防火墙初始化脚本
FW1 admin Admin@123 y Admin@123 admin@123 admin@123 undo terminal monitor system-view sysname FW1 web-manager timeout 1440 interface GigabitEthernet 0/0/0 ip address 192.168.20.100 24 service-manage https permit service-manage ping permit return
FW2 admin Admin@123 y Admin@123 admin@123 admin@123 undo terminal monitor system-view sysname FW2 web-manager timeout 1440 interface GigabitEthernet 0/0/0 ip address 192.168.21.100 24 service-manage https permit service-manage ping permit return
一、策略路由
1、概述策略路由允许以更多维度转发数据包(安全区域、源IP地址、目标IP地址、用户、服务、应用等),优先于路由表而不是替代
策略路由允许以更多维度转发数据包(安全区域、源IP地址、目标IP地址、用户、服务、应用等),优先于路由表而不是替代
2、应用场景防火墙存在多个网络出口链路冗余,通过策略路由可以根据需要进行选择网络出口,实现负载分担
防火墙存在多个网络出口链路冗余,通过策略路由可以根据需要进行选择网络出口,实现负载分担
3、组成
匹配条件
入接口/源安全区域
IP地址/MAC地址(源、目的)
用户、服务、应用、时间段
DSCP优先级:进行流量类型识别
实施策略路由动作
转发:单出口(下一跳)、多出口(智能选路)
不做策略路由:按照现有路由表进行转发
匹配规则
按顺序匹配条件,满足条件则进行路由动作,不满足继续匹配下一条规则
所有条件都不满足,按路由表转发
二、策略路由解决方案
1、企业需求1)不同的部门使用不同ISP出口2)不同用户使用不同ISP出口3)不同数据流类型使用不同ISP出口……
1)不同的部门使用不同ISP出口
2)不同用户使用不同ISP出口
3)不同数据流类型使用不同ISP出口
……
2、解决方案配置策略路由,根据源地址、应用、用户等信息进行数据转发配置IP-LINK实现出口冗余
配置策略路由,根据源地址、应用、用户等信息进行数据转发
配置IP-LINK实现出口冗余
3、实施配置接口地址和安全区域,配置地址组对象配置安全策略配置IP-LINK探测(为使双出口冗余,配置链路状态探测)配置策略路由配置NAT策略
配置接口地址和安全区域,配置地址组对象
配置安全策略
配置IP-LINK探测(为使双出口冗余,配置链路状态探测)
配置策略路由
配置NAT策略
三、双机热备
1、概述双机热备实现设备级冗余,类似VRRP网络存在多个出口设备,通过双机热备实现负载分担和网关冗余
双机热备实现设备级冗余,类似VRRP
网络存在多个出口设备,通过双机热备实现负载分担和网关冗余
2、工作模式热备模式:同一时间只用一台防火墙转发数据包,其他防火墙不转发数据包负载均衡模式:同一时间,多台防火墙同时转发数据,但每个防火墙又作为其他防火墙的备用设备,即每个防火墙即是主用设备也是备用设备
热备模式:同一时间只用一台防火墙转发数据包,其他防火墙不转发数据包
负载均衡模式:同一时间,多台防火墙同时转发数据,但每个防火墙又作为其他防火墙的备用设备,即每个防火墙即是主用设备也是备用设备
3、配置要求两台防火墙用于心跳线的接口加入相同的安全区域
两台防火墙用于心跳线的接口的设备编号一致
建议用于双机热备的两条防火墙采用相同的型号、相同的VRP版本
两台防火墙用于心跳线的接口加入相同的安全区域
两台防火墙用于心跳线的接口的设备编号一致
建议用于双机热备的两条防火墙采用相同的型号、相同的VRP版本
四、双机热备解决方案
1、企业需求公司出口有两台边界防火墙分别连接电信和联通
负载分担:财务部流量走电信,信息安全部流量走联通
相互冗余:某一出口不通,流量能够自动切换,避免网络中断,实现网络的稳定性和可靠性.
公司出口有两台边界防火墙分别连接电信和联通
负载分担:财务部流量走电信,信息安全部流量走联通
相互冗余:某一出口不通,流量能够自动切换,避免网络中断,实现网络的稳定性和可靠性.
2、解决方案:1)FW1和FW2部署双机热备2)采用“负载均衡”工作模式,FW1和FW2互为主备设备3)配置防火墙之间的心跳线,用于同步会话表和主备状态4)配置链路状态探测,用于双出口冗余
1)FW1和FW2部署双机热备
2)采用“负载均衡”工作模式,FW1和FW2互为主备设备
3)配置防火墙之间的心跳线,用于同步会话表和主备状态
4)配置链路状态探测,用于双出口冗余
3、配置步骤第一步:配置接口地址
第二步:配置安全策略
第三步:配置NAT策略
第四步:配置默认路由
第五步:配置IP-Link
第六步:配置双机热备1)配置运行模式
2)心跳接口
3)虚拟IP地址
4)IP-Link监控
第一步:配置接口地址
第二步:配置安全策略
第三步:配置NAT策略
第四步:配置默认路由
第五步:配置IP-Link
第六步:配置双机热备
1)配置运行模式
2)心跳接口
3)虚拟IP地址
4)IP-Link监控
注意:
FW1虚拟IP:
VRID:1 192.168.10.253(主)
VRID:2 192.168.10.254(备)
FW2虚拟IP:
VRID:1 192.168.10.253(备)
VRID:2 192.168.10.254(主)
注意:在不同的防火墙中虚拟IP角色互换
相同的虚拟IP的VRID必须要一致
下节课资源准备:
