更新时间:2024-09-03 GMT+08:00
配置防火墙接入Internet并注册上线
本案例中防火墙作为整个网络的出口网关,采用双机热备方案。当FW1故障时,通过将流量引导至FW2,可以保证业务持续不中断。
上线前,首先确保防火墙接入Internet(采用PPPoE拨号),推荐使用Web网管“标准配置向导”方式完成在华为乾坤云平台注册上线,操作步骤如下。
配置防火墙连网
无论是主用防火墙或备用防火墙,均通过GE0/0/1接口,采用PPPoE拨号方式接入到运营商网络。过程一样,详细步骤如下。
- 设备连线。
- 用网线将防火墙(主/备)的GE0/0/1接口连接到运营商的互联网。
- 用网线将PC连接到防火墙(主/备)的管理网口(MEth0/0/0)。如果防火墙支持Wi-Fi功能,可以选择手机/PC连接防火墙的Wi-Fi。SSID:HUAWEI-FIREWALL,密码:admin@123。Wi-Fi连接成功后请不要切换网络。
- 通过Web方式登录防火墙并修改密码。
- 将运行模式切换为云管理模式。单击“面板 > 设备信息 > 云管理模式”后的“配置”,勾选“启用”,单击“确定”。执行此操作后,系统会提示清除设备的配置并重新启动。重启完毕,切换为云管理模式。
- 配置接入运营商网络。
配置防火墙(主/备)采用以太接口(PPPoE拨号)接入Internet,按表 采用PPPoE方式接入Internet参数配置表配置上网参数。
单击“网络 > 接口”,在“接口列表”中选择GE0/0/1接口。
配置主用防火墙(FW1)
- 参考通过Web方式登录防火墙,进入主用防火墙FW1的设备管理界面。
- 配置心跳口。单击“网络 > 接口”,在“接口列表”中选择GE0/0/7接口,此接口作为心跳口,按照表2进行配置。
- 配置安全策略。执行以下命令行,配置local区域与双机热备管理口所在安全区域间的安全策略的动作为允许。
<sysname> system-view [sysname] security-policy [sysname-policy-security] rule name ha_local_to_dmz [sysname-policy-security-rule-ha_local_to_dmz] source-zone local dmz [sysname-policy-security-rule-ha_local_to_dmz] destination-zone local dmz [sysname-policy-security-rule-ha_local_to_dmz] action permit [sysname-policy-security-rule-ha_local_to_dmz] quit
配置备用防火墙(FW2)
- 参考通过Web方式登录防火墙,进入备用防火墙FW2的设备管理界面。
- 配置心跳口。单击“网络 > 接口”,在“接口列表”中选择GE0/0/7接口,此接口作为心跳口,按照表3进行配置。
- 配置安全策略。执行以下命令行,配置local区域与双机热备管理口所在安全区域间的安全策略的动作为允许。
<sysname> system-view [sysname] security-policy [sysname-policy-security] rule name ha_local_to_dmz [sysname-policy-security-rule-ha_local_to_dmz] source-zone local dmz [sysname-policy-security-rule-ha_local_to_dmz] destination-zone local dmz [sysname-policy-security-rule-ha_local_to_dmz] action permit [sysname-policy-security-rule-ha_local_to_dmz] quit
配置防火墙镜像模式双机热备
- 配置主用防火墙(FW1)。
- 配置如下命令行,配置VGMP组监控上下行业务接口。
<FW1> system-view [FW1] hrp track interface GigabitEthernet 0/0/1 [FW1] hrp track interface Eth-Trunk 1
- 配置如下命令行,指定心跳口并启用双机热备功能。
[FW1] hrp interface GigabitEthernet 0/0/7 remote 10.10.0.2 [FW1] hrp enable
- 配置如下命令行,配置VGMP组监控上下行业务接口。
- 配置备用防火墙(FW2)。
- 配置如下命令行,配置VGMP组监控上下行业务接口。
<FW2> system-view [FW2] hrp track interface GigabitEthernet 0/0/1 [FW2] hrp track interface Eth-Trunk 1
- 配置如下命令行,指定心跳口并启用双机热备功能。
[FW2] hrp interface GigabitEthernet 0/0/7 remote 10.10.0.1 [FW2] hrp enable
- 配置如下命令行,配置VGMP组监控上下行业务接口。
- 配置镜像同步。登录主用防火墙(FW1)命令行配置界面。
- 验证配置结果。在防火墙设备Web管理界面,选择“系统 > 高可靠性 > 双机热备”,查看双机热备的运行情况。
- 正常情况下,FW1的“当前运行模式”为“主备备份”,“当前运行角色”为“主用”;FW2的“当前运行模式”为“主备备份”,“当前运行角色”为“备用”。这说明流量通过FW1转发。
- 当FW1出现故障,FW1的“当前运行模式”为“主备备份”,“当前运行角色”为“备用”;FW2的“当前运行模式”为“主备备份”,“当前运行角色”为“主用”。这说明流量通过FW2转发。
配置防火墙镜像组并上线
- 配置防火墙镜像组。
- 切换到高级参数配置模式。
- 以租户帐号登录华为乾坤控制台。
- 单击页面左上角
按钮,单击“我的服务 > 云管理网络”,进入云管理网络服务首页。 - 单击右上角的“
> 高级配置”,进入高级配置页面。
- 在主菜单中选择“资源中心 > 设备管理”。
- 选择“设备组”页签,选择“FW镜像组”,选择需要配置镜像组的防火墙站点,单击“创建”。
- 填写“镜像组名称”。
- 单击“增加”,增加FW1和FW2。
- 单击“确认”。
- 切换到高级参数配置模式。
- 配置防火墙注册到华为乾坤云平台。
- 单击“系统 > 管理员 > 设置”,单击“北向接口配置”模块中“Call-home主动注册”中的“新建”。
- 填写华为乾坤云平台的IP地址/域名和端口信息等。华为乾坤云平台域名地址为device.qiankun-saas.huawei.com,端口号为10020。
- 单击“确定”和“应用”,完成配置。
配置下行口
- 执行如下命令行,在FW1上创建下行接口Eth-Trunk1。
HRP_M[FW1]interface Eth-Trunk 1 HRP_M[FW1-Eth-Trunk1]mode lacp-static HRP_M[FW1-Eth-Trunk1]quit HRP_M[FW1]interface GigabitEthernet 0/0/3 HRP_M[FW1-GigabitEthernet0/0/3]eth-trunk 1 HRP_M[FW1-GigabitEthernet0/0/3]quit HRP_M[FW1]interface GigabitEthernet 0/0/4 HRP_M[FW1-GigabitEthernet0/0/4]eth-trunk 1 HRP_M[FW1-GigabitEthernet0/0/3]quit
- 执行如下命令行,配置接口IP地址并加入相应的安全域。
HRP_M[FW1]interface Eth-Trunk 1 HRP_M[FW1-Eth-Trunk1]ip address 10.1.10.1 28 HRP_M[FW1-Eth-Trunk1]quit HRP_M[FW1] firewall zone trust HRP_M[FW1-zone-trust] add interface Eth-Trunk1
- 执行如下命令行,将下行业务接口配置VGMP组监管。
HRP_M[FW1]hrp track interface Eth-Trunk 1
- 执行如下命令行,进行手工批量备份,将FW1的配置同步到FW2。
HRP_M<FW1> hrp sync config
父主题: 设备上线
