H3C防火墙双机热备-主备模式-上接路由器下接交换机

上张贴CrossGrave发表回复

场景说明:防火墙采用主备模式,上联路由器采用OSPF连接,下联交换机采用vrrp连接,终端网关为防火墙,使用交换机模拟终端。终端通过SNAT后可以访问100.1.1.1,通过DNAT200.1.1.1给终端让公网可以ping到内网设备。

防火墙配置如下:

#
 version 7.1.064, Alpha 7164
#
 sysname FW-A
#这里分别track上下联,如果是非直连链路可以考虑track ip地址
track 1 interface GigabitEthernet1/0/1
#
track 2 interface GigabitEthernet1/0/2
#配置上联ospf,引入静态路由的时候建议使用route-policy来控制引入哪些路由,这里为了方便没有写策略
ospf 1 router-id 1.1.1.1
 import-route static
 area 0.0.0.0
  network 10.0.12.0 0.0.0.3
#
nat address-group 0 name SNAT //配置SNAT地址池
 address 100.0.0.1 100.0.0.254
#
object-group service ICMP_ALL //配置ICMP服务对象。
 0 service icmp
#
interface GigabitEthernet1/0/1
 port link-mode route
 combo enable copper
 ip address 10.0.12.2 255.255.255.252
 ospf network-type p2p
#
interface GigabitEthernet1/0/2 //配置下联接口,主备除了实地址外,就是虚地址后的状态为standby
 port link-mode route
 combo enable copper
 ip address 192.168.10.253 255.255.255.0
 vrrp vrid 1 virtual-ip 192.168.10.254 active
#
interface GigabitEthernet1/0/23 //配置心跳接口
 port link-mode route
 combo enable copper
 ip address 1.1.1.1 255.255.255.252
#
security-zone name Local
#
security-zone name Trust
 import interface GigabitEthernet1/0/2
#
security-zone name DMZ
 import interface GigabitEthernet1/0/23
#
security-zone name Untrust
 import interface GigabitEthernet1/0/1
#
 ip route-static 100.0.0.0 24 NULL0 //配置NAT后的黑洞路由
 ip route-static 200.1.1.0 24 NULL0 //配置NAT后的黑洞路由
#
nat global-policy 
 rule name Trust_Untrust_SNAT //SNAT策略
  source-zone Trust
  destination-zone Untrust
  source-ip subnet 192.168.10.0 24
  action snat address-group name SNAT
 rule name Untrust_Trust_DNAT //DNAT策略
  source-zone untrust
  destination-ip host 200.1.1.1
  action dnat ip-address 192.168.10.1
#
 ip http enable
 ip https enable
#
security-policy ip
 rule 0 name Trust_Untrust_Permit //允许内网访问外网所有地址
  action pass
  source-zone Trust
  destination-zone Untrust
  source-ip-subnet 192.168.10.0 255.255.255.0
 rule 1 name Local_Untrust_OSPF_Permit //允许防火墙建立OSPF邻居关系
  action pass
  source-zone local
  source-zone untrust
  destination-zone untrust
  destination-zone local
  service ospf
 rule 2 name Untrust_Trust_Permit //允许外网所有地址访问192.168.10.1的ICMP协议
  action pass
  source-zone untrust
  destination-zone trust
  destination-ip-host 192.168.10.1
  service ICMP_ALL
#
remote-backup group //防火墙双机配置 RBM
 data-channel interface GigabitEthernet1/0/23 //配置数据同步接口,用于同步各种表项、配置等信息
 delay-time 1 //配置抢占延迟,默认不抢占,此处配置抢占延迟为1
 adjust-cost ospf enable absolute //配置OSPF协议通告绝对值,默认没有,此处配置完毕后,备墙会发送COST为65500的OSPF路由出去
 track 1 //关联track
 track 2
 local-ip 1.1.1.1
 remote-ip 1.1.1.2
 device-role primary //设置当前设备角色
 此处还有很多默认配置没有显示,比如热备、防火墙模式(默认为主备)
#
return

测试结果:

终端可以访问公网100.1.1.1
外网可以通过映射地址访问终端
关闭路由器与主墙接口,模拟故障
终端依旧可以访问外网
公网依旧可以访问到终端

总结:H3C的配置与华为的HRP几乎类似,仅某些默认参数、功能、命令不太一样,但是几乎配置流程完全一样。另外就是关于SNAT或DNAT的配置,这里采用的是nat-global-policy的方式配置,与华为类似,也可以通过在接口下配置nat或者在全局下配置nat来实现类似的功能。

发表评论

您的电子邮箱地址不会被公开。

此站点使用Akismet来减少垃圾评论。了解我们如何处理您的评论数据