更新时间:2024-01-10 GMT+08:00
配置防火墙接入Internet并注册上线
本案例中防火墙作为整个网络的出口网关,采用双机热备方案。当FW1故障时,通过将流量引导至FW2,可以保证业务持续不中断。
上线前,首先确保防火墙接入Internet(采用PPPoE拨号),操作步骤如下。
配置防火墙连网并注册上线
无论是主用防火墙或备用防火墙,均通过GE0/0/1接口,采用PPPoE拨号方式接入到运营商网络。过程一样,详细步骤如下。
- 设备连线。
- 用网线将防火墙(主/备)的GE0/0/1接口连接到运营商的互联网。
- 用网线将PC连接到防火墙(主/备)的管理网口(MEth0/0/0)。如果防火墙支持Wi-Fi功能,可以选择手机/PC连接防火墙的Wi-Fi。SSID:HUAWEI-FIREWALL,密码:admin@123。Wi-Fi连接成功后请不要切换网络。
- 通过Web方式登录防火墙并修改密码。
- 将运行模式切换为云管理模式。单击“面板 > 设备信息 > 云管理模式”后的“配置”,勾选“启用”,单击“确定”。执行此操作后,系统会提示清除设备的配置并重新启动。重启完毕,切换为云管理模式。
- 配置接入运营商网络。
配置防火墙(主/备)采用以太接口(PPPoE拨号)接入Internet,按表 采用PPPoE方式接入Internet参数配置表配置上网参数。
单击“网络 > 接口”,在“接口列表”中选择GE0/0/1接口。
配置双机热备(FW1)
- 参考通过Web方式登录防火墙,进入主用防火墙FW1的设备管理界面。
- 配置防火墙接口。
- 配置心跳口。单击“网络 > 接口”,在“接口列表”中选择GE0/0/2接口,此接口作为心跳口。
表2 心跳接口参数配置表 参数名称
参数取值
接口名称
GigabitEthernet0/0/2
安全区域
dmz
连接类型
静态IP
IP地址
30.1.0.1/24
- 执行以下命令行,配置local区域与双机热备管理口所在安全区域间的安全策略的动作为允许。
<sysname> system-view [sysname] security-policy [sysname-policy-security] rule name ha_local_to_dmz [sysname-policy-security-rule-ha_local_to_dmz] source-zone local dmz [sysname-policy-security-rule-ha_local_to_dmz] destination-zone local dmz [sysname-policy-security-rule-ha_local_to_dmz] action permit [sysname-policy-security-rule-ha_local_to_dmz] quit
- 配置与汇聚交换机相连的下行Eth-Trunk接口。单击“网络 > 接口”,在“接口列表”下方单击“新建”,按表 Eth-Trunk1接口参数配置表配置,完成后单击“确定”。
- 配置心跳口。单击“网络 > 接口”,在“接口列表”中选择GE0/0/2接口,此接口作为心跳口。
配置双机热备(FW2)
- 参考通过Web方式登录防火墙,进入备用防火墙FW2的设备管理界面。
- 配置防火墙接口。
- 配置心跳口。单击“网络 > 接口”,在“接口列表”中选择GE0/0/2接口,此接口作为心跳口。
表4 心跳接口参数配置表 参数名称
参数取值
接口名称
GigabitEthernet0/0/2
安全区域
dmz
连接类型
静态IP
IP地址
30.1.0.2/24
- 配置与汇聚交换机相连的下行Eth-Trunk接口。单击“网络 > 接口”,在“接口列表”下方单击“新建”,按表 Eth-Trunk2接口参数配置表配置,完成后单击“确定”。
- 配置心跳口。单击“网络 > 接口”,在“接口列表”中选择GE0/0/2接口,此接口作为心跳口。
配置防火墙镜像模式双机热备
- 配置主用防火墙(FW1)。
- 配置如下命令行,配置VGMP组监控上下行业务接口。
<FW1> system-view [FW1] hrp track interface GigabitEthernet 0/0/1 [FW1] hrp track interface Eth-Trunk 1
- 配置如下命令行,指定心跳口并启用双机热备功能。
[FW1] hrp interface GigabitEthernet 0/0/2 remote 30.1.0.2 [FW1] hrp enable
- 配置如下命令行,配置镜像模式。双机关系已建立,配置会自动备份到FW2。
HRP_M[FW1] hrp mirror config enable HRP_M[FW1] quit
- 配置如下命令行,进行手工批量备份。
镜像模式要求两台设备的配置完全一致,在启用镜像的时候可能两台设备的配置不一致,通过执行以下命令将两台设备的配置同步。
HRP_M<FW1> hrp sync config
- 配置如下命令行,配置VGMP组监控上下行业务接口。
- 配置备用防火墙(FW2)。
- 配置如下命令行,配置VGMP组监控上下行业务接口。
<FW2> system-view [FW2] hrp track interface GigabitEthernet 0/0/1 [FW2] hrp track interface Eth-Trunk 1
- 配置如下命令行,指定心跳口并启用双机热备功能。
[FW2] hrp interface GigabitEthernet 0/0/2 remote 30.1.0.1 [FW2] hrp enable
- 配置如下命令行,配置VGMP组监控上下行业务接口。
- 验证配置结果。在防火墙设备Web管理界面,选择“系统 > 高可靠性 > 双机热备”,查看双机热备的运行情况。
- 正常情况下,FW1的“当前运行模式”为“主备备份”,“当前运行角色”为“主用”;FW2的“当前运行模式”为“主备备份”,“当前运行角色”为“备用”。这说明流量通过FW1转发。
- 当FW1出现故障,FW1的“当前运行模式”为“主备备份”,“当前运行角色”为“备用”;FW2的“当前运行模式”为“主备备份”,“当前运行角色”为“主用”。这说明流量通过FW2转发。
配置防火墙镜像组并上线
- 配置防火墙镜像组。
- 登录华为乾坤控制台。
- 单击页面左上角
按钮,单击“我的服务 > 云管理网络”,在快捷菜单栏选择“
> 高级配置”。 - 在主菜单中选择“规划 > 设计 > 站点设计 > 设备管理”。
- 选择“设备组”页签,选择“FW镜像组”,选择需要配置镜像组的防火墙站点,单击“创建”。
- 填写“镜像组名称”。
- 单击“增加”,增加FW1和FW2。
- 单击“确认”。
- 配置防火墙注册到华为乾坤云平台。
- 单击“系统 > 管理员 > 设置”,单击“北向接口配置”模块中“Call-home主动注册”中的“新建”。
- 填写华为乾坤云平台的IP地址/域名和端口信息等。华为乾坤云平台域名地址为device.qiankun-saas.huawei.com,端口号为10020。
- 单击“确定”和“应用”,完成配置。
后续操作
- 验证配置结果。
在防火墙设备Web管理界面,选择“系统 > 高可靠性 > 双机热备”,查看双机热备的运行情况。
- 正常情况下,FW1的“当前运行模式”为“主备备份”,“当前运行角色”为“主用”;FW2的“当前运行模式”为“主备备份”,“当前运行角色”为“备用”。这说明流量通过FW1转发。
- 当FW1出现故障,FW1的“当前运行模式”为“主备备份”,“当前运行角色”为“备用”;FW2的“当前运行模式”为“主备备份”,“当前运行角色”为“主用”。这说明流量通过FW2转发。
- 绑定热备操作。
设备上线后,登录华为乾坤控制台完成FW1和FW2的绑定,实现主备设备间会话的同步备份,具体操作参见创建站点 > 绑定热备操作。
父主题: 设备上线
