三、NSRP典型结构与配置(C)
3. Layer3 Fullmesh A/A组网模式:
Layer3 Fullmesh连接A/A结构提供了一种更为灵活的组网方式,在保证网络高可靠性的同时提升了网络的可用性。A/A结构中两台防火墙同时作为主用设备并提供互为在线备份,各自独立处理信息流量并共享连接会话信息。一旦发生设备故障另一台设备将负责处理所有进出网络流量。Fullmesh连接A/A组网模式对网络环境要求较高,要求网络维护人员具备较强技术能力,防火墙发生故障时,接管设备受单台设备容量限制,可能会导致会话连接信息丢失,采用A/A模式组网时,建议每台防火墙负责处理的会话连接数量不超过单台设备容量的50%,以确保故障切换时不会丢失会话连接。
配置说明:定 义VSD0和VSD1虚拟安全设备组(创建Cluster ID时将自动创建VSD0),其中NS-A为VSD0主用设备和VSD1备用设备,NS-B为VSD1主用设备和VSD0备用设备;创建冗余接口实现两物理接口动态冗余;配置交换机路由指向来引导网络流量经过哪个防火墙。
NS-A(Active):
set interface redundant1 zone Untrust
set interface redundant1 ip 100.1.1.4/29 /***VSD0的VSI接口使用物理接口IP地址***/
set interface ethernet1 group redundant1
set interface ethernet2 group redundant1
set interface redundant2 zone trust
set interface redundant2 ip 192.168.1.4/29
set interface redundant2 manage-ip 192.168.2.1
set interface ethernet3 group redundant2
set interface ethernet4 group redundant2
/***配置冗余接口、定义Vsd0 接口IP地址***/
set interface redundant1:1 ip 100.1.1.5/29
set interface redundant2:1 ip 192.168.1.5/29
/***VSD1的VSI接口需手动配置IP地址,冒号后面的1表示该接口属于VSD1的VSI***/
set interface ethernet7 zone ha
set interface ethernet8 zone ha
set nsrp cluster id 1
set nsrp vsd-group id 0 priority 50
set nsrp vsd-group id 1 /*** VSD1使用缺省配置,优先级为100***/
set nsrp rto-mirror sync
set nsrp monitor interface redundant1
set nsrp monitor interface redundant2
set nsrp secondary-path ethernet2/1
/***定义NSRP备用心跳接口,保证心跳连接信息不会丢失***/
set arp always-on-dest
/***强制采用基于ARP表而不是会话表中的MAC地址转发封包***/
set vrouter trust-vr route0.0.0 .0/0 interface redundant1 gateway 100.1.1.1
set vrouter trust-vr route 0.0.0.0/0 interface redundant1:1 gateway 100.1.1.1
set interface redundant1 zone Untrust
set interface redundant1 ip 100.1.1.4/29 /***VSD0的VSI接口使用物理接口IP地址***/
set interface ethernet1 group redundant1
set interface ethernet2 group redundant1
set interface redundant2 zone trust
set interface redundant2 ip 192.168.1.4/29
set interface redundant2 manage-ip 192.168.2.1
set interface ethernet3 group redundant2
set interface ethernet4 group redundant2
/***配置冗余接口、定义Vsd0 接口IP地址***/
set interface redundant1:1 ip 100.1.1.5/29
set interface redundant2:1 ip 192.168.1.5/29
/***VSD1的VSI接口需手动配置IP地址,冒号后面的1表示该接口属于VSD1的VSI***/
set interface ethernet7 zone ha
set interface ethernet8 zone ha
set nsrp cluster id 1
set nsrp vsd-group id 0 priority 50
set nsrp vsd-group id 1 /*** VSD1使用缺省配置,优先级为100***/
set nsrp rto-mirror sync
set nsrp monitor interface redundant1
set nsrp monitor interface redundant2
set nsrp secondary-path ethernet2/1
/***定义NSRP备用心跳接口,保证心跳连接信息不会丢失***/
set arp always-on-dest
/***强制采用基于ARP表而不是会话表中的MAC地址转发封包***/
set vrouter trust-vr route
set vrouter trust-vr route 0.0.0.0/0 interface redundant1:1 gateway 100.1.1.1
NS-B(Active):
set interface redundant1 zone Untrust
set interface redundant1 ip 100.1.1.4/29 /***VSD0的VSI接口使用物理接口IP地址***/
set interface ethernet1 group redundant1
set interface ethernet2 group redundant1
set interface redundant2 zone trust
set interface redundant2 ip 192.168.1.4/29
set interface redundant2 manage-ip 192.168.2.2
set interface ethernet3 group redundant2
set interface ethernet4 group redundant2
/***配置冗余接口、定义Vsd0 接口IP地址***/
set interface redundant1:1 ip 100.1.1.5/29
set interface redundant2:1 ip 192.168.1.5/29
set interface ethernet7 zone ha
set interface ethernet8 zone ha
set nsrp cluster id 1
/***定义一致的Cluster ID,自动启用采用缺省配置的VSD0***/
set nsrp rto-mirror sync
set nsrp vsd-group id 1 priority 50
set nsrp monitor interface redundant1
set nsrp monitor interface redundant2
set nsrp secondary-path ethernet2/1
/***定义NSRP备用心跳接口,保证心跳连接信息不会丢失***/
set arp always-on-dest
/***强制采用基于ARP表而不是会话中的MAC地址转发封包***/
set vrouter trust-vr route
set vrouter trust-vr route 0.0.0.0/0 interface redundant1:1 gateway 100.1.1.1
