資訊安全論壇下載讀書程序開發數據庫系統網絡電子書微信學院站長學院 QQ 考試

頻道欄目

路由器| 安全資訊| 安全公告| 病毒預警| 人物| 企業招聘| 其他綜合|

首頁 > 資訊 > 路由器 > 正文

USG5500配置路由模式下主備備份方式的雙機熱備份詳解

18-05-16 來源：[db:作者]

收藏我要投稿

組網需求：

USG5500作為安全設備被部署在業務節點上。其中上下行設備均為交換機，USG5300A，USG5300B分別充當主設備和備用設備，且均工作在路由模式下。

網絡規劃如下：

需要保護的網段地址為192.168.1.0/24，與USG5300的GigabitEthernet 0/0/1接口相連，局部在Trust區域中。

●外部網絡與USG5300的GigabitEthernet 0/0/3接口相連，部署在Untrust區域。

●兩臺USG5300的HRP備份通道接口接口GigabitEthernet 0/0/2部署在DMZ區域。

其中，各安全區域對應的VRRP組虛擬IP地址如下：

信任區域對應的VRRP組虛擬IP為地址10.100.10.1/24

Untrust安全區域對應的VRRP組虛擬IP地址為202.38.10.1/24。

DMZ區域對應的VRRP組虛擬IP地址為10.100.20.1/24。

網絡拓撲：

FW1操作步驟：

1，配置端口IP

[FW1]接口GigabitEthernet 0/0/1
[FW1-GigabitEthernet0 / 0/1] ip address 10.100.10.2 24
[FW1-接口GigabitEthernet0 / 0/1]退出
[FW1]接口GigabitEthernet 0/0/2
[FW1-GigabitEthernet0 / 0/2] ip address 10.100.20.2 24
[FW1-接口GigabitEthernet0 / 0/2]退出
[FW1]接口GigabitEthernet 0/0/3
[FW1-GigabitEthernet0 / 0/3] ip address 202.38.10.2 24
[FW1-接口GigabitEthernet0 / 0/3]退出

2，加入對應安全區域

[FW1]防火墻區域信任
[FW1-zone-trust]加入接口GigabitEthernet 0/0/1
[FW1區托拉斯]退出 
[FW1]防火墻區域dmz
[FW1-zone-dmz]將接口GigabitEthernet0 / 0/2加入
[FW1區-DMZ]退出 
[FW1]防火墻區域不信任
[FW1-zone-untrust]添加接口GigabitEthernet 0/0/3
[FW1區-不可信]退出

3，配置VRRP組的虛擬IP，注意：在使用模擬器的時候要開啟虛擬MAC地址的功能，要不配置的虛IP就無法ping通（在配置VRRP組前，要先配置接口IP）

[FW1]接口GigabitEthernet 0/0/1
[FW1-GigabitEthernet0 / 0/1] vrrp vrid 1 virtual-ip 10.100.10.1 master
[FW1-GigabitEthernet0 / 0/1] vrrp virtual-mac enable
[FW1]接口GigabitEthernet 0/0/3
[FW1-GigabitEthernet0 / 0/3] vrrp vrid 2 virtual-ip 202.38.10.1 master
[FW1-GigabitEthernet0 / 0/3] vrrp virtual-mac enable
[FW1]接口GigabitEthernet 0/0/2
[FW1-GigabitEthernet0 / 0/2] vrrp vrid 3 virtual-ip 10.100.20.1 master

如圖4所示，配置HR備份通道

[FW1] hrp interface GigabitEthernet 0/0/2
[FW1] hrp啟用

FW2操作步驟

1，配置端口IP

[FW2]接口GigabitEthernet 0/0/1
[FW2-GigabitEthernet0 / 0/1] ip address 10.100.10.3 24
[FW2-接口GigabitEthernet0 / 0/1]退出
[FW2]接口GigabitEthernet 0/0/2
[FW2-GigabitEthernet0 / 0/2] ip address 10.100.20.3 24
[FW2-接口GigabitEthernet0 / 0/2]退出
[FW2]接口GigabitEthernet 0/0/3
[FW2-GigabitEthernet0 / 0/3] ip address 202.38.10.3 24
[FW2-接口GigabitEthernet0 / 0/3]退出

2，加入對應安全區域

[FW2]防火墻區域信任
[FW2-zone-trust]加入接口GigabitEthernet 0/0/1
[FW2區托拉斯]退出
[FW2]防火墻區域dmz
[FW2-zone-dmz]將接口GigabitEthernet 0/0/2加入
[FW2區-DMZ]退出
[FW2]防火墻區域不信任
[FW2-zone-untrust]添加接口GigabitEthernet 0/0/3
[FW2區-不可信]退出

3，配置VRRP組的虛擬IP，注意：在使用模擬器的時候要開啟虛擬MAC地址的功能，要不配置的虛IP就無法ping通（在配置VRRP組前，要先配置接口IP）

[FW2]接口GigabitEthernet 0/0/1
[FW2-GigabitEthernet0 / 0/1] vrrp vrid 1 virtual-ip 10.100.10.1 slave
[FW2-GigabitEthernet0 / 0/1] vrrp virtual-mac enable
[FW2]接口GigabitEthernet 0/0/3
[FW2-GigabitEthernet0 / 0/3] vrrp vrid 2 virtual-ip 202.38.10.1 slave
[FW2-GigabitEthernet0 / 0/3] vrrp virtual-mac enable
[FW2]接口GigabitEthernet 0/0/2
[FW2-GigabitEthernet0 / 0/2] vrrp vrid 3 virtual-ip 10.100.20.1 slave

如圖4所示，配置HR備份通道

[FW2] hrp interface GigabitEthernet 0/0/2
[FW2] hrp使能

5，查看VRRP和HRP狀態

HRP_S [FW2]顯示hrp狀態
 防火墻的配置狀態是：SLAVE
 配置為從站的虛擬路由器的當前狀態：
             GigabitEthernet0 / 0/2 vrid 3：slave
             GigabitEthernet0 / 0/3 vrid 2：slave
             GigabitEthernet0 / 0/1 vrid 1：slave
HRP_S [FW2]顯示vrrp

FW1：

啟動配置命令的自動備份功能，在FW1的域間防火墻策略會自動同步到FW2

HRP_M [FW1] hrp自動同步配置

配置turst區域到非信任區域的域間防火墻策略

HRP_M [FW1]策略域間信任不信任出站 
HRP_M [FW1-policy-interzone-trust-untrust-outbound]策略1
HRP_M [FW1-policy-interzone-trust-untrust-outbound-1] policy source 192.168.1.0 0.0.0.255
HRP_M [FW1-policy-interzone-trust-untrust-outbound-1]動作許可 
HRP_M [FW1-政策的域間信任，不可信的，出站1]退出

NAT：

配置信任區域到非信任區域出方向的NAT策略

HRP_M [FW1] NAT地址組1 202.38.10.20 202.38.10.25

HRP_M [FW1] nat-policy域間信任不信任出站 
HRP_M [FW1-nat-policy-interzone-trust-untrust-outbound]策略1
HRP_M [FW1-nat-policy-interzone-trust-untrust-outbound-1] policy source 192.168.1.0 0.0.0.255
HRP_M [FW1-nat-policy-interzone-trust-untrust-outbound-1] action source-nat 
HRP_M [FW1-nat-policy-interzone-trust-untrust-outbound-1]地址組1
HRP_M [FW1 NAT-政策的域間信任，不可信的，出站1]退出

在FW1和FW2上添加靜態路由

HRP_M [FW1] ip route-static 192.168.1.0 24 10.100.10.10
HRP_M [FW1] ip route-static 0.0.0.0 0.0.0.0 202.38.10.10

HRP_S [FW2] ip route-static 192.168.1.0 24 10.100.10.10
HRP_S [FW2] ip route-static 0.0.0.0 0.0.0.0 202.38.10.10

SW1操作步驟

1，劃分VLAN并設置IP

[SW1] vlan批量192 10
[SW1]接口Vlanif 10
[SW1-Vlanif10] ip地址10.100.10.10 24
[SW1-VLANIF10]退出
[SW1]接口Vlanif 192
[SW1-Vlanif192] ip地址192.168.1.254 24
[SW1-Vlanif192]退出

2，端口加入對應VLAN

[SW1]接口GigabitEthernet 0/0/1
[SW1-GigabitEthernet0 / 0/1] port link-type trunk 
[SW1-GigabitEthernet0 / 0/1] port trunk pvid vlan 10
[SW1-GigabitEthernet0 / 0/1] port trunk allow-pass vlan all 
[SW1]接口GigabitEthernet 0/0/2
[SW1-GigabitEthernet0 / 0/2] port link-type trunk 
[SW1-GigabitEthernet0 / 0/2] port trunk pvid vlan 10
[SW1-GigabitEthernet0 / 0/2] port trunk allow-pass vlan all 

[SW1]接口GigabitEthernet 0/0/3
[SW1-GigabitEthernet0 / 0/3]端口鏈路類型接入  
[SW1-GigabitEthernet0 / 0/3] port default vlan 192
[SW1-接口GigabitEthernet0 / 0/3]●
[SW1]接口GigabitEthernet 0/0/4
[SW1-GigabitEthernet0 / 0/4] port link-type access  
[SW1-GigabitEthernet0 / 0/4] port default vlan 192
[SW1-接口GigabitEthernet0 / 0/4]退出

3，配置路由

[SW1] ip route-static 0.0.0.0 0.0.0.0 10.100.10.1

SW2操作步驟

1，劃分VLAN并設置IP

[SW2] vlan批次172 202
[SW2]接口Vlanif 172
[SW2-Vlanif172] IP地址172.16.1.254 24
[SW2-Vlanif172]退出
[SW2]接口Vlanif 202
[SW2-Vlanif202] ip地址202.38.10.10 24
[SW2-Vlanif202]退出

2，端口加入對應VLAN

[SW2]接口GigabitEthernet 0/0/3
[SW2-GigabitEthernet0 / 0/3]端口鏈路類型接入
[SW2-GigabitEthernet0 / 0/3] port default vlan 172
[SW2-接口GigabitEthernet0 / 0/3]退出

[SW2]接口GigabitEthernet 0/0/2
[SW2-GigabitEthernet0 / 0/2] port link-type trunk
[SW2-GigabitEthernet0 / 0/2] port trunk pvid vlan 202
[SW2-GigabitEthernet0 / 0/2] port trunk allow-pass vlan all
[SW2] interface GigabitEthernet 0/0/1
[SW2-GigabitEthernet0 / 0/1] port link-type Trunk
[SW2-GigabitEthernet0 / 0/1] port trunk pvid vlan 202
[SW2-GigabitEthernet0 / 0/1] port trunk allow-pass vlan all

3，配置路由

[SW2] ip route-static 0.0.0.0 0.0.0.0 202.38.10.1

驗證

使用trust區域的192.168.1.10 ping untrust區域的172.16.1.10

然后在FW1使用：顯示防火墻會話表就會看到內網IP是使用NAT地址池的IP訪問出去的

HRP_M 顯示防火墻會話表
13:00:04 2018/04/29
 當前總會話數：4
  icmp VPN：public  - > public 192.168.1.10:19025[202.38.10.23:2290]--> 172.16.1.1
0：2048
  icmp VPN：public  - > public 192.168.1.10:19281[202.38.10.23:2291]--> 172.16.1.1
0：2048
  icmp VPN：public  - > public 192.168.1.11:20561[202.38.10.22:2278]--> 172.16.1.1
0：2048
  icmp VPN：public  - > public 192.168.1.11:20817 [202.38.10.22:2279]  - > 172.16.1.1
0：2048

點擊復制鏈接與好友分享!回本站首頁

相關TAG標簽

上一篇：臺積電：絕大多數7nm客戶都會轉向6nm_IT新聞_博客園

下一篇：最后一頁

相關文章

熱門專題推薦 vmware win7激活工具 win10激活工具 excel word office激活小馬激活工具重裝系統數據恢復 u盤啟動工具

圖文推薦

文章

推薦

· 不掉線的路由器！路由特殊技術分析！

· 如何通過路由器來控制上網

· 寬帶路由器故障巧排除

· 關于忘記Cisco交換機路由器口令后如何

· 遠程管理路由器注意“安全”

· 路由器端口映射的原理及設置方法介紹

· 教你用路由器日志快速定位及排除故障

· 教你設置無線路由提高無線網BT下載速

· win7激活工具

· win10激活工具

· win7激活工具旗艦版

· office2010激活密鑰

· windows7激活密鑰

· office2010激活工具

· 小馬激活工具

· win10激活工具

熱門新聞

· 錘子堅果Pro發布后，羅永浩哭了

· 想實習的大學黨看過來!這些科技巨頭最

· 羅永浩錘子發布會搶先消息：錘子科技新

· Google新一代系統Fuchsia OS界面曝光

· 中國唯一連續運營20余年的網絡游戲，還

· iPhone都便宜了為何國產手機越來越貴

· 丟人！谷歌和Facebook竟被虛假企業電郵

· 中國移動支付震驚日本網友為什么美國

關于我們 | 聯系我們 | 廣告服務 | 投資合作 | 版權申明 | 在線幫助 | 網站地圖 | 作品發布 | Vip技術培訓 | 舉報中心

版權所有: 紅黑聯盟--致力于做實用的IT技術學習網站

美女MM131爽爽爽毛片