背景:两台天融信防火墙替换成华为防火墙,华为防火墙做双机热备,一主一备:
一:原设备配置与新设备配置要求:
1:天融信防火墙的配置有:静态路由,HA高可用,虚拟接口,VRRP接口,子接口,自定义安全区域,安全策略,主备切换链路检测。
2:华为防火墙需要的配置:静态路由,HA高可用,虚拟接口,子接口,自定义安全区域,VRRP接口,安全策略,主备切换链路检测,配置同步。
二:模拟器模拟如下环境如图:
三:华为防火墙配置如下(实际线下设备为:华为USG6000E)防火墙的管理口METH默认空置不予配置
1:物理接线:
防火墙FW-A的万兆接口GE/1/0/2接在下联的核心交换机HA的上联并配置172.16.1.163/24,VRRP虚拟接口地址172.16.1.162/24,防火墙FW-A的万兆接口GE/1/0/1上联接在Ali区域并配置子接口以及IP地址47.7.7.7/24。
防火墙FW-B的万兆接口GE/1/0/2接在下联的核心交换机HA的上联并配置172.16.1.164/24,VRRP虚拟接口地址172.16.1.162/24,防火墙FW-B的万兆接口GE/1/0/1上联接在Ali区域并配置子接口以及IP地址。
防火墙 FW-A的GE/1/0/5、GE/1/0/6的两个接口做链路聚合加入到Eth-Trunk 1口中并配置1.1.1.1/28地址。
防火墙 FW-B的GE/1/0/5、GE/1/0/6的两个接口做链路聚合加入到Eth-Trunk 1口中并配置1.1.1.2/28地址。
对应的web界面配置:
启用配置HA高可用,在防火墙FW-A配置心跳检测接口地址,以及对端的IP地址,也就是防火墙FW-B的地址,还可配置接口监控,配置接口监控可基于接口和vlan,当监控的接口down后防火墙将自动切换至备用防火墙也就是防火墙FW-B,也可配置IP-LINK跟踪监控,确定需要监控的接口或是地址。
配置IP-LINK,可以定义监控每一个单独IP也可定义一组IP(这里我选择的是定义一组IP)
双机热备监控项引用 ip-link
特别注意,如果是基于ip-link监控,一定要在出接口的IP地址上启用ping,(最好是每个接口都启用ping)如图
配置VRRP冗余虚拟接口地址:准备防火墙都需要配置,
配置防火墙的安全策略,防火墙默认策略是拒绝所有,你只需要放开允许的流量即可,在配置安全策略时需要注意源区域和目的区域的方向.我这里只是简单的模拟所以策略很难简单,很多选项可以根据业务不同去做匹配选择.
配置静态路由:在这里配置静态路由时最好是只指定下一跳地址.
同步准备防火墙的配置,在主防火墙上选择”系统”-“双机热备”-“配置”先点击”一致性检查”在点击”详细”查看有哪些配置是没有同步的,可以选择手动同步配置,有些配置是无法同步的,如接口地址,区域不一样等,如图
