
    [FW_B] interface GigabitEthernet 2/0/1 
    [FW_B-GigabitEthernet2/0/1] eth-trunk 1 
    [FW_B-GigabitEthernet2/0/1] quit 
    [FW_B] interface GigabitEthernet 2/0/2 
    [FW_B-GigabitEthernet2/0/2] eth-trunk 1 
    [FW_B-GigabitEthernet2/0/2] quit

    # 在FW_A上为根系统接口配置IP地址,并将接口加入根系统的安全区域。

    [FW_A] interface GigabitEthernet 1/0/1.1000 
    [FW_A-GigabitEthernet1/0/1.1000] ip address 172.16.9.252 24 
    [FW_A-GigabitEthernet1/0/1.1000] quit 
    [FW_A] interface GigabitEthernet 1/0/2.1 
    [FW_A-GigabitEthernet1/0/2.1] ip address 10.159.1.252 24 
    [FW_A-GigabitEthernet1/0/2.1] quit 
    [FW_A] interface GigabitEthernet 1/0/2.2 
    [FW_A-GigabitEthernet1/0/2.2] ip address 10.159.2.252 24 
    [FW_A-GigabitEthernet1/0/2.2] quit 
    [FW_A] firewall zone trust 
    [FW_A-zone-trust] add interface GigabitEthernet 1/0/3 
    [FW_A-zone-trust] quit 
    [FW_A] firewall zone untrust 
    [FW_A-zone-untrust] add interface GigabitEthernet 1/0/1 
    [FW_A-zone-untrust] add interface GigabitEthernet 1/0/1.1000 
    [FW_A-zone-untrust] quit 
    [FW_A] firewall zone dmz 
    [FW_A-zone-dmz] add interface GigabitEthernet 1/0/2 
    [FW_A-zone-dmz] add interface GigabitEthernet 1/0/2.1 
    [FW_A-zone-dmz] add interface GigabitEthernet 1/0/2.2 
    [FW_A-zone-dmz] quit 
    [FW_A] firewall zone name hrpzone 
    [FW_A-zone-hrpzone] set priority 65 
    [FW_A-zone-hrpzone] add interface Eth-Trunk 1 
    [FW_A-zone-hrpzone] quit

    # 在FW_B上为根系统接口配置IP地址,并将接口加入根系统的安全区域。

    [FW_B] interface GigabitEthernet 1/0/1.1000 
    [FW_B-GigabitEthernet1/0/1.1000] ip address 172.16.9.253 24 
    [FW_B-GigabitEthernet1/0/1.1000] quit 
    [FW_B] interface GigabitEthernet 1/0/2.1 
    [FW_B-GigabitEthernet1/0/2.1] ip address 10.159.1.253 24 
    [FW_B-GigabitEthernet1/0/2.1] quit 
    [FW_B] interface GigabitEthernet 1/0/2.2 
    [FW_B-GigabitEthernet1/0/2.2] ip address 10.159.2.253 24 
    [FW_B-GigabitEthernet1/0/2.2] quit 
    [FW_B] firewall zone trust 
    [FW_B-zone-trust] add interface GigabitEthernet 1/0/3 
    [FW_B-zone-trust] quit 
    [FW_B] firewall zone untrust 
    [FW_B-zone-untrust] add interface GigabitEthernet 1/0/1 
    [FW_B-zone-untrust] add interface GigabitEthernet 1/0/1.1000 
    [FW_B-zone-untrust] quit 
    [FW_B] firewall zone dmz 
    [FW_B-zone-dmz] add interface GigabitEthernet 1/0/2 
    [FW_B-zone-dmz] add interface GigabitEthernet 1/0/2.1 
    [FW_B-zone-dmz] add interface GigabitEthernet 1/0/2.2 
    [FW_B-zone-dmz] quit 
    [FW_B] firewall zone name hrpzone 
    [FW_B-zone-hrpzone] set priority 65 
    [FW_B-zone-hrpzone] add interface Eth-Trunk 1 
    [FW_B-zone-hrpzone] quit

  2. 配置虚拟系统。

    # 在FW_A上开启虚拟系统功能。

    [FW_A] vsys enable

    # 在FW_B上开启虚拟系统功能。

    [FW_B] vsys enable

    # 在FW_A上配置资源类。

    [FW_A] resource-class vfw1_car 
    [FW_A-resource-class-vfw1_car] resource-item-limit bandwidth 100 entire 
    [FW_A-resource-class-vfw1_car] quit 
    [FW_A] resource-class vfw2_car 
    [FW_A-resource-class-vfw2_car] resource-item-limit bandwidth 100 entire 
    [FW_A-resource-class-vfw2_car] quit

    # 在FW_B上配置资源类。

    [FW_B] resource-class vfw1_car 
    [FW_B-resource-class-vfw1_car] resource-item-limit bandwidth 100 entire 
    [FW_B-resource-class-vfw1_car] quit 
    [FW_B] resource-class vfw2_car 
    [FW_B-resource-class-vfw2_car] resource-item-limit bandwidth 100 entire 
    [FW_B-resource-class-vfw2_car] quit

    # 在FW_A上创建虚拟系统,并为虚拟系统分配资源。

    [FW_A] vsys name vfw1 
    [FW_A-vsys-vfw1] assign resource-class vfw1_car 
    [FW_A-vsys-vfw1] assign interface GigabitEthernet 1/0/1.10 
    [FW_A-vsys-vfw1] assign interface GigabitEthernet 1/0/3.10 
    [FW_A-vsys-vfw1] assign global-ip 118.1.1.1 118.1.1.1 exclusive 
    [FW_A-vsys-vfw1] quit 
    [FW_A] vsys name vfw2 
    [FW_A-vsys-vfw2] assign resource-class vfw2_car 
    [FW_A-vsys-vfw2] assign interface GigabitEthernet 1/0/1.11 
    [FW_A-vsys-vfw2] assign interface GigabitEthernet 1/0/3.11 
    [FW_A-vsys-vfw2] assign global-ip 118.1.1.2 118.1.1.2 exclusive 
    [FW_A-vsys-vfw2] quit

    # 在FW_B上创建虚拟系统,并为虚拟系统分配资源。

    [FW_B] vsys name vfw1 
    [FW_B-vsys-vfw1] assign resource-class vfw1_car 
    [FW_B-vsys-vfw1] assign interface GigabitEthernet 1/0/1.10 
    [FW_B-vsys-vfw1] assign interface GigabitEthernet 1/0/3.10 
    [FW_B-vsys-vfw1] assign global-ip 118.1.1.1 118.1.1.1 exclusive 
    [FW_B-vsys-vfw1] quit 
    [FW_B] vsys name vfw2 
    [FW_B-vsys-vfw2] assign resource-class vfw2_car 
    [FW_B-vsys-vfw2] assign interface GigabitEthernet 1/0/1.11 
    [FW_B-vsys-vfw2] assign interface GigabitEthernet 1/0/3.11 
    [FW_B-vsys-vfw2] assign global-ip 118.1.1.2 118.1.1.2 exclusive 
    [FW_B-vsys-vfw2] quit

    # 在FW_A上的虚拟系统vfw1中配置接口的IP地址,并将接口加入安全区域。

    [FW_A] switch vsys vfw1 
    <FW_A-vfw1> system-view 
    [FW_A-vfw1] interface GigabitEthernet 1/0/1.10 
    [FW_A-vfw1-GigabitEthernet1/0/1.10] ip address 172.16.10.252 24 
    [FW_A-vfw1-GigabitEthernet1/0/1.10] quit 
    [FW_A-vfw1] interface GigabitEthernet 1/0/3.10 
    [FW_A-vfw1-GigabitEthernet1/0/3.10] ip address 10.159.10.252 24 
    [FW_A-vfw1-GigabitEthernet1/0/3.10] quit 
    [FW_A-vfw1] firewall zone untrust 
    [FW_A-vfw1-zone-untrust] add interface GigabitEthernet 1/0/1.10 
    [FW_A-vfw1-zone-untrust] quit 
    [FW_A-vfw1] firewall zone trust 
    [FW_A-vfw1-zone-trust] add interface GigabitEthernet 1/0/3.10 
    [FW_A-vfw1-zone-trust] quit 
    [FW_A-vfw1] quit 
    <FW_A-vfw1> quit

    参考上述步骤,在FW_A上的虚拟系统vfw2中配置接口的IP地址,并将接口加入安全区域。

    # 在FW_B上的虚拟系统vfw1中配置接口的IP地址,并将接口加入安全区域。

    [FW_B] switch vsys vfw1 
    <FW_B-vfw1> system-view 
    [FW_B-vfw1] interface GigabitEthernet 1/0/1.10 
    [FW_B-vfw1-GigabitEthernet1/0/1.10] ip address 172.16.10.253 24 
    [FW_B-vfw1-GigabitEthernet1/0/1.10] quit 
    [FW_B-vfw1] interface GigabitEthernet 1/0/3.10 
    [FW_B-vfw1-GigabitEthernet1/0/3.10] ip address 10.159.10.253 24 
    [FW_B-vfw1-GigabitEthernet1/0/3.10] quit 
    [FW_B-vfw1] firewall zone untrust 
    [FW_B-vfw1-zone-untrust] add interface GigabitEthernet 1/0/1.10 
    [FW_B-vfw1-zone-untrust] quit 
    [FW_B-vfw1] firewall zone trust 
    [FW_B-vfw1-zone-trust] add interface GigabitEthernet 1/0/3.10 
    [FW_B-vfw1-zone-trust] quit 
    [FW_B-vfw1] quit 
    <FW_B-vfw1> quit

    参考上述步骤,在FW_B上的虚拟系统vfw2中配置接口的IP地址,并将接口加入安全区域。

  3. 配置路由。

    # 在FW_A上配置根系统的路由。

    [FW_A] ip route-static 0.0.0.0 0.0.0.0 172.16.9.251 
    [FW_A] ip route-static 117.1.1.1 32 NULL 0 
    [FW_A] ip route-static 117.1.1.2 32 NULL 0 
    [FW_A] ospf 1000 
    [FW_A-ospf-1000] import-route static 
    [FW_A-ospf-1000] area 0 
    [FW_A-ospf-1000-area-0.0.0.0] network 172.16.9.0 0.0.0.255 
    [FW_A-ospf-1000-area-0.0.0.0] quit 
    [FW_A-ospf-1000] quit

    # 在FW_B上配置根系统的路由。

    [FW_B] ip route-static 0.0.0.0 0.0.0.0 172.16.9.251 
    [FW_B] ip route-static 117.1.1.1 32 NULL 0 
    [FW_B] ip route-static 117.1.1.2 32 NULL 0 
    [FW_B] ospf 1000 
    [FW_B-ospf-1000] import-route static 
    [FW_B-ospf-1000] area 0 
    [FW_B-ospf-1000-area-0.0.0.0] network 172.16.9.0 0.0.0.255 
    [FW_B-ospf-1000-area-0.0.0.0] quit 
    [FW_B-ospf-1000] quit

    # 在FW_A上配置虚拟系统的路由。

    [FW_A] ip vpn-instance vfw1 
    [FW_A-vpn-instance-vfw1] route-distinguisher 10:1 
    [FW_A-vpn-instance-vfw1] quit 
    [FW_A] ip vpn-instance vfw2 
    [FW_A-vpn-instance-vfw2] route-distinguisher 11:1 
    [FW_A-vpn-instance-vfw2] quit 
    [FW_A] ospf 1 vpn-instance vfw1 
    [FW_A-ospf-1] import-route static 
    [FW_A-ospf-1] area 0 
    [FW_A-ospf-1-area-0.0.0.0] network 172.16.10.0 0.0.0.255 
    [FW_A-ospf-1-area-0.0.0.0] quit 
    [FW_A-ospf-1] quit 
    [FW_A] ospf 2 vpn-instance vfw2 
    [FW_A-ospf-2] import-route static 
    [FW_A-ospf-2] area 0 
    [FW_A-ospf-2-area-0.0.0.0] network 172.16.11.0 0.0.0.255 
    [FW_A-ospf-2-area-0.0.0.0] quit 
    [FW_A-ospf-2] quit 
    [FW_A] switch vsys vfw1 
    <FW_A-vfw1> system-view 
    [FW_A-vfw1] ip route-static 0.0.0.0 0.0.0.0 172.16.10.251 
    [FW_A-vfw1] ip route-static 118.1.1.1 32 NULL 0 
    [FW_A-vfw1] quit 
    <FW_A-vfw1> quit 
    [FW_A] switch vsys vfw2 
    <FW_A-vfw2> system-view 
    [FW_A-vfw2] ip route-static 0.0.0.0 0.0.0.0 172.16.11.251 
    [FW_A-vfw2] ip route-static 118.1.1.2 32 NULL 0 
    [FW_A-vfw2] quit 
    <FW_A-vfw2> quit

    # 在FW_B上配置虚拟系统的路由。

    [FW_B] ip vpn-instance vfw1 
    [FW_B-vpn-instance-vfw1] route-distinguisher 10:1 
    [FW_B-vpn-instance-vfw1] quit 
    [FW_B] ip vpn-instance vfw2 
    [FW_B-vpn-instance-vfw2] route-distinguisher 11:1 
    [FW_B-vpn-instance-vfw2] quit 
    [FW_B] ospf 1 vpn-instance vfw1 
    [FW_B-ospf-1] import-route static 
    [FW_B-ospf-1] area 0 
    [FW_B-ospf-1-area-0.0.0.0] network 172.16.10.0 0.0.0.255 
    [FW_B-ospf-1-area-0.0.0.0] quit 
    [FW_B-ospf-1] quit 
    [FW_B] ospf 2 vpn-instance vfw2 
    [FW_B-ospf-2] import-route static 
    [FW_B-ospf-2] area 0 
    [FW_B-ospf-2-area-0.0.0.0] network 172.16.11.0 0.0.0.255 
    [FW_B-ospf-2-area-0.0.0.0] quit 
    [FW_B-ospf-2] quit 
    [FW_B] switch vsys vfw1 
    <FW_B-vfw1> system-view 
    [FW_B-vfw1] ip route-static 0.0.0.0 0.0.0.0 172.16.10.251 
    [FW_B-vfw1] ip route-static 118.1.1.1 32 NULL 0 
    [FW_B-vfw1] quit 
    <FW_B-vfw1> quit 
    [FW_B] switch vsys vfw2 
    <FW_B-vfw2> system-view 
    [FW_B-vfw2] ip route-static 0.0.0.0 0.0.0.0 172.16.11.251 
    [FW_B-vfw2] ip route-static 118.1.1.2 32 NULL 0 
    [FW_B-vfw2] quit 
    <FW_B-vfw2> quit

  4. 配置双机热备。

    # 在FW_A上配置VGMP组监控上行GE1/0/1接口。

    [FW_A] hrp track interface GigabitEthernet 1/0/1

    # 在FW_A上配置根据VGMP状态调整OSPF Cost值功能。

    [FW_A] hrp adjust ospf-cost enable

    # 在FW_A上配置VRRP备份组,并将其状态设置为Active。

    [FW_A] interface GigabitEthernet 1/0/3.10 
    [FW_A-GigabitEthernet1/0/3.10] vlan-type dot1q 10 
    [FW_A-GigabitEthernet1/0/3.10] vrrp vrid 10 virtual-ip 10.159.10.254 active 
    [FW_A-GigabitEthernet1/0/3.10] quit 
    [FW_A] interface GigabitEthernet 1/0/3.11 
    [FW_A-GigabitEthernet1/0/3.11] vlan-type dot1q 11 
    [FW_A-GigabitEthernet1/0/3.11] vrrp vrid 11 virtual-ip 10.159.11.254 active 
    [FW_A-GigabitEthernet1/0/3.11] quit 
    [FW_A] interface GigabitEthernet 1/0/2.1 
    [FW_A-GigabitEthernet1/0/2.1] vlan-type dot1q 1 
    [FW_A-GigabitEthernet1/0/2.1] vrrp vrid 1 virtual-ip 10.159.1.254 active 
    [FW_A-GigabitEthernet1/0/2.1] quit 
    [FW_A] interface GigabitEthernet 1/0/2.2 
    [FW_A-GigabitEthernet1/0/2.2] vlan-type dot1q 2 
    [FW_A-GigabitEthernet1/0/2.2] vrrp vrid 2 virtual-ip 10.159.2.254 active 
    [FW_A-GigabitEthernet1/0/2.2] quit

    # 在FW_A上指定心跳口并启用双机热备功能。

    [FW_A] hrp interface Eth-Trunk 1 remote 10.1.1.2 
    [FW_A] hrp enable

    # 在FW_B上配置VGMP组监控上行GE1/0/1接口。

    [FW_B] hrp track interface GigabitEthernet 1/0/1

    # 在FW_B上配置根据VGMP状态调整OSPF Cost值功能。

    [FW_B] hrp adjust ospf-cost enable

    # 在FW_B上配置VRRP备份组,并将其状态设置为Standby。

    [FW_B] interface GigabitEthernet 1/0/3.10 
    [FW_B-GigabitEthernet1/0/3.10] vlan-type dot1q 10 
    [FW_B-GigabitEthernet1/0/3.10] vrrp vrid 10 virtual-ip 10.159.10.254 standby 
    [FW_B-GigabitEthernet1/0/3.10] quit 
    [FW_B] interface GigabitEthernet 1/0/3.11 
    [FW_B-GigabitEthernet1/0/3.11] vlan-type dot1q 11 
    [FW_B-GigabitEthernet1/0/3.11] vrrp vrid 11 virtual-ip 10.159.11.254 standby 
    [FW_B-GigabitEthernet1/0/3.11] quit 
    [FW_B] interface GigabitEthernet 1/0/2.1 
    [FW_B-GigabitEthernet1/0/2.1] vlan-type dot1q 1 
    [FW_B-GigabitEthernet1/0/2.1] vrrp vrid 1 virtual-ip 10.159.1.254 standby 
    [FW_B-GigabitEthernet1/0/2.1] quit 
    [FW_B] interface GigabitEthernet 1/0/2.2 
    [FW_B-GigabitEthernet1/0/2.2] vlan-type dot1q 2 
    [FW_B-GigabitEthernet1/0/2.2] vrrp vrid 2 virtual-ip 10.159.2.254 standby 
    [FW_B-GigabitEthernet1/0/2.2] quit

    # 在FW_B上指定心跳口并启用双机热备功能。

    [FW_B] hrp interface Eth-Trunk 1 remote 10.1.1.1 
    [FW_B] hrp enable

  5. 配置安全策略。

    # 在FW_A上的根系统中配置安全策略。

    HRP_M[FW_A] security-policy 
    HRP_M[FW_A-policy-security] rule name sec_portal 
    HRP_M[FW_A-policy-security-rule-sec_portal] source-zone untrust 
    HRP_M[FW_A-policy-security-rule-sec_portal] destination-zone dmz 
    HRP_M[FW_A-policy-security-rule-sec_portal] destination-address 10.159.0.0 16 
    HRP_M[FW_A-policy-security-rule-sec_portal] action permit 
    HRP_M[FW_A-policy-security-rule-sec_portal] profile av default 
    HRP_M[FW_A-policy-security-rule-sec_portal] profile ips default 
    HRP_M[FW_A-policy-security-rule-sec_portal] quit 
    HRP_M[FW_A-policy-security] rule name sec_ospf 
    HRP_M[FW_A-policy-security-rule-sec_ospf] source-zone untrust local 
    HRP_M[FW_A-policy-security-rule-sec_ospf] destination-zone local untrust 
    HRP_M[FW_A-policy-security-rule-sec_ospf] service ospf 
    HRP_M[FW_A-policy-security-rule-sec_ospf] action permit 
    HRP_M[FW_A-policy-security-rule-sec_ospf] quit 
    HRP_M[FW_A-policy-security] quit

    # 在FW_A上的虚拟系统vfw1中配置安全策略。

    HRP_M[FW_A] switch vsys vfw1 
    HRP_M<FW_A-vfw1> system-view 
    HRP_M[FW_A-vfw1] security-policy 
    HRP_M[FW_A-vfw1-policy-security] rule name sec_vm1 
    HRP_M[FW_A-vfw1-policy-security-rule-sec_vm1] source-zone untrust 
    HRP_M[FW_A-vfw1-policy-security-rule-sec_vm1] destination-zone trust 
    HRP_M[FW_A-vfw1-policy-security-rule-sec_vm1] destination-address 10.159.10.0 24 
    HRP_M[FW_A-vfw1-policy-security-rule-sec_vm1] profile av default 
    HRP_M[FW_A-vfw1-policy-security-rule-sec_vm1] profile ips default 
    HRP_M[FW_A-vfw1-policy-security-rule-sec_vm1] action permit 
    HRP_M[FW_A-vfw1-policy-security-rule-sec_vm1] quit 
    HRP_M[FW_A-vfw1-policy-security] rule name sec_vm1_ospf 
    HRP_M[FW_A-vfw1-policy-security-rule-sec_vm1_ospf] source-zone untrust local 
    HRP_M[FW_A-vfw1-policy-security-rule-sec_vm1_ospf] destination-zone local untrust 
    HRP_M[FW_A-vfw1-policy-security-rule-sec_vm1_ospf] service ospf 
    HRP_M[FW_A-vfw1-policy-security-rule-sec_vm1_ospf] action permit 
    HRP_M[FW_A-vfw1-policy-security-rule-sec_vm1_ospf] quit 
    HRP_M[FW_A-vfw1-policy-security] quit 
    HRP_M[FW_A-vfw1] quit 
    HRP_M<FW_A-vfw1> quit

    参考上述步骤,在FW_A上的虚拟系统vfw2中配置安全策略。

    # 双机热备状态形成后,FW_A上的配置会自动同步到FW_B上,因此无需在FW_B上手动配置安全策略。

  6. 配置策略备份加速。

    当策略数量较多时(比如超过500条),为了提升策略加速期间的匹配效率,需要开启备份加速功能。但是开启该功能后,新配置的策略需要等待策略备份加速完成后才能生效。

    HRP_M[FW-A] policy accelerate standby enable

    # 双机热备状态形成后,FW_A上的配置会自动同步到FW_B上,因此无需在FW_B上手动配置策略备份加速。

  7. 配置NAT Server。

    说明:

    此处给出的NAT Server配置命令仅作为示例,实际网络环境中会在管理组件上配置NAT Server,管理组件将配置数据下发给FW。

    # 在FW_A上的根系统中配置NAT Server。

    HRP_M[FW_A] nat server nat_server_portal1 global 117.1.1.1 inside 10.159.1.100 
    HRP_M[FW_A] nat server nat_server_portal2 global 117.1.1.2 inside 10.159.2.100

    # 在FW_A上的虚拟系统vfw1中配置NAT Server。

    HRP_M[FW_A] switch vsys vfw1 
    HRP_M<FW_A-vfw1> system-view 
    HRP_M[FW_A-vfw1] nat server nat_server_vm1 global 118.1.1.1 inside 10.159.10.100 
    HRP_M[FW_A-vfw1] quit 
    HRP_M<FW_A-vfw1> quit

    参考上述步骤,在FW_A上的虚拟系统vfw2中配置NAT Server。

    # 双机热备状态形成后,FW_A上的配置会自动同步到FW_B上,因此无需在FW_B上手动配置NAT Server。

  8. 配置其它网络设备。

    本案例中重点介绍FW上的配置,其它网络设备上的配置请关注以下几个配置项:

    • 上行路由器上要配置去往虚拟机和Portal系统的Global地址的路由,下一跳为CE12800。
    • 在CE12800上配置OSPF时,在OSPF进程中要配置default-route-advertise always命令。
    • CE6800二层透传报文,配置二层转发即可。

结果验证

  1. 在FW_A和FW_B上使用display hrp state命令查看当前HRP的状态,可以看到HRP状态正常。
  2. Internet上的企业用户可以正常访问虚拟机业务。
  3. Internet上的企业用户可以正常访问Portal系统。
  4. FW_A的GE1/0/2.1接口上执行shutdown命令,模拟链路故障,发现主备正常倒换,业务不会中断。

配置脚本

FW_A的配置脚本:

#               
sysname FW_A 
#               
 hrp enable     
 hrp interface Eth-Trunk 1 remote 10.1.1.2    
 hrp track interface GigabitEthernet 1/0/1 
# 
vsys enable     
resource-class vfw1_car  
 resource-item-limit bandwidth 100 entire 
resource-class vfw2_car               
 resource-item-limit bandwidth 100 entire 
#               
#               
vsys name vfw1 1
 assign interface GigabitEthernet1/0/1.10             
 assign interface GigabitEthernet1/0/3.10 
 assign resource-class vfw1_car
 assign global-ip 118.1.1.1 118.1.1.1 exclusive               
#  
vsys name vfw2 2
 assign interface GigabitEthernet1/0/1.11 
 assign interface GigabitEthernet1/0/3.11 
 assign resource-class vfw2_car       
 assign global-ip 118.1.1.2 118.1.1.2 exclusive          
#      
ip vpn-instance vfw1 
 ipv4-family    
  route-distinguisher 10:1  
 ipv6-family 
#  
ip vpn-instance vfw2 
 ipv4-family    
  route-distinguisher 11:1 
 ipv6-family 
# 
interface Eth-Trunk1 
 ip address 10.1.1.1 255.255.255.252  
#               
interface GigabitEthernet1/0/1        
 undo shutdown  
#                
interface GigabitEthernet1/0/1.10    
 ip binding vpn-instance vfw1         
 ip address 172.16.10.252 255.255.255.0
#               
interface GigabitEthernet1/0/1.11    
 ip binding vpn-instance vfw2         
 ip address 172.16.11.252 255.255.255.0 
#               
interface GigabitEthernet1/0/1.1000 
 ip address 172.16.9.252 255.255.255.0 
#               
interface GigabitEthernet1/0/2        
 undo shutdown  
#               
interface GigabitEthernet1/0/2.1   
 vlan-type dot1q 1 
 ip address 10.159.1.252 255.255.255.0 
 vrrp vrid 1 virtual-ip 10.159.1.254 active 
#               
interface GigabitEthernet1/0/2.2   
 vlan-type dot1q 2 
 ip address 10.159.2.252 255.255.255.0 
 vrrp vrid 2 virtual-ip 10.159.2.254 active 
#               
interface GigabitEthernet1/0/3        
 undo shutdown  
#               
interface GigabitEthernet1/0/3.10    
 vlan-type dot1q 10  
 ip binding vpn-instance vfw1         
 ip address 10.159.10.252 255.255.255.0
 vrrp vrid 10 virtual-ip 10.159.10.254 active 
#               
interface GigabitEthernet1/0/3.11 
 vlan-type dot1q 11    
 ip binding vpn-instance vfw2  
 ip address 10.159.11.252 255.255.255.0
 vrrp vrid 11 virtual-ip 10.159.11.254 active 
#       
interface GigabitEthernet2/0/1    
 undo shutdown 
 eth-trunk 1 
#               
interface GigabitEthernet2/0/2    
 undo shutdown 
 eth-trunk 1 
#               
firewall zone trust  
 set priority 85
 add interface GigabitEthernet1/0/3  
#               
firewall zone untrust                 
 set priority 5 
 add interface GigabitEthernet1/0/1   
 add interface GigabitEthernet1/0/1.1000 
#               
firewall zone dmz   
 set priority 50
 add interface GigabitEthernet1/0/2   
 add interface GigabitEthernet1/0/2.1 
 add interface GigabitEthernet1/0/2.2 
#               
firewall zone name hrpzone id 4       
 set priority 65
 add interface Eth-Trunk1             
#               
ospf 1 vpn-instance vfw1          
 import-route static 
 area 0.0.0.0 
  network 172.16.10.0 0.0.0.255 
#               
ospf 2 vpn-instance vfw2          
 import-route static 
 area 0.0.0.0 
  network 172.16.11.0 0.0.0.255 
#               
ospf 1000         
 import-route static 
 area 0.0.0.0 
  network 172.16.9.0 0.0.0.255 
#               
ip route-static 0.0.0.0 0.0.0.0 172.16.9.251 
ip route-static 117.1.1.1 255.255.255.255 NULL 0 
ip route-static 117.1.1.2 255.255.255.255 NULL 0 
#               
 nat server nat_server_portal1 0 global 117.1.1.1 inside 10.159.1.100 
 nat server nat_server_portal2 1 global 117.1.1.2 inside 10.159.2.100 
#               
security-policy 
 rule name sec_portal 
  source-zone untrust
  destination-zone dmz 
  destination-address 10.159.0.0 16 
  profile av default 
  profile ips default 
  action permit 
 rule name sec_ospf  
  source-zone local  
  source-zone untrust
  destination-zone local              
  destination-zone untrust            
  service ospf  
  action permit 
# 
return          
#               
switch vsys vfw1
#               
interface GigabitEthernet1/0/1.10    
 ip binding vpn-instance vfw1         
 ip address 172.16.10.252 255.255.255.0
#               
interface GigabitEthernet1/0/3.10    
 vlan-type dot1q 10  
 ip binding vpn-instance vfw1         
 ip address 10.159.10.252 255.255.255.0
 vrrp vrid 10 virtual-ip 10.159.10.254 active 
#               
interface Virtual-if1
#               
firewall zone trust  
 set priority 85
 add interface GigabitEthernet1/0/3.10 
#               
firewall zone untrust
 set priority 5 
 add interface GigabitEthernet1/0/1.10 
#               
security-policy 
 rule name sec_vm1  
  source-zone untrust  
  destination-zone trust        
  destination-address 10.159.10.0 24 
  profile av default 
  profile ips default 
  action permit 
 rule name sec_vm1_ospf  
  source-zone local  
  source-zone untrust
  destination-zone local              
  destination-zone untrust            
  service ospf  
  action permit 
#               
ip route-static 0.0.0.0 0.0.0.0 172.16.10.251 
ip route-static 118.1.1.1 255.255.255.255 NULL 0 
#               
 nat server nat_server_vm1 2 global 118.1.1.1 inside 10.159.10.100                
#               
return 
#               
switch vsys vfw2
#               
interface GigabitEthernet1/0/1.11    
 ip binding vpn-instance vfw2         
 ip address 172.16.11.252 255.255.255.0
#               
interface GigabitEthernet1/0/3.11    
 vlan-type dot1q 11  
 ip binding vpn-instance vfw2         
 ip address 10.159.11.252 255.255.255.0
 vrrp vrid 11 virtual-ip 10.159.11.254 active 
#               
interface Virtual-if2
#               
firewall zone trust  
 set priority 85
 add interface GigabitEthernet1/0/3.11 
#               
firewall zone untrust
 set priority 5 
 add interface GigabitEthernet1/0/1.11 
#               
security-policy 
 rule name sec_vm2  
  source-zone untrust  
  destination-zone trust        
  destination-address 10.159.11.0 24 
  profile av default 
  profile ips default 
  action permit 
 rule name sec_vm2_ospf  
  source-zone local  
  source-zone untrust
  destination-zone local              
  destination-zone untrust            
  service ospf  
  action permit 
#               
ip route-static 0.0.0.0 0.0.0.0 172.16.11.251 
ip route-static 118.1.1.2 255.255.255.255 NULL 0 
#               
 nat server nat_server_vm2 3 global 118.1.1.2 inside 10.159.11.100                
#               
return

FW_B的配置脚本:

#               
sysname FW_B 
#               
 hrp enable     
 hrp interface Eth-Trunk 1 remote 10.1.1.1            
 hrp track interface GigabitEthernet 1/0/1 
#               
vsys enable     
resource-class vfw1_car               
 resource-item-limit bandwidth 100 entire 
resource-class vfw2_car               
 resource-item-limit bandwidth 100 entire 
#               
#               
vsys name vfw1 1
 assign interface GigabitEthernet1/0/1.10     
 assign interface GigabitEthernet1/0/3.10 
 assign resource-class vfw1_car       
 assign global-ip 118.1.1.1 118.1.1.1 exclusive
#               
vsys name vfw2 2
 assign interface GigabitEthernet1/0/1.11     
 assign interface GigabitEthernet1/0/3.11 
 assign resource-class vfw2_car       
 assign global-ip 118.1.1.2 118.1.1.2 exclusive
#               
ip vpn-instance vfw1 
 ipv4-family    
  route-distinguisher 10:1           
 ipv6-family 
#               
ip vpn-instance vfw2 
 ipv4-family    
  route-distinguisher 11:1           
 ipv6-family 
#               
interface Eth-Trunk1 
 ip address 10.1.1.2 255.255.255.252  
#               
interface GigabitEthernet1/0/1        
 undo shutdown  
#                
interface GigabitEthernet1/0/1.10    
 ip binding vpn-instance vfw1         
 ip address 172.16.10.253 255.255.255.0
#               
interface GigabitEthernet1/0/1.11    
 ip binding vpn-instance vfw2         
 ip address 172.16.11.253 255.255.255.0 
#               
interface GigabitEthernet1/0/1.1000 
 ip address 172.16.9.253 255.255.255.0 
#               
interface GigabitEthernet1/0/2        
 undo shutdown  
#               
interface GigabitEthernet1/0/2.1   
 vlan-type dot1q 1 
 ip address 10.159.1.253 255.255.255.0 
 vrrp vrid 1 virtual-ip 10.159.1.254 standby 
#               
interface GigabitEthernet1/0/2.2   
 vlan-type dot1q 2 
 ip address 10.159.2.253 255.255.255.0 
 vrrp vrid 1 virtual-ip 10.159.2.254 standby 
#               
interface GigabitEthernet1/0/3        
 undo shutdown  
#               
interface GigabitEthernet1/0/3.10    
 vlan-type dot1q 10  
 ip binding vpn-instance vfw1         
 ip address 10.159.10.253 255.255.255.0
 vrrp vrid 10 virtual-ip 10.159.10.254 standby 
#               
interface GigabitEthernet1/0/3.11    
 vlan-type dot1q 11  
 ip binding vpn-instance vfw2         
 ip address 10.159.11.253 255.255.255.0
 vrrp vrid 11 virtual-ip 10.159.11.254 standby 
#               
interface GigabitEthernet2/0/1    
 undo shutdown 
 eth-trunk 1 
#               
interface GigabitEthernet2/0/2    
 undo shutdown 
 eth-trunk 1 
#               
firewall zone trust  
 set priority 85
 add interface GigabitEthernet1/0/3  
#               
firewall zone untrust
 set priority 5 
 add interface GigabitEthernet1/0/1   
 add interface GigabitEthernet1/0/1.1000 
#               
firewall zone dmz    
 set priority 50
 add interface GigabitEthernet1/0/2   
 add interface GigabitEthernet1/0/2.1 
 add interface GigabitEthernet1/0/2.2 
#               
firewall zone name hrpzone id 4       
 set priority 65
 add interface Eth-Trunk1             
#               
ospf 1 vpn-instance vfw1          
 import-route static 
 area 0.0.0.0 
  network 172.16.10.0 0.0.0.255 
#               
ospf 2 vpn-instance vfw2          
 import-route static 
 area 0.0.0.0 
  network 172.16.11.0 0.0.0.255 
#               
ospf 1000         
 import-route static 
 area 0.0.0.0 
  network 172.16.9.0 0.0.0.255 
#               
ip route-static 0.0.0.0 0.0.0.0 172.16.9.251   
ip route-static 117.1.1.1 255.255.255.255 NULL 0 
ip route-static 117.1.1.2 255.255.255.255 NULL 0 
#               
 nat server nat_server_portal1 0 global 117.1.1.1 inside 10.159.1.100 
 nat server nat_server_portal2 1 global 117.1.1.2 inside 10.159.2.100 
#               
security-policy 
 rule name sec_portal               
  source-zone untrust
  destination-zone dmz 
  destination-address 10.159.0.0 16 
  profile av default 
  profile ips default 
  action permit 
 rule name sec_ospf  
  source-zone local  
  source-zone untrust
  destination-zone local              
  destination-zone untrust            
  service ospf  
  action permit 
# 
return          
#               
switch vsys vfw1
#               
interface GigabitEthernet1/0/1.10    
 ip binding vpn-instance vfw1         
 ip address 172.16.10.253 255.255.255.0
#               
interface GigabitEthernet1/0/3.10    
 vlan-type dot1q 10  
 ip binding vpn-instance vfw1         
 ip address 10.159.10.253 255.255.255.0
 vrrp vrid 10 virtual-ip 10.159.10.254 standby 
#               
interface Virtual-if1
#               
firewall zone trust  
 set priority 85
 add interface GigabitEthernet1/0/3.10 
#               
firewall zone untrust
 set priority 5 
 add interface GigabitEthernet1/0/1.10 
#               
security-policy 
 rule name sec_vm1  
  source-zone untrust  
  destination-zone trust        
  destination-address 10.159.10.0 24 
  profile av default 
  profile ips default 
  action permit 
 rule name sec_vm1_ospf  
  source-zone local  
  source-zone untrust
  destination-zone local              
  destination-zone untrust            
  service ospf  
  action permit 
#               
ip route-static 0.0.0.0 0.0.0.0 172.16.10.251 
ip route-static 118.1.1.1 255.255.255.255 NULL 0 
#               
 nat server nat_server_vm1 2 global 118.1.1.1 inside 10.159.10.100                
#               
return 
#               
switch vsys vfw2
#               
interface GigabitEthernet1/0/1.11    
 ip binding vpn-instance vfw2         
 ip address 172.16.11.253 255.255.255.0
#               
interface GigabitEthernet1/0/3.11    
 vlan-type dot1q 11  
 ip binding vpn-instance vfw2         
 ip address 10.159.11.253 255.255.255.0
 vrrp vrid 11 virtual-ip 10.159.11.254 standby 
#               
interface Virtual-if2
#               
firewall zone trust  
 set priority 85
 add interface GigabitEthernet1/0/3.11 
#               
firewall zone untrust
 set priority 5 
 add interface GigabitEthernet1/0/1.11 
#               
security-policy 
 rule name sec_vm2  
  source-zone untrust  
  destination-zone trust        
  destination-address 10.159.11.0 24 
  profile av default 
  profile ips default 
  action permit 
 rule name sec_vm2_ospf  
  source-zone local  
  source-zone untrust
  destination-zone local              
  destination-zone untrust            
  service ospf  
  action permit 
#               
ip route-static 0.0.0.0 0.0.0.0 172.16.11.251 
ip route-static 118.1.1.2 255.255.255.255 NULL 0 
#               
 nat server nat_server_vm2 3 global 118.1.1.2 inside 10.159.11.100                
#               
return

方案二:交换机作为网关

典型组网

该云计算网络中,核心交换机使用CE12800、接入交换机使用CE6800、防火墙使用USG9500,本案例重点关注防火墙上的配置,整体的组网环境如图1-13所示。

图1-13 云计算网络组网图

云计算网络中主要有如下几个需求:

  • 不同的外网企业用户访问虚拟机时,相互之间不能影响,业务必须隔离。同时,每个虚拟机业务可使用的带宽资源也要限制在一定范围内,避免占用大量资源。
  • 内部网络中的虚拟机和Portal系统都配置私网地址,要求对外发布两者的公网地址,使外网企业用户能够通过公网地址访问虚拟机和Portal系统。
  • 对外网企业用户访问虚拟机和Portal系统的行为进行控制,仅允许访问业务的流量通过。
  • 提高设备的可靠性,不能因为一台设备出现故障而导致业务中断。

防火墙旁挂在核心交换机CE12800上,使用如下特性来满足上述需求:

  • 使用虚拟系统隔离外网企业用户访问虚拟机的业务,每一个虚拟机都属于一个虚拟系统,每个虚拟系统中都限制了最大带宽资源。
  • 使用子接口与CE12800相连,将子接口划分到虚拟系统和根系统中,虚拟系统中的子接口用来传输虚拟机业务,根系统中的子接口用来传输Portal系统业务。
  • 使用NAT Server对外发布虚拟机和Portal系统的公网地址,在每个虚拟系统中配置针对虚拟机的NAT Server,在根系统中配置针对Portal系统的NAT Server。
  • 使用安全策略对虚拟机和Portal系统的业务进行访问控制,在每个虚拟系统中配置针对虚拟机业务的安全策略,在根系统中配置针对Portal系统业务的安全策略。
  • 使用双机热备提高可靠性,两台防火墙形成主备备份状态的双机热备,当主用防火墙出现故障时,备用防火墙接替其工作,业务不会中断。

业务规划

图1-14所示,FW旁挂在CE12800上,工作在三层转发模式。CE12800上配置VRF功能,虚拟成连接上行的交换机(根交换机Public)和连接下行的交换机(多个虚拟交换机VRF)。FW与CE12800的根交换机Public和虚拟交换机VRF之间都运行VRRP,CE12800上VRRP的虚拟IP地址作为虚拟机和Portal系统的网关。外网企业用户访问虚拟机和Portal系统的流量经过CE12800的根交换机Public转发至FW处理后,再经过CE12800的虚拟交换机VRF转发至虚拟机和Portal;回程流量则经过CE12800的虚拟交换机VRF转发至FW处理后,再经过CE12800的根交换机Public发送出去。

图1-14 FW旁挂连接示意图

详细的规划情况在下面逐一介绍。

接口和安全区域

下面以FW_A和CE12800_A为例,介绍两者之间的连接情况。

图1-15所示,FW_A上的GE1/0/1接口与CE12800_A上的10GE1/1/0/1接口相连,详细的连接情况如下:

  • FW_A上的GE1/0/1接口划分了多个子接口(此处仅以三个子接口为例进行说明),每个子接口上都配置了IP地址。其中多数的子接口都属于不同的虚拟系统,划分到虚拟系统的Untrust区域中;一个子接口属于根系统,划分到根系统的Untrust区域中。
  • CE12800_A上的10GE1/1/0/1接口为Trunk口,允许多个VLAN的报文通过,在每个Vlanif接口上都配置IP地址,逻辑上与FW_A上相应的子接口连接。
图1-15 FW_A上的GE1/0/1接口连接示意图

图1-16所示,FW_A上的GE1/0/2接口与CE12800_A上的10GE1/1/0/2接口相连,详细的连接情况如下:

  • FW_A上的GE1/0/2接口划分了两个子接口(也可以根据Portal系统的实际网络情况划分多个子接口),每个子接口上都配置了IP地址,每个子接口都划分到根系统的DMZ区域中。
  • CE12800_A上的10GE1/1/0/2接口为Trunk口,允许两个VLAN的报文通过,在每个Vlanif接口上都配置IP地址,逻辑上与FW_A上相应的子接口连接。
图1-16 FW_A上的GE1/0/2接口连接示意图

图1-17所示,FW_A上的GE1/0/3接口与CE12800_A上的10GE1/1/0/3接口相连,详细的连接情况如下:

  • FW_A上的GE1/0/3接口划分了多个子接口(此处仅以两个子接口为例进行说明),每个子接口上都配置了IP地址。每个子接口都属于不同的虚拟系统,划分到虚拟系统的Trust区域中。
  • CE12800_A上的10GE1/1/0/3接口为Trunk口,允许多个VLAN的报文通过,在每个Vlanif接口上都配置IP地址,逻辑上与FW_A上相应的子接口连接。
图1-17 FW_A上的GE1/0/3接口连接示意图

FW_B和CE12800_B之间的连接情况与上面的内容相同,只是IP地址有所区别,此处不再赘述。

说明:

虚拟机之间的互访需求,可以通过访问各自的公网地址,互访报文经过CE12800转发来实现。

FW上的接口和安全区域的数据规划如表1-6所示。

表1-6 接口和安全区域数据规划

FW_A

FW_B

说明

GE1/0/1

IP地址:无

虚拟系统:public

安全区域:Untrust

GE1/0/1

IP地址:无

虚拟系统:public

安全区域:Untrust

与CE12800的10GE1/1/0/1接口相连。

GE1/0/1.10

IP地址:172.16.10.252/24

虚拟系统:vfw1

安全区域:Untrust

VRRP ID:10

虚拟IP:172.16.10.254

状态:active

GE1/0/1.10

IP地址:172.16.10.253/24

虚拟系统:vfw1

安全区域:Untrust

VRRP ID:10

虚拟IP:172.16.10.254

状态:standby

虚拟系统vfw1的子接口。

GE1/0/1.11

IP地址:172.16.11.252/24

虚拟系统:vfw2

安全区域:Untrust

VRRP ID:11

虚拟IP:172.16.11.254

状态:active

GE1/0/1.11

IP地址:172.16.11.253/24

虚拟系统:vfw2

安全区域:Untrust

VRRP ID:11

虚拟IP:172.16.11.254

状态:standby

虚拟系统vfw2的子接口。

GE1/0/1.1000

IP地址:172.16.9.252/24

虚拟系统:public

安全区域:Untrust

VRRP ID:9

虚拟IP:172.16.9.254

状态:active

GE1/0/1.1000

IP地址:172.16.9.253/24

虚拟系统:public

安全区域:Untrust

VRRP ID:9

虚拟IP:172.16.9.254

状态:standby

根系统的子接口。

GE1/0/2

IP地址:无

虚拟系统:public

安全区域:DMZ

GE1/0/2

IP地址:无

虚拟系统:public

安全区域:DMZ

与CE12800的10GE1/1/0/2接口相连。

GE1/0/2.1

IP地址:10.159.1.252/24

虚拟系统:public

安全区域:DMZ

VRRP ID:1

虚拟IP:10.159.1.254

状态:active

GE1/0/2.1

IP地址:10.159.1.253/24

虚拟系统:public

安全区域:DMZ

VRRP ID:1

虚拟IP:10.159.1.254

状态:standby

根系统的子接口。

GE1/0/2.2

IP地址:10.159.2.252/24

虚拟系统:public

安全区域:DMZ

VRRP ID:2

虚拟IP:10.159.2.254

状态:active

GE1/0/2.2

IP地址:10.159.2.253/24

虚拟系统:public

安全区域:DMZ

VRRP ID:2

虚拟IP:10.159.2.254

状态:standby

根系统的子接口。

GE1/0/3

IP地址:无

虚拟系统:public

安全区域:Trust

GE1/0/3

IP地址:无

虚拟系统:public

安全区域:Trust

与CE12800的10GE1/1/0/3接口相连。

GE1/0/3.10

IP地址:10.159.10.252/24

虚拟系统:vfw1

安全区域:Trust

VRRP ID:110

虚拟IP:10.159.10.254

状态:active

GE1/0/3.10

IP地址:10.159.10.253/24

虚拟系统:vfw1

安全区域:Trust

VRRP ID:110

虚拟IP:10.159.10.254

状态:standby

虚拟系统vfw1的子接口。

GE1/0/3.11

IP地址:10.159.11.252/24

虚拟系统:vfw2

安全区域:Trust

VRRP ID:111

虚拟IP:10.159.11.254

状态:active

GE1/0/3.11

IP地址:10.159.11.253/24

虚拟系统:vfw2

安全区域:Trust

VRRP ID:111

虚拟IP:10.159.11.254

状态:standby

虚拟系统vfw2的子接口。

Eth-Trunk1

成员接口:GE2/0/1、GE2/0/2

IP地址:10.1.1.1/30

虚拟系统:public

安全区域:hrpzone

Eth-Trunk1

成员接口:GE2/0/1、GE2/0/2

IP地址:10.1.1.2/30

虚拟系统:public

安全区域:hrpzone

HRP备份接口。

虚拟系统

虚拟系统用来承载虚拟机业务,每个虚拟系统都对应一个虚拟机。虚拟系统中接口的划分情况在上面的接口和安全区域中已经介绍过了,除此之外,为了限制每个虚拟系统可使用的带宽,还需要为虚拟系统配置资源类。

FW上的虚拟系统数据规划如表1-7所示。此处仅以两个虚拟系统为例进行介绍,实际使用时请根据虚拟机的数量创建多个虚拟系统。

表1-7 虚拟系统数据规划

项目

FW_A

FW_B

说明

资源类

名称:vfw1_car

最大带宽:100M

名称:vfw1_car

最大带宽:100M

限制虚拟系统vfw1整体的最大带宽为100M。

名称:vfw2_car

最大带宽:100M

名称:vfw2_car

最大带宽:100M

限制虚拟系统vfw2整体的最大带宽为100M。

虚拟系统

名称:vfw1

资源类:vfw1_car

名称:vfw1

资源类:vfw1_car

-

名称:vfw2

资源类:vfw2_car

名称:vfw2

资源类:vfw2_car

-

路由

FW与CE12800之间通过静态路由来引导流量转发:

  • CE12800上的根交换机Public中配置静态路由,目的地址是虚拟机和Portal系统的公网地址,下一跳是FW上各个子接口的地址,使外网企业用户访问虚拟机和Portal系统公网地址的流量可以转发至FW。
  • CE12800上的每个虚拟交换机VRF中配置缺省路由,下一跳是FW上各个子接口的地址,使虚拟机和Portal系统的回程流量可以转发至FW。
  • FW上配置静态路由,目的地址是虚拟机和Portal系统的私网地址,下一跳是CE12800上各个虚拟交换机VRF的vlanif地址,使外网企业用户访问虚拟机和Portal系统公网地址的流量经过FW处理后转发至CE12800。
  • FW上配置缺省路由,下一跳是CE12800上根交换机Public的vlanif地址,使虚拟机和Portal系统的回程流量经过FW处理后转发至CE12800。

FW上的路由分为根系统中的路由和虚拟系统中的路由两部分,路由数据规划如表1-8所示。

表1-8 路由数据规划

项目

FW_A

FW_B

说明

根系统中的路由

缺省路由

下一跳:172.16.9.251

缺省路由

下一跳:172.16.9.251

根系统的缺省路由,下一跳指向CE12800。

黑洞路由

目的地址:117.1.1.1/32、117.1.1.2/32

黑洞路由

目的地址:117.1.1.1/32、117.1.1.2/32

Portal系统Global地址的黑洞路由,防止路由环路。

静态路由

目的地址:10.160.1.0/24

下一跳:10.159.1.251

目的地址:10.160.2.0/24

下一跳:10.159.2.251

静态路由

目的地址:10.160.1.0/24

下一跳:10.159.1.251

目的地址:10.160.2.0/24

下一跳:10.159.2.251

去往Portal系统私网地址的静态路由,下一跳指向CE12800。

虚拟系统vfw1中的路由

缺省路由

下一跳:172.16.10.251

缺省路由

下一跳:172.16.10.251

虚拟系统vfw1的缺省路由,下一跳指向CE12800。

黑洞路由

目的地址:118.1.1.1/32

黑洞路由

目的地址:118.1.1.1/32

虚拟机Global地址的黑洞路由,防止路由环路。

静态路由

目的地址:10.160.10.0/24

下一跳:10.159.10.251

静态路由

目的地址:10.160.10.0/24

下一跳:10.159.10.251

去往虚拟机私网地址的静态路由,下一跳指向CE12800。

虚拟系统vfw2中的路由

缺省路由

下一跳:172.16.11.251

缺省路由

下一跳:172.16.11.251

虚拟系统vfw1的缺省路由,下一跳指向CE12800。

黑洞路由

目的地址:118.1.1.2/32

黑洞路由

目的地址:118.1.1.2/32

虚拟机Global地址的黑洞路由,防止路由环路。

静态路由

目的地址:10.160.11.0/24

下一跳:10.159.11.251

静态路由

目的地址:10.160.11.0/24

下一跳:10.159.11.251

去往虚拟机私网地址的静态路由,下一跳指向CE12800。

双机热备

对于双机热备来说,整个组网的逻辑图就可以理解为经典的防火墙上、下行连接二层设备的双机热备组网。外网企业用户访问虚拟机的业务,其组网逻辑图如图1-18所示。为了便于描述,此处以一个虚拟机为例。

图1-18 虚拟机业务的逻辑组网图

外网企业用户访问Portal系统的业务,其组网逻辑图如图1-19所示。为了便于描述,此处以一个Portal系统为例。

图1-19 Portal系统业务的逻辑组网图

双机热备状态形成后,FW_A作为主用防火墙,FW_B作为备用防火墙。如图1-20所示,在网络正常的情况下,FW_A会回应CE12800的根交换机Public请求网关MAC地址的ARP报文,外网企业用户访问虚拟机或Portal系统的流量通过FW_A转发。同理,虚拟机或Portal系统回应给外网企业用户的返程流量也会被转发至FW_A。

图1-20 正常情况下的流量走向

当FW_A或者FW_A连接的链路出现故障时,双机主备倒换,这时FW_B会对外发送免费ARP报文,使CE12800更新虚MAC和端口的对应关系,流量都经过FW_B来转发,如图1-21所示。同理,虚拟机或Portal系统回应给外网企业用户的返程流量也会被转发至FW_B。

图1-21 出现故障时的流量走向

安全策略

安全策略分为根系统中的安全策略和虚拟系统中的安全策略两部分,根系统中安全策略的作用是允许外网企业用户访问Portal系统的报文通过;虚拟系统中安全策略的作用是允许外网企业用户访问虚拟机的报文通过。

同时,可以在安全策略上引用反病毒、入侵防御的配置文件,防范各种病毒、蠕虫、木马和僵尸网络攻击。一般情况下,使用缺省的反病毒和入侵防御配置文件default,即可满足防范各种病毒、蠕虫、木马和僵尸网络攻击的需求。

FW上的安全策略数据规划如表1-9所示。

表1-9 安全策略数据规划

项目

FW_A

FW_B

说明

根系统中的安全策略

名称:sec_portal

源安全区域:Untrust

目的安全区域:DMZ

目的地址:10.160.0.0/16

动作:permit

反病毒:default

入侵防御:default

名称:sec_portal

源安全区域:Untrust

目的安全区域:DMZ

目的地址:10.160.0.0/16

动作:permit

反病毒:default

入侵防御:default

允许外网企业用户访问Portal系统的报文通过。

虚拟系统vfw1中的安全策略

名称:sec_vm1

源安全区域:Untrust

目的安全区域:Trust

目的地址:10.160.10.0/24

动作:permit

反病毒:default

入侵防御:default

名称:sec_vm1

源安全区域:Untrust

目的安全区域:Trust

目的地址:10.160.10.0/24

动作:permit

反病毒:default

入侵防御:default

允许外网企业用户访问虚拟机的报文通过。

虚拟系统vfw2中的安全策略

名称:sec_vm2

源安全区域:Untrust

目的安全区域:Trust

目的地址:10.160.11.0/24

动作:permit

反病毒:default

入侵防御:default

名称:sec_vm2

源安全区域:Untrust

目的安全区域:Trust

目的地址:10.160.11.0/24

动作:permit

反病毒:default

入侵防御:default

允许外网企业用户访问虚拟机的报文通过。

NAT Server

NAT Server分为根系统中的NAT Server和虚拟系统中的NAT Server两部分,根系统中NAT Server的作用是将Portal系统映射成公网地址,供外网企业用户访问;虚拟系统中NAT Server的作用是将虚拟机映射成公网地址,供外网企业用户访问。

为了使外网的企业用户可以访问Portal系统和虚拟机,需要为Portal系统和每一个虚拟机申请公网地址。此处假设为Portal系统申请的公网地址为117.1.1.1和117.1.1.2,为虚拟机申请的公网地址为118.1.1.1和118.1.1.2。FW上的NAT Server数据规划如表1-10所示。

表1-10 NAT Server数据规划

项目

FW_A

FW_B

说明

根系统中的NAT Server

名称:nat_server_portal1

Global地址:117.1.1.1

Inside地址:10.160.1.100

名称:nat_server_portal1

Global地址:117.1.1.1

Inside地址:10.160.1.100

Portal系统的NAT Server。

名称:nat_server_portal2

Global地址:117.1.1.2

Inside地址:10.160.2.100

名称:nat_server_portal2

Global地址:117.1.1.2

Inside地址:10.160.2.100

Portal系统的NAT Server。

虚拟系统vfw1中的NAT Server

名称:nat_server_vm1

Global地址:118.1.1.1

Inside地址:10.160.10.100

名称:nat_server_vm1

Global地址:118.1.1.1

Inside地址:10.160.10.100

虚拟机的NAT Server。

虚拟系统vfw2中的NAT Server

名称:nat_server_vm2

Global地址:118.1.1.2

Inside地址:10.160.11.100

名称:nat_server_vm2

Global地址:118.1.1.2

Inside地址:10.160.11.100

虚拟机的NAT Server。

注意事项

虚拟系统

缺省情况下,USG9500支持10个虚拟系统,如果需要使用更多的虚拟系统,必须申请License。

黑洞路由

根系统和虚拟系统中配置针对虚拟机和Portal系统公网地址的黑洞路由,防止路由环路。

策略备份加速

当策略数量较多时(比如超过500条),为了提升策略加速期间的匹配效率,需要开启备份加速功能。但是开启该功能后,新配置的策略需要等待策略备份加速完成后才能生效。

配置步骤

前提条件

虚拟系统的License文件已经申请,并在FW_A和FW_B上成功激活。

操作步骤

  1. 配置接口和安全区域。

    # 在FW_A上创建子接口。

    <FW_A> system-view 
    [FW_A] interface GigabitEthernet 1/0/1.10 
    [FW_A-GigabitEthernet1/0/1.10] quit 
    [FW_A] interface GigabitEthernet 1/0/1.11 
    [FW_A-GigabitEthernet1/0/1.11] quit 
    [FW_A] interface GigabitEthernet 1/0/1.1000 
    [FW_A-GigabitEthernet1/0/1.1000] quit 
    [FW_A] interface GigabitEthernet 1/0/2.1 
    [FW_A-GigabitEthernet1/0/2.1] quit 
    [FW_A] interface GigabitEthernet 1/0/2.2 
    [FW_A-GigabitEthernet1/0/2.2] quit 
    [FW_A] interface GigabitEthernet 1/0/3.10 
    [FW_A-GigabitEthernet1/0/3.10] quit 
    [FW_A] interface GigabitEthernet 1/0/3.11 
    [FW_A-GigabitEthernet1/0/3.11] quit

    # 在FW_B上创建子接口。

    <FW_B> system-view 
    [FW_B] interface GigabitEthernet 1/0/1.10 
    [FW_B-GigabitEthernet1/0/1.10] quit 
    [FW_B] interface GigabitEthernet 1/0/1.11 
    [FW_B-GigabitEthernet1/0/1.11] quit 
    [FW_B] interface GigabitEthernet 1/0/1.1000 
    [FW_B-GigabitEthernet1/0/1.1000] quit 
    [FW_B] interface GigabitEthernet 1/0/2.1 
    [FW_B-GigabitEthernet1/0/2.1] quit 
    [FW_B] interface GigabitEthernet 1/0/2.2 
    [FW_B-GigabitEthernet1/0/2.2] quit 
    [FW_B] interface GigabitEthernet 1/0/3.10 
    [FW_B-GigabitEthernet1/0/3.10] quit 
    [FW_B] interface GigabitEthernet 1/0/3.11 
    [FW_B-GigabitEthernet1/0/3.11] quit

    # 在FW_A上配置Eth-Trunk接口。

    [FW_A] interface Eth-Trunk 1 
    [FW_A-Eth-Trunk1] ip address 10.1.1.1 30 
    [FW_A-Eth-Trunk1] quit 
    [FW_A] interface GigabitEthernet 2/0/1 
    [FW_A-GigabitEthernet2/0/1] eth-trunk 1 
    [FW_A-GigabitEthernet2/0/1] quit 
    [FW_A] interface GigabitEthernet 2/0/2 
    [FW_A-GigabitEthernet2/0/2] eth-trunk 1 
    [FW_A-GigabitEthernet2/0/2] quit

    # 在FW_B上配置Eth-Trunk接口。

    [FW_B] interface Eth-Trunk 1 
    [FW_B-Eth-Trunk1] ip address 10.1.1.2 30 
    [FW_B-Eth-Trunk1] quit 
    [FW_B] interface GigabitEthernet 2/0/1 
    [FW_B-GigabitEthernet2/0/1] eth-trunk 1 
    [FW_B-GigabitEthernet2/0/1] quit 
    [FW_B] interface GigabitEthernet 2/0/2 
    [FW_B-GigabitEthernet2/0/2] eth-trunk 1 
    [FW_B-GigabitEthernet2/0/2] quit

    # 在FW_A上为根系统接口配置IP地址,并将接口加入根系统的安全区域。

    [FW_A] interface GigabitEthernet 1/0/1.1000 
    [FW_A-GigabitEthernet1/0/1.1000] ip address 172.16.9.252 24 
    [FW_A-GigabitEthernet1/0/1.1000] quit 
    [FW_A] interface GigabitEthernet 1/0/2.1 
    [FW_A-GigabitEthernet1/0/2.1] ip address 10.159.1.252 24 
    [FW_A-GigabitEthernet1/0/2.1] quit 
    [FW_A] interface GigabitEthernet 1/0/2.2 
    [FW_A-GigabitEthernet1/0/2.2] ip address 10.159.2.252 24 
    [FW_A-GigabitEthernet1/0/2.2] quit 
    [FW_A] firewall zone trust 
    [FW_A-zone-trust] add interface GigabitEthernet 1/0/3 
    [FW_A-zone-trust] quit 
    [FW_A] firewall zone untrust 
    [FW_A-zone-untrust] add interface GigabitEthernet 1/0/1 
    [FW_A-zone-untrust] add interface GigabitEthernet 1/0/1.1000 
    [FW_A-zone-untrust] quit 
    [FW_A] firewall zone dmz 
    [FW_A-zone-dmz] add interface GigabitEthernet 1/0/2 
    [FW_A-zone-dmz] add interface GigabitEthernet 1/0/2.1 
    [FW_A-zone-dmz] add interface GigabitEthernet 1/0/2.2 
    [FW_A-zone-dmz] quit 
    [FW_A] firewall zone name hrpzone 
    [FW_A-zone-hrpzone] set priority 65 
    [FW_A-zone-hrpzone] add interface Eth-Trunk 1 
    [FW_A-zone-hrpzone] quit

    # 在FW_B上为根系统接口配置IP地址,并将接口加入根系统的安全区域。

    [FW_B] interface GigabitEthernet 1/0/1.1000 
    [FW_B-GigabitEthernet1/0/1.1000] ip address 172.16.9.253 24 
    [FW_B-GigabitEthernet1/0/1.1000] quit 
    [FW_B] interface GigabitEthernet 1/0/2.1 
    [FW_B-GigabitEthernet1/0/2.1] ip address 10.159.1.253 24 
    [FW_B-GigabitEthernet1/0/2.1] quit 
    [FW_B] interface GigabitEthernet 1/0/2.2 
    [FW_B-GigabitEthernet1/0/2.2] ip address 10.159.2.253 24 
    [FW_B-GigabitEthernet1/0/2.2] quit 
    [FW_B] firewall zone trust 
    [FW_B-zone-trust] add interface GigabitEthernet 1/0/3 
    [FW_B-zone-trust] quit 
    [FW_B] firewall zone untrust 
    [FW_B-zone-untrust] add interface GigabitEthernet 1/0/1 
    [FW_B-zone-untrust] add interface GigabitEthernet 1/0/1.1000 
    [FW_B-zone-untrust] quit 
    [FW_B] firewall zone dmz 
    [FW_B-zone-dmz] add interface GigabitEthernet 1/0/2 
    [FW_B-zone-dmz] add interface GigabitEthernet 1/0/2.1 
    [FW_B-zone-dmz] add interface GigabitEthernet 1/0/2.2 
    [FW_B-zone-dmz] quit 
    [FW_B] firewall zone name hrpzone 
    [FW_B-zone-hrpzone] set priority 65 
    [FW_B-zone-hrpzone] add interface Eth-Trunk 1 
    [FW_B-zone-hrpzone] quit

  2. 配置虚拟系统。

    # 在FW_A上开启虚拟系统功能。

    [FW_A] vsys enable

    # 在FW_B上开启虚拟系统功能。

    [FW_B] vsys enable

    # 在FW_A上配置资源类。

    [FW_A] resource-class vfw1_car 
    [FW_A-resource-class-vfw1_car] resource-item-limit bandwidth 100 entire 
    [FW_A-resource-class-vfw1_car] quit 
    [FW_A] resource-class vfw2_car 
    [FW_A-resource-class-vfw2_car] resource-item-limit bandwidth 100 entire 
    [FW_A-resource-class-vfw2_car] quit

    # 在FW_B上配置资源类。

    [FW_B] resource-class vfw1_car 
    [FW_B-resource-class-vfw1_car] resource-item-limit bandwidth 100 entire 
    [FW_B-resource-class-vfw1_car] quit 
    [FW_B] resource-class vfw2_car 
    [FW_B-resource-class-vfw2_car] resource-item-limit bandwidth 100 entire 
    [FW_B-resource-class-vfw2_car] quit

    # 在FW_A上创建虚拟系统,并为虚拟系统分配资源。

    [FW_A] vsys name vfw1 
    [FW_A-vsys-vfw1] assign resource-class vfw1_car 
    [FW_A-vsys-vfw1] assign interface GigabitEthernet 1/0/1.10 
    [FW_A-vsys-vfw1] assign interface GigabitEthernet 1/0/3.10 
    [FW_A-vsys-vfw1] assign global-ip 118.1.1.1 118.1.1.1 exclusive 
    [FW_A-vsys-vfw1] quit 
    [FW_A] vsys name vfw2 
    [FW_A-vsys-vfw2] assign resource-class vfw2_car 
    [FW_A-vsys-vfw2] assign interface GigabitEthernet 1/0/1.11 
    [FW_A-vsys-vfw2] assign interface GigabitEthernet 1/0/3.11 
    [FW_A-vsys-vfw2] assign global-ip 118.1.1.2 118.1.1.2 exclusive 
    [FW_A-vsys-vfw2] quit

    # 在FW_B上创建虚拟系统,并为虚拟系统分配资源。

    [FW_B] vsys name vfw1 
    [FW_B-vsys-vfw1] assign resource-class vfw1_car 
    [FW_B-vsys-vfw1] assign interface GigabitEthernet 1/0/1.10 
    [FW_B-vsys-vfw1] assign interface GigabitEthernet 1/0/3.10 
    [FW_B-vsys-vfw1] assign global-ip 118.1.1.1 118.1.1.1 exclusive 
    [FW_B-vsys-vfw1] quit 
    [FW_B] vsys name vfw2 
    [FW_B-vsys-vfw2] assign resource-class vfw2_car 
    [FW_B-vsys-vfw2] assign interface GigabitEthernet 1/0/1.11 
    [FW_B-vsys-vfw2] assign interface GigabitEthernet 1/0/3.11 
    [FW_B-vsys-vfw2] assign global-ip 118.1.1.2 118.1.1.2 exclusive 
    [FW_B-vsys-vfw2] quit

    # 在FW_A上的虚拟系统vfw1中配置接口的IP地址,并将接口加入安全区域。

    [FW_A] switch vsys vfw1 
    <FW_A-vfw1> system-view 
    [FW_A-vfw1] interface GigabitEthernet 1/0/1.10 
    [FW_A-vfw1-GigabitEthernet1/0/1.10] ip address 172.16.10.252 24 
    [FW_A-vfw1-GigabitEthernet1/0/1.10] quit 
    [FW_A-vfw1] interface GigabitEthernet 1/0/3.10 
    [FW_A-vfw1-GigabitEthernet1/0/3.10] ip address 10.159.10.252 24 
    [FW_A-vfw1-GigabitEthernet1/0/3.10] quit 
    [FW_A-vfw1] firewall zone untrust 
    [FW_A-vfw1-zone-untrust] add interface GigabitEthernet 1/0/1.10 
    [FW_A-vfw1-zone-untrust] quit 
    [FW_A-vfw1] firewall zone trust 
    [FW_A-vfw1-zone-trust] add interface GigabitEthernet 1/0/3.10 
    [FW_A-vfw1-zone-trust] quit 
    [FW_A-vfw1] quit 
    <FW_A-vfw1> quit

    参考上述步骤,在FW_A上的虚拟系统vfw2中配置接口的IP地址,并将接口加入安全区域。

    # 在FW_B上的虚拟系统vfw1中配置接口的IP地址,并将接口加入安全区域。

    [FW_B] switch vsys vfw1 
    <FW_B-vfw1> system-view 
    [FW_B-vfw1] interface GigabitEthernet 1/0/1.10 
    [FW_B-vfw1-GigabitEthernet1/0/1.10] ip address 172.16.10.253 24 
    [FW_B-vfw1-GigabitEthernet1/0/1.10] quit 
    [FW_B-vfw1] interface GigabitEthernet 1/0/3.10 
    [FW_B-vfw1-GigabitEthernet1/0/3.10] ip address 10.159.10.253 24 
    [FW_B-vfw1-GigabitEthernet1/0/3.10] quit 
    [FW_B-vfw1] firewall zone untrust 
    [FW_B-vfw1-zone-untrust] add interface GigabitEthernet 1/0/1.10 
    [FW_B-vfw1-zone-untrust] quit 
    [FW_B-vfw1] firewall zone trust 
    [FW_B-vfw1-zone-trust] add interface GigabitEthernet 1/0/3.10 
    [FW_B-vfw1-zone-trust] quit 
    [FW_B-vfw1] quit 
    <FW_B-vfw1> quit

    参考上述步骤,在FW_B上的虚拟系统vfw2中配置接口的IP地址,并将接口加入安全区域。

  3. 配置路由。

    # 在FW_A上配置根系统的路由。

    [FW_A] ip route-static 0.0.0.0 0.0.0.0 172.16.9.251 
    [FW_A] ip route-static 117.1.1.1 32 NULL 0 
    [FW_A] ip route-static 117.1.1.2 32 NULL 0 
    [FW_A] ip route-static 10.160.1.0 24 10.159.1.251 
    [FW_A] ip route-static 10.160.2.0 24 10.159.2.251

    # 在FW_B上配置根系统的路由。

    [FW_B] ip route-static 0.0.0.0 0.0.0.0 172.16.9.251 
    [FW_B] ip route-static 117.1.1.1 32 NULL 0 
    [FW_B] ip route-static 117.1.1.2 32 NULL 0 
    [FW_B] ip route-static 10.160.1.0 24 10.159.1.251 
    [FW_B] ip route-static 10.160.2.0 24 10.159.2.251

    # 在FW_A上配置虚拟系统的路由。

    [FW_A] switch vsys vfw1 
    <FW_A-vfw1> system-view 
    [FW_A-vfw1] ip route-static 0.0.0.0 0.0.0.0 172.16.10.251 
    [FW_A-vfw1] ip route-static 118.1.1.1 32 NULL 0 
    [FW_A-vfw1] ip route-static 10.160.10.0 24 10.159.10.251 
    [FW_A-vfw1] quit 
    <FW_A-vfw1> quit 
    [FW_A] switch vsys vfw2 
    <FW_A-vfw2> system-view 
    [FW_A-vfw2] ip route-static 0.0.0.0 0.0.0.0 172.16.11.251 
    [FW_A-vfw2] ip route-static 118.1.1.2 32 NULL 0 
    [FW_A-vfw2] ip route-static 10.160.11.0 24 10.159.11.251 
    [FW_A-vfw2] quit 
    <FW_A-vfw2> quit

    # 在FW_B上配置虚拟系统的路由。

    [FW_B] switch vsys vfw1 
    <FW_B-vfw1> system-view 
    [FW_B-vfw1] ip route-static 0.0.0.0 0.0.0.0 172.16.10.251 
    [FW_B-vfw1] ip route-static 118.1.1.1 32 NULL 0 
    [FW_B-vfw1] ip route-static 10.160.10.0 24 10.159.10.251 
    [FW_B-vfw1] quit 
    <FW_B-vfw1> quit 
    [FW_B] switch vsys vfw2 
    <FW_B-vfw2> system-view 
    [FW_B-vfw2] ip route-static 0.0.0.0 0.0.0.0 172.16.11.251 
    [FW_B-vfw2] ip route-static 118.1.1.2 32 NULL 0 
    [FW_B-vfw2] ip route-static 10.160.11.0 24 10.159.11.251 
    [FW_B-vfw2] quit 
    <FW_B-vfw2> quit

  4. 配置双机热备。

    # 在FW_A上配置VRRP备份组,并将其状态设置为Active。

    [FW_A] interface GigabitEthernet 1/0/1.10 
    [FW_A-GigabitEthernet1/0/1.10] vlan-type dot1q 10 
    [FW_A-GigabitEthernet1/0/1.10] vrrp vrid 10 virtual-ip 172.16.10.254 active 
    [FW_A-GigabitEthernet1/0/1.10] quit 
    [FW_A] interface GigabitEthernet 1/0/1.11 
    [FW_A-GigabitEthernet1/0/1.11] vlan-type dot1q 11 
    [FW_A-GigabitEthernet1/0/1.11] vrrp vrid 11 virtual-ip 172.16.11.254 active 
    [FW_A-GigabitEthernet1/0/1.11] quit 
    [FW_A] interface GigabitEthernet 1/0/1.1000 
    [FW_A-GigabitEthernet1/0/1.1000] vlan-type dot1q 9 
    [FW_A-GigabitEthernet1/0/1.1000] vrrp vrid 9 virtual-ip 172.16.9.254 active 
    [FW_A-GigabitEthernet1/0/1.1000] quit 
    [FW_A] interface GigabitEthernet 1/0/3.10 
    [FW_A-GigabitEthernet1/0/3.10] vlan-type dot1q 10 
    [FW_A-GigabitEthernet1/0/3.10] vrrp vrid 110 virtual-ip 10.159.10.254 active 
    [FW_A-GigabitEthernet1/0/3.10] quit 
    [FW_A] interface GigabitEthernet 1/0/3.11 
    [FW_A-GigabitEthernet1/0/3.11] vlan-type dot1q 11 
    [FW_A-GigabitEthernet1/0/3.11] vrrp vrid 111 virtual-ip 10.159.11.254 active 
    [FW_A-GigabitEthernet1/0/3.11] quit 
    [FW_A] interface GigabitEthernet 1/0/2.1 
    [FW_A-GigabitEthernet1/0/2.1] vlan-type dot1q 1 
    [FW_A-GigabitEthernet1/0/2.1] vrrp vrid 1 virtual-ip 10.159.1.254 active 
    [FW_A-GigabitEthernet1/0/2.1] quit 
    [FW_A] interface GigabitEthernet 1/0/2.2 
    [FW_A-GigabitEthernet1/0/2.2] vlan-type dot1q 2 
    [FW_A-GigabitEthernet1/0/2.2] vrrp vrid 2 virtual-ip 10.159.2.254 active 
    [FW_A-GigabitEthernet1/0/2.2] quit

    # 在FW_A上指定心跳口并启用双机热备功能。

    [FW_A] hrp interface Eth-Trunk 1 remote 10.1.1.2 
    [FW_A] hrp enable

    # 在FW_B上配置VRRP备份组,并将其状态设置为Standby。

    [FW_B] interface GigabitEthernet 1/0/1.10 
    [FW_B-GigabitEthernet1/0/1.10] vlan-type dot1q 10 
    [FW_B-GigabitEthernet1/0/1.10] vrrp vrid 10 virtual-ip 172.16.10.254 standby 
    [FW_B-GigabitEthernet1/0/1.10] quit 
    [FW_B] interface GigabitEthernet 1/0/1.11 
    [FW_B-GigabitEthernet1/0/1.11] vlan-type dot1q 11 
    [FW_B-GigabitEthernet1/0/1.11] vrrp vrid 11 virtual-ip 172.16.11.254 standby 
    [FW_B-GigabitEthernet1/0/1.11] quit 
    [FW_B] interface GigabitEthernet 1/0/1.1000 
    [FW_B-GigabitEthernet1/0/1.1000] vlan-type dot1q 9 
    [FW_B-GigabitEthernet1/0/1.1000] vrrp vrid 9 virtual-ip 172.16.9.254 standby 
    [FW_B-GigabitEthernet1/0/1.1000] quit 
    [FW_B] interface GigabitEthernet 1/0/3.10 
    [FW_B-GigabitEthernet1/0/3.10] vlan-type dot1q 10 
    [FW_B-GigabitEthernet1/0/3.10] vrrp vrid 110 virtual-ip 10.159.10.254 standby 
    [FW_B-GigabitEthernet1/0/3.10] quit 
    [FW_B] interface GigabitEthernet 1/0/3.11 
    [FW_B-GigabitEthernet1/0/3.11] vlan-type dot1q 11 
    [FW_B-GigabitEthernet1/0/3.11] vrrp vrid 111 virtual-ip 10.159.11.254 standby 
    [FW_B-GigabitEthernet1/0/3.11] quit 
    [FW_B] interface GigabitEthernet 1/0/2.1 
    [FW_B-GigabitEthernet1/0/2.1] vlan-type dot1q 1 
    [FW_B-GigabitEthernet1/0/2.1] vrrp vrid 1 virtual-ip 10.159.1.254 standby 
    [FW_B-GigabitEthernet1/0/2.1] quit 
    [FW_B] interface GigabitEthernet 1/0/2.2 
    [FW_B-GigabitEthernet1/0/2.2] vlan-type dot1q 2 
    [FW_B-GigabitEthernet1/0/2.2] vrrp vrid 2 virtual-ip 10.159.2.254 standby 
    [FW_B-GigabitEthernet1/0/2.2] quit

    # 在FW_B上指定心跳口并启用双机热备功能。

    [FW_B] hrp interface Eth-Trunk 1 remote 10.1.1.1 
    [FW_B] hrp enable

  5. 配置安全策略。

    # 在FW_A上的根系统中配置安全策略。

    HRP_M[FW_A] security-policy 
    HRP_M[FW_A-policy-security] rule name sec_portal 
    HRP_M[FW_A-policy-security-rule-sec_portal] source-zone untrust 
    HRP_M[FW_A-policy-security-rule-sec_portal] destination-zone dmz 
    HRP_M[FW_A-policy-security-rule-sec_portal] destination-address 10.160.0.0 16 
    HRP_M[FW_A-policy-security-rule-sec_portal] action permit 
    HRP_M[FW_A-policy-security-rule-sec_portal] profile av default 
    HRP_M[FW_A-policy-security-rule-sec_portal] profile ips default 
    HRP_M[FW_A-policy-security-rule-sec_portal] quit 
    HRP_M[FW_A-policy-security] quit

    # 在FW_A上的虚拟系统vfw1中配置安全策略。

    HRP_M[FW_A] switch vsys vfw1 
    HRP_M<FW_A-vfw1> system-view 
    HRP_M[FW_A-vfw1] security-policy 
    HRP_M[FW_A-vfw1-policy-security] rule name sec_vm1 
    HRP_M[FW_A-vfw1-policy-security-rule-sec_vm1] source-zone untrust 
    HRP_M[FW_A-vfw1-policy-security-rule-sec_vm1] destination-zone trust 
    HRP_M[FW_A-vfw1-policy-security-rule-sec_vm1] destination-address 10.160.10.0 24 
    HRP_M[FW_A-vfw1-policy-security-rule-sec_vm1] profile av default 
    HRP_M[FW_A-vfw1-policy-security-rule-sec_vm1] profile ips default 
    HRP_M[FW_A-vfw1-policy-security-rule-sec_vm1] action permit 
    HRP_M[FW_A-vfw1-policy-security-rule-sec_vm1] quit 
    HRP_M[FW_A-vfw1-policy-security] quit 
    HRP_M[FW_A-vfw1] quit 
    HRP_M<FW_A-vfw1> quit

    参考上述步骤,在FW_A上的虚拟系统vfw2中配置安全策略。

    # 双机热备状态形成后,FW_A上的配置会自动同步到FW_B上,因此无需在FW_B上手动配置安全策略。

  6. 配置策略备份加速。

    当策略数量较多时(比如超过500条),为了提升策略加速期间的匹配效率,需要开启备份加速功能。但是开启该功能后,新配置的策略需要等待策略备份加速完成后才能生效。

    HRP_M[FW-A] policy accelerate standby enable

    # 双机热备状态形成后,FW_A上的配置会自动同步到FW_B上,因此无需在FW_B上手动配置策略备份加速。

  7. 配置NAT Server。

    说明:

    此处给出的NAT Server配置命令仅作为示例,实际网络环境中会在管理组件上配置NAT Server,管理组件将配置数据下发给FW。

    # 在FW_A上的根系统中配置NAT Server。

    HRP_M[FW_A] nat server nat_server_portal1 global 117.1.1.1 inside 10.160.1.100 
    HRP_M[FW_A] nat server nat_server_portal2 global 117.1.1.2 inside 10.160.2.100

    # 在FW_A上的虚拟系统vfw1中配置NAT Server。

    HRP_M[FW_A] switch vsys vfw1 
    HRP_M<FW_A-vfw1> system-view 
    HRP_M[FW_A-vfw1] nat server nat_server_vm1 global 118.1.1.1 inside 10.160.10.100 
    HRP_M[FW_A-vfw1] quit 
    HRP_M<FW_A-vfw1> quit

    参考上述步骤,在FW_A上的虚拟系统vfw2中配置NAT Server。

    # 双机热备状态形成后,FW_A上的配置会自动同步到FW_B上,因此无需在FW_B上手动配置NAT Server。

  8. 配置其它网络设备。

    本案例中重点介绍FW上的配置,其它网络设备上的配置请关注以下几个配置项:

    • 上行路由器与CE12800之间运行OSPF路由协议,通过OSPF学习到去往虚拟机和Portal系统的公网地址的路由,下一跳为CE12800。
    • CE12800上配置多个虚拟交换机VRF,并将vlanif与相应的VRF绑定,然后在vlanif上配置VRRP。另外,CE12800上还需要在根交换机Pulic中配置去往虚拟机和Portal系统的公网地址的静态路由,下一跳指向FW上的VRRP虚拟IP地址;在各个虚拟交换机VRF中配置缺省路由,下一跳也指向FW上相应的VRRP虚拟IP地址。
    • CE6800二层透传报文,配置二层转发即可。

结果验证

  1. 在FW_A和FW_B上使用display hrp state命令查看当前HRP的状态,可以看到HRP状态正常。
  2. Internet上的企业用户可以正常访问虚拟机业务。
  3. Internet上的企业用户可以正常访问Portal系统。
  4. FW_A的GE1/0/1.10接口上执行shutdown命令,模拟链路故障,发现主备正常倒换,业务不会中断。

配置脚本

FW_A的配置脚本:

#            
sysname FW_A 
#            
 hrp enable  
 hrp interface Eth-Trunk 1 remote 10.1.1.2   
#            
vsys enable  
resource-class vfw1_car
 resource-item-limit bandwidth 100 entire 
resource-class vfw2_car   
 resource-item-limit bandwidth 100 entire 
#            
#            
vsys name vfw1 1     
 assign interface GigabitEthernet1/0/1.10     
 assign interface GigabitEthernet1/0/3.10 
 assign resource-class vfw1_car                
 assign global-ip 118.1.1.1 118.1.1.1 exclusive
#            
vsys name vfw2 2     
 assign interface GigabitEthernet1/0/1.11     
 assign interface GigabitEthernet1/0/3.11 
 assign resource-class vfw2_car                
 assign global-ip 118.1.1.2 118.1.1.2 exclusive
#            
interface Eth-Trunk1 
 ip address 10.1.1.1 255.255.255.252           
#            
interface GigabitEthernet1/0/1                 
 undo shutdown       
#             
interface GigabitEthernet1/0/1.10             
 vlan-type dot1q 10 
 ip binding vpn-instance vfw1                  
 ip address 172.16.10.252 255.255.255.0         
 vrrp vrid 10 virtual-ip 172.16.10.254 active 
#            
interface GigabitEthernet1/0/1.11             
 vlan-type dot1q 11 
 ip binding vpn-instance vfw2                  
 ip address 172.16.11.252 255.255.255.0 
 vrrp vrid 11 virtual-ip 172.16.11.254 active 
#            
interface GigabitEthernet1/0/1.1000          
 vlan-type dot1q 9 
 ip address 172.16.9.252 255.255.255.0 
 vrrp vrid 9 virtual-ip 172.16.9.254 active 
#            
interface GigabitEthernet1/0/2                 
 undo shutdown       
#            
interface GigabitEthernet1/0/2.1            
 vlan-type dot1q 1 
 ip address 10.159.1.252 255.255.255.0 
 vrrp vrid 1 virtual-ip 10.159.1.254 active 
#            
interface GigabitEthernet1/0/2.2            
 vlan-type dot1q 2 
 ip address 10.159.2.252 255.255.255.0 
 vrrp vrid 2 virtual-ip 10.159.2.254 active 
#            
interface GigabitEthernet1/0/3  
 undo shutdown       
#            
interface GigabitEthernet1/0/3.10  
 vlan-type dot1q 10  
 ip binding vpn-instance vfw1 
 ip address 110.159.10.252 255.255.255.0         
 vrrp vrid 10 virtual-ip 10.159.10.254 active 
#            
interface GigabitEthernet1/0/3.11             
 vlan-type dot1q 11  
 ip binding vpn-instance vfw2 
 ip address 10.159.11.252 255.255.255.0         
 vrrp vrid 111 virtual-ip 10.159.11.254 active 
#            
interface GigabitEthernet2/0/1             
 undo shutdown 
 eth-trunk 1 
#            
interface GigabitEthernet2/0/2             
 undo shutdown 
 eth-trunk 1 
#            
firewall zone trust  
 set priority 85     
 add interface GigabitEthernet1/0/3           
#            
firewall zone untrust
 set priority 5      
 add interface GigabitEthernet1/0/1            
 add interface GigabitEthernet1/0/1.1000 
#            
firewall zone dmz    
 set priority 50     
 add interface GigabitEthernet1/0/2            
 add interface GigabitEthernet1/0/2.1 
 add interface GigabitEthernet1/0/2.2 
#            
firewall zone name hrpzone id 4  
 set priority 65     
 add interface Eth-Trunk1 
#            
ip route-static 0.0.0.0 0.0.0.0 172.16.9.251   
ip route-static 117.1.1.1 255.255.255.255 NULL 0 
ip route-static 117.1.1.2 255.255.255.255 NULL 0 
ip route-static 10.160.1.0 255.255.255.0 10.159.1.251 
ip route-static 10.160.2.0 255.255.255.0 10.159.2.251 
#            
 nat server nat_server_portal1 0 global 117.1.1.1 inside 10.160.1.100 
 nat server nat_server_portal2 1 global 117.1.1.2 inside 10.160.2.100 
#            
security-policy      
 rule name sec_portal                        
  source-zone untrust
  destination-zone dmz 
  destination-address 10.160.0.0 16 
  profile av default 
  profile ips default 
  action permit 
# 
return       
#            
switch vsys vfw1     
#            
interface GigabitEthernet1/0/1.10             
 vlan-type dot1q 10 
 ip binding vpn-instance vfw1                  
 ip address 172.16.10.252 255.255.255.0         
 vrrp vrid 10 virtual-ip 172.16.10.254 active 
#            
interface GigabitEthernet1/0/3.10             
 vlan-type dot1q 10  
 ip binding vpn-instance vfw1                  
 ip address 10.159.10.252 255.255.255.0         
 vrrp vrid 110 virtual-ip 10.159.10.254 active 
#            
interface Virtual-if1
#            
firewall zone trust  
 set priority 85     
 add interface GigabitEthernet1/0/3.10 
#            
firewall zone untrust
 set priority 5      
 add interface GigabitEthernet1/0/1.10 
#            
security-policy      
 rule name sec_vm1  
  source-zone untrust           
  destination-zone trust                 
  destination-address 10.159.10.0 24 
  profile av default 
  profile ips default 
  action permit 
#            
ip route-static 0.0.0.0 0.0.0.0 172.16.10.251 
ip route-static 118.1.1.1 255.255.255.255 NULL 0 
ip route-static 10.160.10.0 255.255.255.0 10.159.10.251 
#            
 nat server nat_server_vm1 2 global 118.1.1.1 inside 10.160.10.100 
#            
return 
#            
switch vsys vfw2     
#            
interface GigabitEthernet1/0/1.11             
 vlan-type dot1q 11 
 ip binding vpn-instance vfw2                  
 ip address 172.16.11.252 255.255.255.0 
 vrrp vrid 11 virtual-ip 172.16.11.254 active 
#            
interface GigabitEthernet1/0/3.11             
 vlan-type dot1q 11  
 ip binding vpn-instance vfw2                  
 ip address 10.159.11.252 255.255.255.0         
 vrrp vrid 111 virtual-ip 10.159.11.254 active 
#            
interface Virtual-if2
#            
firewall zone trust  
 set priority 85     
 add interface GigabitEthernet1/0/3.11 
#            
firewall zone untrust
 set priority 5      
 add interface GigabitEthernet1/0/1.11 
#            
security-policy      
 rule name sec_vm2  
  source-zone untrust           
  destination-zone trust                 
  destination-address 10.159.11.0 24 
  profile av default 
  profile ips default 
  action permit 
#            
ip route-static 0.0.0.0 0.0.0.0 172.16.11.251 
ip route-static 118.1.1.2 255.255.255.255 NULL 0 
ip route-static 10.160.11.0 255.255.255.0 10.159.11.251 
#            
 nat server nat_server_vm2 3 global 118.1.1.2 inside 10.160.11.100
#            
return

FW_B的配置脚本:

#            
sysname FW_B 
#            
 hrp enable  
 hrp interface Eth-Trunk 1 remote 10.1.1.1   
#            
vsys enable  
resource-class vfw1_car                        
 resource-item-limit bandwidth 100 entire 
resource-class vfw2_car                        
 resource-item-limit bandwidth 100 entire 
#            
#            
vsys name vfw1 1     
 assign interface GigabitEthernet1/0/1.10     
 assign interface GigabitEthernet1/0/3.10 
 assign resource-class vfw1_car 
 assign global-ip 118.1.1.1 118.1.1.1 exclusive
#            
vsys name vfw2 2     
 assign interface GigabitEthernet1/0/1.11     
 assign interface GigabitEthernet1/0/3.11 
 assign resource-class vfw2_car                
 assign global-ip 118.1.1.2 118.1.1.2 exclusive
#            
interface Eth-Trunk1 
 ip address 10.1.1.2 255.255.255.252           
#            
interface GigabitEthernet1/0/1                 
 undo shutdown       
#             
interface GigabitEthernet1/0/1.10      
 vlan-type dot1q 10 
 ip binding vpn-instance vfw1                  
 ip address 172.16.10.253 255.255.255.0  
 vrrp vrid 10 virtual-ip 172.16.10.254 standby 
#            
interface GigabitEthernet1/0/1.11             
 vlan-type dot1q 11 
 ip binding vpn-instance vfw2                  
 ip address 172.16.11.253 255.255.255.0 
 vrrp vrid 11 virtual-ip 172.16.11.254 standby 
#            
interface GigabitEthernet1/0/1.1000          
 vlan-type dot1q 9 
 ip address 172.16.9.253 255.255.255.0 
 vrrp vrid 9 virtual-ip 172.16.9.254 standby 
#            
interface GigabitEthernet1/0/2                 
 undo shutdown       
#            
interface GigabitEthernet1/0/2.1            
 vlan-type dot1q 1 
 ip address 10.159.1.253 255.255.255.0 
 vrrp vrid 1 virtual-ip 10.159.1.254 standby 
#            
interface GigabitEthernet1/0/2.2            
 vlan-type dot1q 2 
 ip address 10.159.2.253 255.255.255.0 
 vrrp vrid 1 virtual-ip 10.159.2.254 standby 
#            
interface GigabitEthernet1/0/3                 
 undo shutdown       
#            
interface GigabitEthernet1/0/3.10             
 vlan-type dot1q 10  
 ip binding vpn-instance vfw1                  
 ip address 10.159.10.253 255.255.255.0         
 vrrp vrid 110 virtual-ip 10.159.10.254 standby 
#            
interface GigabitEthernet1/0/3.11             
 vlan-type dot1q 11  
 ip binding vpn-instance vfw2                  
 ip address 10.159.11.253 255.255.255.0         
 vrrp vrid 111 virtual-ip 10.159.11.254 standby 
#            
interface GigabitEthernet2/0/1             
 undo shutdown 
 eth-trunk 1 
#            
interface GigabitEthernet2/0/2             
 undo shutdown 
 eth-trunk 1 
#            
firewall zone trust  
 set priority 85     
 add interface GigabitEthernet1/0/3           
#            
firewall zone untrust
 set priority 5      
 add interface GigabitEthernet1/0/1            
 add interface GigabitEthernet1/0/1.1000 
#            
firewall zone dmz    
 set priority 50     
 add interface GigabitEthernet1/0/2            
 add interface GigabitEthernet1/0/2.1 
 add interface GigabitEthernet1/0/2.2 
#            
firewall zone name hrpzone id 4                
 set priority 65     
 add interface Eth-Trunk1                      
#            
ip route-static 0.0.0.0 0.0.0.0 172.16.9.251   
ip route-static 117.1.1.1 255.255.255.255 NULL 0 
ip route-static 117.1.1.2 255.255.255.255 NULL 0 
ip route-static 10.160.1.0 255.255.255.0 10.159.1.251 
ip route-static 10.160.2.0 255.255.255.0 10.159.2.251 
#            
 nat server nat_server_portal1 0 global 117.1.1.1 inside 10.160.1.100 
 nat server nat_server_portal2 1 global 117.1.1.2 inside 10.160.2.100 
#            
security-policy      
 rule name sec_portal                        
  source-zone untrust
  destination-zone dmz 
  destination-address 10.159.0.0 16 
  profile av default 
  profile ips default 
  action permit 
# 
return       
#            
switch vsys vfw1     
#            
interface GigabitEthernet1/0/1.10             
 vlan-type dot1q 10 
 ip binding vpn-instance vfw1                  
 ip address 172.16.10.253 255.255.255.0         
 vrrp vrid 10 virtual-ip 172.16.10.254 standby 
#            
interface GigabitEthernet1/0/3.10             
 vlan-type dot1q 10  
 ip binding vpn-instance vfw1  
 ip address 10.159.10.253 255.255.255.0         
 vrrp vrid 110 virtual-ip 10.159.10.254 standby 
#            
interface Virtual-if1
#            
firewall zone trust  
 set priority 85     
 add interface GigabitEthernet1/0/3.10 
#            
firewall zone untrust
 set priority 5      
 add interface GigabitEthernet1/0/1.10 
#            
security-policy      
 rule name sec_vm1  
  source-zone untrust           
  destination-zone trust                 
  destination-address 10.159.10.0 24 
  profile av default 
  profile ips default 
  action permit 
#            
ip route-static 0.0.0.0 0.0.0.0 172.16.10.251 
ip route-static 118.1.1.1 255.255.255.255 NULL 0 
ip route-static 10.160.10.0 255.255.255.0 10.159.10.251 
#            
 nat server nat_server_vm1 2 global 118.1.1.1 inside 10.160.10.100
#            
return 
#            
switch vsys vfw2     
#            
interface GigabitEthernet1/0/1.11             
 vlan-type dot1q 11 
 ip binding vpn-instance vfw2                  
 ip address 172.16.11.253 255.255.255.0 
 vrrp vrid 11 virtual-ip 172.16.11.254 standby 
#            
interface GigabitEthernet1/0/3.11             
 vlan-type dot1q 11  
 ip binding vpn-instance vfw2                  
 ip address 10.159.11.253 255.255.255.0         
 vrrp vrid 111 virtual-ip 10.159.11.254 standby 
#            
interface Virtual-if2
#            
firewall zone trust  
 set priority 85     
 add interface GigabitEthernet1/0/3.11 
#            
firewall zone untrust
 set priority 5      
 add interface GigabitEthernet1/0/1.11 
#            
security-policy      
 rule name sec_vm2  
  source-zone untrust           
  destination-zone trust                 
  destination-address 10.159.11.0 24 
  profile av default 
  profile ips default 
  action permit 
#            
ip route-static 0.0.0.0 0.0.0.0 172.16.11.251 
ip route-static 118.1.1.2 255.255.255.255 NULL 0 
ip route-static 10.160.11.0 255.255.255.0 10.159.11.251 
#            
 nat server nat_server_vm2 3 global 118.1.1.2 inside 10.160.11.100 
#            
return

方案总结与建议

  • FW上配置了虚拟系统特性,每一个虚拟系统对应一个虚拟机业务。通过虚拟系统对虚拟机进行隔离,还可以在虚拟系统中配置安全策略,实现访问控制。
  • FW与CE12800相连的接口数量有限,因此创建了多个子接口。子接口被划分到根系统和虚拟系统中,使用比较灵活。
  • 方案一中,在FW上配置OSPF时,由于虚拟系统中无法直接配置OSPF,所以必须在根系统中配置OSPF绑定虚拟系统对应的VPN实例。
  • 方案二中,CE12800上要配置VRF功能,虚拟成连接上行的交换机(根交换机Public)和连接下行的交换机(多个虚拟交换机VRF)。FW与CE12800的根交换机Public和虚拟交换机VRF之间都运行VRRP。
翻译
下载文档
更新时间:2019-06-17

文档编号:EDOC1100087934

浏览量:808

下载量:244

平均得分:
本文档适用于这些产品
相关版本
相关文档
Share
上一页 下一页