USG5500配备路由器方式下主备备份数据方法的双机

组网方案要求:

USG5500做为安全性机器设备被布署在业务流程连接点上。在其中左右行机器设备均为互换机,USG5300A,USG5300B各自当做关键设备和预留机器设备,且均工作中在路由器方式下。

互联网整体规划以下:

必须维护的网段详细地址为192.168.1.0/ 0/0/1插口相接,部分在Trust地区中。

● 0/0/3插口相接,布署在Untrust地区。

● 0/0/2布署在DMZ地区。

在其中,各安全性地区相匹配的VRRP组虚似IP详细地址以下:

信赖地区相匹配的VRRP组虚似IP为详细地址10.100.10.1/24

Untrust安全性地区相匹配的VRRP组虚似IP详细地址为202.38.10.1/24。

DMZ地区相匹配的VRRP组虚似IP详细地址为10.100.20.1/24。

互联网拓扑:

\

FW1实际操作流程: 1,配备端口号IP
[ 0/0/1
[0 / 0/1] ip address 10.100.10.2 24
[0 / 0/1]撤出
[ 0/0/2
[0 / 0/2] ip address 10.100.20.2 24
[0 / 0/2]撤出
[ 0/0/3
[0 / 0/3] ip address 202.38.10.2 24
[0 / 0/3]撤出
2,添加相匹配安全性地区
[FW1]防火安全墙地区信赖
[FW1-zone- 0/0/1
[FW1区托拉斯]撤出 
[FW1]防火安全墙地区dmz
[FW1-zone-0 / 0/2添加
[FW1区-DMZ]撤出 
[FW1]防火安全墙地区不相信任
[FW1-zone- 0/0/3
[FW1区-不能信]撤出
3,配备VRRP组的虚似IP,留意:在应用仿真模拟器的情况下要打开虚似MAC详细地址的作用,要配不上置的虚IP就没法ping通(在配备VRRP组前,要先配备插口IP)
[ 0/0/1
[0 / 0/1] vrrp vrid 1 virtual-ip 10.100.10.1 master
[0 / 0/1] vrrp virtual-mac enable
[ 0/0/3
[0 / 0/3] vrrp vrid 2 virtual-ip 202.38.10.1 master
[0 / 0/3] vrrp virtual-mac enable
[ 0/0/2
[0 / 0/2] vrrp vrid 3 virtual-ip 10.100.20.1 master
如图所示4所显示,配备HR备份数据安全通道
[FW1] hrp  0/0/2
[FW1] hrp开启
FW2实际操作流程 1,配备端口号IP
[ 0/0/1
[0 / 0/1] ip address 10.100.10.3 24
[0 / 0/1]撤出
[ 0/0/2
[0 / 0/2] ip address 10.100.20.3 24
[0 / 0/2]撤出
[ 0/0/3
[0 / 0/3] ip address 202.38.10.3 24
[0 / 0/3]撤出
2,添加相匹配安全性地区
[FW2]防火安全墙地区信赖
[FW2-zone- 0/0/1
[FW二区托拉斯]撤出
[FW2]防火安全墙地区dmz
[FW2-zone- 0/0/2添加
[FW二区-DMZ]撤出
[FW2]防火安全墙地区不相信任
[FW2-zone- 0/0/3
[FW二区-不能信]撤出
3,配备VRRP组的虚似IP,留意:在应用仿真模拟器的情况下要打开虚似MAC详细地址的作用,要配不上置的虚IP就没法ping通(在配备VRRP组前,要先配备插口IP)
[ 0/0/1
[0 / 0/1] vrrp vrid 1 virtual-ip 10.100.10.1 slave
[0 / 0/1] vrrp virtual-mac enable
[ 0/0/3
[0 / 0/3] vrrp vrid 2 virtual-ip 202.38.10.1 slave
[0 / 0/3] vrrp virtual-mac enable
[ 0/0/2
[0 / 0/2] vrrp vrid 3 virtual-ip 10.100.20.1 slave
如图所示4所显示,配备HR备份数据安全通道
[FW2] hrp  0/0/2
[FW2] hrp使能 
5,查询VRRP和HRP情况
HRP_S [FW2]显示信息hrp情况
 防火安全墙的配备情况是:SLAVE
 配备为从站的虚似路由器器确当前情况:
 0 / 0/2 vrid 3:slave
 0 / 0/3 vrid 2:slave
 0 / 0/1 vrid 1:slave
HRP_S [FW2]显示信息vrrp
起动配备指令的全自动备份数据作用,在FW1的域间防火安全墙对策会全自动同歩到FW2
HRP_M [FW1] hrp全自动同歩配备
配备turst地区到非信赖地区的域间防火安全墙对策
HRP_M [FW1]对策域间信赖不相信任出站 
HRP_M [FW1-policy-interzone-trust-untrust-outbound]对策1
HRP_M [FW1-policy-interzone-trust-untrust-outbound-1] policy source 192.168.1.0 0.0.0.255
HRP_M [FW1-policy-interzone-trust-untrust-outbound-1]姿势批准 
HRP_M [FW1-现行政策的域间信赖,不能信的,出站1]撤出 
配备信赖地区到非信赖地区出方位的NAT对策
HRP_M [FW1] NAT详细地址组1 202.38.10.20 202.38.10.25
HRP_M [FW1] nat-policy域间信赖不相信任出站 
HRP_M [FW1-nat-policy-interzone-trust-untrust-outbound]对策1
HRP_M [FW1-nat-policy-interzone-trust-untrust-outbound-1] policy source 192.168.1.0 0.0.0.255
HRP_M [FW1-nat-policy-interzone-trust-untrust-outbound-1] action source-nat 
HRP_M [FW1-nat-policy-interzone-trust-untrust-outbound-1]详细地址组1
HRP_M [FW1 NAT-现行政策的域间信赖,不能信的,出站1]撤出 
在FW1和FW2上加上静态数据路由器
HRP_M [FW1] ip route-static 192.168.1.0 24 10.100.10.10
HRP_M [FW1] ip route-static 0.0.0.0 0.0.0.0 202.38.10.10
HRP_S [FW2] ip route-static 192.168.1.0 24 10.100.10.10
HRP_S [FW2] ip route-static 0.0.0.0 0.0.0.0 202.38.10.10
SW1实际操作流程 1,区划VLAN并设定IP
[SW1] vlan大批量192 10
[SW1]插口Vlanif 10
[SW1-Vlanif10] ip详细地址10.100.10.10 24
[SW1-VLANIF10]撤出
[SW1]插口Vlanif 192
[SW1-Vlanif192] ip详细地址192.168.1.254 24
[SW1-Vlanif192]撤出 
2,端口号添加相匹配VLAN
[ 0/0/1
[0 / 0/1] port link-type trunk 
[0 / 0/1] port trunk pvid vlan 10
[0 / 0/1] port trunk allow-pass vlan all 
[ 0/0/2
[0 / 0/2] port link-type trunk 
[0 / 0/2] port trunk pvid vlan 10
[0 / 0/2] port trunk allow-pass vlan all 
[ 0/0/3
[0 / 0/3]端口号路由协议种类连接 
[0 / 0/3] port default vlan 192
[0 / 0/3]●
[ 0/0/4
[0 / 0/4] port link-type access 
[0 / 0/4] port default vlan 192
[0 / 0/4]撤出
3,配备路由器
[SW1] ip route-static 0.0.0.0 0.0.0.0 10.100.10.1
SW2实际操作流程

1,区划VLAN并设定IP

[SW2] vlan批号172 202
[SW2]插口Vlanif 172
[SW2-Vlanif172] IP详细地址172.16.1.254 24
[SW2-Vlanif172]撤出
[SW2]插口Vlanif 202
[SW2-Vlanif202] ip详细地址202.38.10.10 24
[SW2-Vlanif202]撤出

2,端口号添加相匹配VLAN

[ 0/0/3
[0 / 0/3]端口号路由协议种类连接
[0 / 0/3] port default vlan 172
[0 / 0/3]撤出
[ 0/0/2
[0 / 0/2] port link-type trunk
[0 / 0/2] port trunk pvid vlan 202
[0 / 0/2] port trunk allow-pass vlan all
[SW2]  0/0/1
[0 / 0/1] port link-type Trunk
[0 / 0/1] port trunk pvid vlan 202
[0 / 0/1] port trunk allow-pass vlan all

3,配备路由器

[SW2] ip route-static 0.0.0.0 0.0.0.0 202.38.10.1

应用trust地区的192.168.1.10 ping untrust地区的172.16.1.10

随后在FW1应用:显示信息防火安全墙对话表便会见到内部网IP是应用NAT详细地址池的IP浏览出来的

HRP_M 显示信息防火安全墙对话表
13:00:04 2018/04/29
 当今都会话数:4
 icmp VPN:public - public 192.168.1.10:19025[202.38.10.23:2290]-- 172.16.1.1
0:2048
 icmp VPN:public - public 192.168.1.10:19281[202.38.10.23:2291]-- 172.16.1.1
0:2048
 icmp VPN:public - public 192.168.1.11:20561[202.38.10.22:2278]-- 172.16.1.1
0:2048
 icmp VPN:public - public 192.168.1.11:20817 [202.38.10.22:2279] - 172.16.1.1
0:2048

\