防火墙配置——负载均衡/源路由/双机热备

思恒科技

科学服务教育

产品服务社会

导读：这篇文章主要为大家介绍了如何进行神州数码防火墙配置,需要的朋友可以参考下。

DHCP配置

–网络拓扑–

–需求描述–

1、要求内网访问外网时两条外网负载均衡；

2、一旦其中一条链路出现故障后，可以通过另外一条链路访问外网。

–配置步骤–

第一步：设置接口地址，添加安全域（略）

第二步：添加路由，选择均衡方式，设置监控地址

1、 防火墙两条外线，首先要创建两条等价的缺省路由，所谓等价指优先级相同。 我们在下图中已经创建了第一条缺省路由，网关为 222.1.1.1

然后再创建一条缺省路由，网关为 218.240.143.217 下图可以看到在目的路由中创建的 两条缺省等价路由

2、 设置均衡方式

防火墙做负载均衡时有三种均衡方式，设置均衡方式只能在命令行下实现

DCFW-1800(config)# ecmp-route-select ?

by-5-tupleConfigure ECMP Hash As 5 Tuple

by-srcConfigure ECMP Hash As Source IP

by-src-and-dstConfigure ECMP Hash As Source IP and Dest IP

by-5-tuple– 基于五元组（源 IP 地址、目的 IP 地址、源端口、目的端口和服务类型）作 哈希选路（hash）。

by-src–基于源 IP 地址作哈希选路（hash）。

by-src-and-dst-基于源 IP 地址和目的 IP 地址作哈希选路（hash）。默认情况下，基于源 IP地址和目的 IP 地址做哈希选路（hash）。 默认防火墙使用的是by-src-and-dst均衡方式

3、 设置监控地址

设置监控地址的目的是一旦检测到监控地址不能通讯时，则内网访问外网的数据包不再 转发到该外网口，只将数据包从另外一条外线转发。

4.0R4 及之前版本只能在命令行下设置监控地址，4.5R3 版本既可以在命令行下设置，也 可以在 web 下对象用户/监控对象配置中实现。

track "track-for-eth0/1"

ip 218.240.143.217 interface ethernet0/1 track "track-for-eth0/2"

ip222.1.1.1interfaceethernet0/2

注：以上命令只是设置监控对象，监控对象名称为 track-for-eth0/1，监控地址是 218.240.143.217，监控数据包出接口为 e0/1接口

interface ethernet0/1 zone"untrust"

ip address 218.240.143.219 255.255.255.248

monitor track "track-for-eth0/1“

注：以上命令为在接口模式下调用创建的监控对象

源路由配置

–网络拓扑–

–需求描述–

1 、 针 对 内 网 用 户 192.168.1.0/24 在 访 问 外 网 时 通 过 eth0/1 的 外 网 线 路 ， 内 网 用 户192.168.2.0/24 在访问外网时通 eth0/2 的外网线路。

–配置步骤–

第一步：设置接口地址，添加安全域（略）

第二步：添加源路由

在网络/路由/源路由中，新增一条源路由，设置内网网段 192.168.1.0/24 从下一条网关218.240.143.217访问外网，同样的方法设置192.168.2.0从222.1.1.1访问外网

双机热备配置

–网络拓扑–

–需求描述–

将主备设备出现故障后，备用设备能马上顶替主设备转发报文

–配置步骤–

第一步：防火墙上添加监控对象

用户可以为设备指定监测对象，监控设备的工作状态。一旦发现到监控对象不通或者设备不能正常工作，即采取相应措施。以下是在命令行下配置监控对象在A墙CLI下全局配置监控对象

hostname(config)# track judy

hostname(config-trackip)#interface ethernet0/0 weight 255

hostname(config-trackip)#interface ethernet0/1 weight 255

hostname(config-trackip)#exit

hostname(config)#

第二步：防火墙的 HA 配置

首先点击 A 防火墙上的系统管理/HA对于 HA 中的参数我们只需要设置 HA 连接接口、IP 地址、HA 簇 ID，并在组 0 中设置优先 级并选择下监控对象即可。其他参数可以使用系统默认值

同样在 B 防火墙上实现 HA 配置，除优先级设置及 HA 连接接口地址不同外，其他参 数要与 A 墙参数一致。B 墙上设置相同的心跳接口和 HA 簇，心跳地址要与 A 墙同网段的 心跳地址。其中优先级在初始设置时两台墙一定要设置不同的优先级，数字越小优先级越高。 优先级高的防火墙将被选举为主设备。

命令行下配置如下：

hostname(config)# ha link interface ethernet0/2

hostname(config)# ha link ip 1.1.1.2/30

hostname(config)# ha cluster 1

第三步：配置接口管理地址

处于热备的两台防火墙的配置是相同的，包括设备的接口地址，此时只有一台防火墙处于主状态，所以我们在通过接口地址去管理防火墙时，只能登陆处于主状态的防火墙。如果我们要同时管理处于主备状态两台防火墙的话，需要在接口下设置管理地址，首先我们在A墙上设置内网接口管理地址为 192.168.1.91/24

命令行下命令如下：

hostname(config)# interface ethernet0/0

hostname(config-if-eth0/1)# manage ip 192.168.1.91

然后在防火墙 B 上设置接口的管理地址

命令行下命令如下：

hostname(config)# interface ethernet0/0

hostname(config-if-eth0/1)# manage ip 192.168.1.92

第四步：将主设备配置同步到备份设备

将两台墙连接入网络中并使用网线将两台防火墙的心跳接口 eth0/2 连接起来，在主设备上执行以下命令

hostname(config)#exechasyncconfiguration

此时主设备的配置便会同步到备份设备

构建全方位新型教育生态链，做数字智能教育综合管理平台

打造专业数字智能个性化教育平台，做教育全产业链综合运营商