RBM(HA联动VRRP主备模式中NAT)

1. 组网需求

如图1-25所示,某公司以Device作为网络边界安全防护设备,连接公司内部网络和Internet。为提高业务稳定性,使用两台Device进行HA组网,Device A作为主设备,Device B作为备设备。当Device A或其链路发生故障时,由Device B接替Device A继续工作,保证业务不中断。同时需要在Device上配置动态NAT功能保证内网用户可以访问Internet,该公司拥有2.1.1.1到2.1.1.10十个外网IPv4地址。

2. 组网图

图1-25 HA主备模式中NAT功能组网图

RBM(HA联动VRRP主备模式中NAT)_NAT

3. 配置步骤

(1)      配置主备模式的HA组网环境

# 使用两台Device进行HA组网,需要两台Device同时处理业务,提高业务处理能力。但是当Device A或其链路发生故障时,Device B可以接替Device A继续工作,保证业务不会中断。

[DeviceA] remote-backup group

[DeviceA-remote-backup-group] remote-ip 10.2.1.2

[DeviceA-remote-backup-group] local-ip 10.2.1.1

[DeviceA-remote-backup-group] data-channel interface gigabitethernet 1/0/3 HA

[DeviceA-remote-backup-group] device-role primary

RBM_P[DeviceA-remote-backup-group] backup-mode dual-active

RBM_P[DeviceA-remote-backup-group] hot-backup enable

RBM_P[DeviceA-remote-backup-group] configuration auto-sync enable

RBM_P[DeviceA-remote-backup-group] configuration sync-check interval 12

RBM_P[DeviceA-remote-backup-group] delay-time 1

# 配置HA监控接口GigabitEthernet1/0/1和GigabitEthernet1/0/2的状态。

RBM_P[DeviceA-remote-backup-group] track interface gigabitethernet 1/0/1

RBM_P[DeviceA-remote-backup-group] track interface gigabitethernet 1/0/2

RBM_P[DeviceA-remote-backup-group] quit

(2)      配置动态NAT

在此配置举例中,仅需要在主管理设备Device A上配置NAT的相关配置,Device A上的NAT配置会自动同步到从管理设备Device B。

# 配置NAT地址组1,其地址成员范围为2.1.1.5到2.1.1.10,并与VRRP备份组1绑定。

RBM_P<DeviceA> system-view

RBM_P[DeviceA] nat address-group 1

RBM_P[DeviceA-address-group-1] address 2.1.1.5 2.1.1.10

RBM_P[DeviceA-address-group-1] vrrp vrid 1

RBM_P[DeviceA-address-group-1] quit

# 在接口上配置出方向动态地址转换,允许使用地址组1中的地址进行源地址转换,并在转换过程中使用端口信息。

RBM_P[DeviceA] interface gigabitethernet 1/0/1

RBM_P[DeviceA-GigabitEthernet1/0/1] nat outbound address-group 1

RBM_P[DeviceA-GigabitEthernet1/0/1] quit

4. 验证配置

# 以上配置完成后,内网主机能够访问Internet。在Device A设备上查看如下显示信息,可以看到内网主机访问外网时生成的NAT会话信息。

RBM_P[DeviceA] display nat session verbose

RBM(HA联动VRRP双主模式中NAT功能典型配置举例)

1. 组网需求

如图1-26所示,某公司以Device作为网络边界安全防护设备,连接公司内部网络和Internet。为提高业务稳定性,使用两台Device进行HA组网,需要两台Device同时处理业务,提高业务处理能力。但是当Device A或其链路发生故障时,Device B可以接替Device A继续工作,保证业务不会中断。

同时需要在Device上配置动态NAT功能保证内网用户可以访问Internet,该公司拥有2.1.1.1到2.1.1.10十个外网IPv4地址。

2. 组网图

图1-26 HA双主模式中NAT功能组网图

RBM(HA联动VRRP主备模式中NAT)_网络_02

3. 配置步骤

(1)      配置双主模式的HA组网环境

# 使用两台Device进行HA组网,需要两台Device同时处理业务,提高业务处理能力。但是当Device A或其链路发生故障时,Device B可以接替Device A继续工作,保证业务不会中断。

[DeviceA] remote-backup group

[DeviceA-remote-backup-group] remote-ip 10.2.1.2

[DeviceA-remote-backup-group] local-ip 10.2.1.1

[DeviceA-remote-backup-group] data-channel interface gigabitethernet 1/0/3 HA

[DeviceA-remote-backup-group] device-role primary

RBM_P[DeviceA-remote-backup-group] backup-mode dual-active

RBM_P[DeviceA-remote-backup-group] hot-backup enable

RBM_P[DeviceA-remote-backup-group] configuration auto-sync enable

RBM_P[DeviceA-remote-backup-group] configuration sync-check interval 12

RBM_P[DeviceA-remote-backup-group] delay-time 1

# 配置HA监控接口GigabitEthernet1/0/1和GigabitEthernet1/0/2的状态。

RBM_P[DeviceA-remote-backup-group] track interface gigabitethernet 1/0/1

RBM_P[DeviceA-remote-backup-group] track interface gigabitethernet 1/0/2

RBM_P[DeviceA-remote-backup-group] quit

(2)      配置动态NAT

在此配置举例中,仅需要在主管理设备Device A上配置NAT的相关配置,Device A上的NAT配置会自动同步到从管理设备Device B。

# 配置NAT地址组1,其地址成员范围为2.1.1.5到2.1.1.7,并与VRRP备份组1绑定。

RBM_P<DeviceA> system-view

RBM_P[DeviceA] nat address-group 1

RBM_P[DeviceA-address-group-1] address 2.1.1.5 2.1.1.7

RBM_P[DeviceA-address-group-1] vrrp vrid 1

RBM_P[DeviceA-address-group-1] quit

# 配置NAT地址组2,其地址成员范围为2.1.1.8到2.1.1.10,并与VRRP备份组2绑定。

RBM_P[DeviceA] nat address-group 2

RBM_P[DeviceA-address-group-2] address 2.1.1.8 2.1.1.10

RBM_P[DeviceA-address-group-2] vrrp vrid 2

RBM_P[DeviceA-address-group-2] quit

# 配置ACL 3000,仅允许10.1.1.1/25网段的报文通过;配置ACL 3001,仅允许10.1.1.129/25网段的报文通过。

RBM_P[DeviceA] acl advanced 3000

RBM_P[DeviceA-ipv4-adv-3000] rule permit ip source 10.1.1.1 0.0.0.127

RBM_P[DeviceA-ipv4-adv-3000] quit

RBM_P[DeviceA] acl advanced 3001

RBM_P[DeviceA-ipv4-adv-3001] rule permit ip source 10.1.1.129 0.0.0.127

RBM_P[DeviceA-ipv4-adv-3001] quit

# 在接口上配置出方向动态地址转换,允许使用地址组1中的IPv4地址对匹配ACL 3000的报文进行源地址转换,并在转换过程中使用端口信息;允许使用地址组2中的IPv4地址对匹配ACL 3001的报文进行源地址转换,并在转换过程中使用端口信息。

RBM_P[DeviceA] interface gigabitethernet 1/0/1

RBM_P[DeviceA-GigabitEthernet1/0/1] nat outbound 3000 address-group 1

RBM_P[DeviceA-GigabitEthernet1/0/1] nat outbound 3001 address-group 2

RBM_P[DeviceA-GigabitEthernet1/0/1] quit

(4) 测试

RBM_P[DeviceA] display remote-backup-group status

RBM_P[DeviceA] display ospf interface

核心代

  • [DeviceA] remote-backup group
  • [DeviceA-remote-backup-group] remote-ip 10.2.1.2
  • [DeviceA-remote-backup-group] local-ip 10.2.1.1
  • [DeviceA-remote-backup-group] data-channel interface gigabitethernet 1/0/3
  • [DeviceA-remote-backup-group] device-role primary
  • RBM_P[DeviceA-remote-backup-group] backup-mode dual-active
  • RBM_P[DeviceA-remote-backup-group] hot-backup enable
  • RBM_P[DeviceA-remote-backup-group] configuration auto-sync enable
  • RBM_P[DeviceA-remote-backup-group] configuration sync-check interval 12
  • RBM_P[DeviceA-remote-backup-group] delay-time 1
  • RBM_P[DeviceA-remote-backup-group] track interface gigabitethernet 1/0/1
  • RBM_P[DeviceA-remote-backup-group] track interface gigabitethernet 1/0/2