FW IV下一代防火墙业务板双主多Context案例

一、    组网需求

4个内网区域的服务器全部接入到2台内网S12508X-AF，并由内网S12508X-AF统一上行接入S7510E。

二、    组网拓扑

两台S12508X-AF使用IRF2技术虚拟成1台设备进行统一管理。服务器的网关配置在交换机上，通过路由引流到防火墙。防火墙给每个区域分配一个VFW，每个VFW上只有trust和untrust两个区域。两块防火墙板卡做IRF，虚拟成一台防火墙，IRF端口使用前面板的电口。防火墙会话同步和MAD检测使用防火墙的1个内联口，其他2个内联口用作数据传输。

防火墙处于三层模式，使用主备模式，规避跨框流量。主备模式需要防火墙内联口处于冗余组模式，故障时防火墙上下行三层地址全部切换。

三、    配置步骤

3.1S10500的内联口的配置如下

内联口允许的VLAN和FW上的聚合子接口终结的VLAN ID对应，通过VLAN的划分，将到不同Server的访问流量引到不同的自定义context中。

# Chassi1连接SecBladeIII，FW1的XGE1/0/1～XGE1/0/3组成聚合口BAG1：（略）

# 配置聚合口BAG1允许通过的VLAN：(略)

# Chassi2连接SecBlade III FW2的XGE1/0/1～XGE1/0/3组成聚合口BAG2：(略)

# 配置聚合口BAG2允许通过的VLAN：(略)

3.2防火墙板卡的接口及冗余组的配置步骤如下

1、配置聚合接口

创建聚合口RAG1和RAG2，将Slot 1和Slot 2的前3个内联口分别加入聚合口RAG1和RAG2。并创建RAG1的4个聚合子接口和RAG2的4个聚合子接口。(略)

2、配置冗余接口

创建4个冗余口Reth11～Reth14，分别将两个Slot的聚合子接口加入到一个冗余口。

如下举例4个冗余口，其中Reth11和Reth12口的成员口RAG1的子接口的优先级高，Reth 13和Reth 14口的成员口的RAG2的子接口的优先级高。

# 创建冗余口Reth11，成员接口为RAG1.1011和RAG2.1011，其中RAG1.1011的优先级为100，RAG2.1011的优先级为50。

[FW1] interface Reth 11

[FW1-Reth11] member interface Route-Aggregation1.1011 priority 100

[FW1-Reth11] member interface Route-Aggregation2.1011 priority 50

3、创建两个冗余组，每个冗余组分别控制2个冗余口。

# 配置Track，监测接口的状态。

[FW1] track 1 interface Route-Aggregation1

[FW1] track 2 interface Route-Aggregation 2

# 创建冗余组1，Node 1和Slot 1绑定，为主节点；Node 2和Slot2绑定，为备节点。

[FW1]redundancy group 1

[FW1-redundancy-group-1]preempt-delay 5

[FW1-redundancy-group-1] member interface Reth 11

[FW1-redundancy-group-1] member interface Reth 12

[FW1-redundancy-group-1]node 1

[FW1-redundancy-group-1-node-1]bind slot 1

[FW1-redundancy-group-1-node-1]priority 100

[FW1-redundancy-group-1-node-1] track 1 interface Route-Aggregation 1

[FW1-redundancy-group-1-node-1] quit

[FW1-redundancy-group-1]node 2

[FW1-redundancy-group-1-node-2]bind slot 2

[FW1-redundancy-group-1-node-2] priority 50

[FW1-redundancy-group-1-node-2] track 2 interface Route-Aggregation2

[FW1-redundancy-group-1-node-2]quit

[FW1-redundancy-group-1]quit

# 创建冗余组2，Node 1和Slot 1绑定，为备节点；Node 2和Slot2绑定，为主节点。(略)

4、创建2个context，分别将4个冗余口两两共享加入到这2个context中。

# 创建自定义context 1，将冗余口Reth11和Reth 12分配到该虚拟防火墙中。

[FW1]context 1

[FW1-context-2-1] allocate interface Reth11 to Reth12 share

[FW1-context-2-1]context start

# 创建自定义context 2，将冗余口Reth13和Reth 14分配到该虚拟防火墙中。

[FW1]context 2

[FW1-context-3-2]allocate interface Reth13 to Reth14 share

[FW1-context-3-2]context start

5、创建两个聚合子接口加入到一个冗余口，作为管理口。

#创建聚合子接口RAG1.1000,RAG2.1000。(略)

# 创建冗余口Reth1，成员接口为RAG1.1000和RAG2.1000。(略)

# 将该冗余口加入管理域。(略)

6、自定义context的配置步骤：

以context 1为例。进入自定义context 1，并设置系统名称为context1。

[FW1] context 1

[FW1-context-2-1]context start

[FW1]switchto context 1

[H3C]sysname context1

给冗余口配置IP地址，加入安全域并配置域间策略：(略)

#配置内网接口Reth11并加入trust域。

# 配置外部接口Reth12并加入untrust域。

#配置Untrust到Trust的域间策略，允许用户访问内部服务器。

#配置OSPF并配置相应的域间策略。(略)

# 配置Untrust和Local之间的域间策略，允许OSPF报文到达本地和从本地发出。(略)

# 创建对象组。

[context1]object-group ip address external

[context1-obj-grp-ip-external]network subnet 222.173.1.0 255.255.255.240

# 创建域间策略对象。

[context1]object-policy ip Untrust-Local

[context1-object-policy-ip-Untrust-Local]rule 0 pass source-ip external service ospf counting

[context1]object-policy ip local-untrust

[context1-object-policy-ip-Local-Untrust]rule 0 pass service ospf counting

#创建域间策略，并引用域间策略对象。

[context1]zone-pair security source untrust destination local

[context1-zone-pair-security-Untrust-Local]object-policy apply ip Untrust-Local

[context1]zone-pair security source local destination untrust

[context1-zone-pair-security-Local-Untrust]object-policy apply ip Local-Untrust

7、开启会话备份

[context1]session synchronization enable

[context1]session synchronization dns

[context1]session synchronization http

备注：http、dns的会话备份可以根据需要选择性配置。

2017年05月