一、場景概述
場景說明:
中小型企業很有可能只有一個根外網線,一個公網IP,如何接兩個防火牆呢?在這種場景下,可以將外網線接入到交換機上,然后交換機下方接入兩台防火牆,防火牆使用VRRP技術,在防火牆的實際接口上配置兩個私網地址,然后虛擬出一個公網地址(注:VRRP的實際地址可以與虛擬地址不在同一個網段!)。
雖然只有一個外網線,但是如果買了多個公網IP的話,可以讓防火牆VRRP的實際地址也用公網IP,這樣我們后面做NAT的時候更加方便一些。
這種組網方式適用於中小型網絡,僅防火牆有冗余,而交換機沒有冗余。
ENSP模擬拓撲:
主防火牆的接口IP和區域:
備防火牆的接口IP和區域:
二、圖形界面配置過程
配置概述:
1、主備防火牆在配置完HRP協議之后是會同步策略的,包括:NAT策略、安全策略,但是路由不會同步過去!
2、在配置策略的時候默認是從主設備配置,不允許從備設備配置!如果想讓備設備配置策略的話,就在主設置上輸入:“hrp standby config enable”即可。
3、主備的配置過程可以簡單概括為:
a) 配置HRP、VRRP
b) NAT
c) 靜態路由
主防火牆圖形界面配置過程:
1、高可靠----啟動“雙機熱備”----選擇“主備備份”或者“負載分擔”----選擇“運行角色”--指定心跳接口---心跳接口的IP和對端IP,如下圖所示:
2新建虛擬IP地址,如下圖所示(左側和右側):
如果防火牆上僅有VRRP的話最好使用監控上聯口,如果有VGMP存在的話,監控上聯口就可以省略,我們這里可以不做監控上聯口。
3、NAT轉換
NAT轉換時要注意,如果都是三個公網地址,那么三個公網地址在轉換時都可以使用。如果僅有一個公網地址的話,那么NAT轉換時只能使用那個公網地址。
NAT策略---源NAT---如下圖所示:
這要要注意,路由器在配置NAT時,源和目標要指定接口,而在防火牆上源和目標指的區域而不是某個接口,上圖的意思為:“只要是從trust區域過來的流量,防火牆都將其源IP轉換成untrust的IP地址”。
4、靜態路由
備防火牆圖形界面配置過程:
1、高可靠----啟動“雙機熱備”----選擇“主備備份”或者“負載分擔”----選擇“運行角色”--指定心跳接口---心跳接口的IP和對端IP,如下圖所示:
2新建虛擬IP地址,如下圖所示(左側和右側):
3、NAT轉換
備防火牆的NAT策略不用配置,因為主配置完成后,會自動同步過來。
NAT轉換時要注意,如果都是三個公網地址,那么三個公網地址在轉換時都可以使用。如果僅有一個公網地址的話,那么NAT轉換時只能使用那個公網地址。
NAT策略---源NAT---如下圖所示:
這要要注意,路由器在配置NAT時,源和目標要指定接口,而在防火牆上源和目標指的區域而不是某個接口,上圖的意思為:“只要是從trust區域過來的流量,防火牆都將其源IP轉換成untrust的IP地址”。
4、靜態路由
三、測試驗證
測試1:冗余性測試
測試2:查看會話同步,dis seession
測試3:交換機 上dis mac,查看VRRP的免費ARP
四、配置注意
- 命令行配置時,當HRP生效時,防火牆的名字也會發生變化,主設備會在名字后面加一個M,代表自己是主設備,備防火牆會在名字后面加一個s,代表自己是備用設備。
- 當在主防火牆配置策略的時候,在出現(+B),這個意思是說已經同步到備設備那里去了。
- 防火牆默認不允許ICMP協議檢測,在trust區域使用tracert命令時,要在防火牆運行"icmp tll-exceeded send",這樣就會允許ICMP檢測了。
- 主設備一定不要忘記配置安全策略。
- 默認開啟搶占,且搶占延遲為60秒,可以通過“hrp preempt delay <秒數>。
- 在模擬器上做實驗的時候,雙機切換比較慢,估計會有一分鍾的延遲。
- VRRP查看命令:dis vrrp brief、dis vrrp verbose