双机热备OSPF组网配置指导手册v1.3.doc

Four short words sum up what has lifted most successful individuals above the crowd: a little bit more.-author-date双机热备OSPF组网配置指导手册v1.3双机热备OSPF组网配置指导手册v1.3双机热备主备方式OSPF组网配置指导手册关键字：双机热备、主备、非抢占、物理接口、静态路由、OSPF目录1 双机热备防火墙组网说明：32 主防火墙配置步骤：42.1 配置接口地址62.2 配置安全区域82.3 配置双机热备102.4 配置接口联动122.5 配置NAT132.6 配置OSPF动态路由协议172.7 配置NQA202.8 配置静态缺省路由与TRACK 1绑定212.9 配置OSPF发布缺省路由223 备防火墙配置步骤：232.1 配置接口地址242.2 配置安全区域262.3 配置双机热备282.4 配置接口联动302.5 配置NAT312.6 配置OSPF动态路由协议352.7 配置NQA382.8 配置静态缺省路由与TRACK 1绑定392.9 配置OSPF发布缺省路由401 双机热备防火墙组网说明：组网说明：防火墙双机热备组网，主备非抢占模式，防火墙上行链路通过静态路由指向连接INTERNET网络，防火墙下行链路通过OSPF动态路由指向内部网络路由器。业务要求：当网络“层三交换机”或“防火墙”或“层二交换机”某一个设备本身故障或某一条线路故障时，流量可以及时从主防火墙切换至备防火墙，保证网络应用业务不中断、平稳运行。2 主防火墙配置步骤：1 配置PC IP地址 192.168.0.3/24，连接管理防火墙：2 通过IE浏览器打开防火墙WEB管理界面，防火墙默认的管理IP地址 192.168.0.1，默认的用户名：h3c，默认密码：h3c。3 进入防火墙WEB管理界面，可以查看防火墙系统信息，包括版本信息等；4 单击“设备管理基本配置设备基本信息”修改防火墙名称为“FW1”，默认的防火墙名称是“H3C”；5单击“设备管理服务管理”启用防火墙TELNET服务，用于远程命令行配置管理；6单击“用户管理本地用户”新建、修改管理防火墙用户和用户密码；2.1 配置接口地址1 单击“设备管理接口管理”，单击“修改”按钮，配置防火墙接口地址；2 配置接口G2/0，接口ip地址为 10.1.1.253/24，配置完成后单击“确定”按钮；3 配置接口G2/2，接口ip地址为192.168.2.2/24，配置完成后单击“确定”按钮；4 配置接口G2/3，接口ip地址为 192.168.3.2/24，配置完成后单击“确定”按钮；2.2 配置安全区域1 单击“设备管理安全域”，单击“修改”按钮，配置防火墙接口加入安全区域；2 配置G2/2和G2/3接口加入Trust区域，配置完成后单击“确定”按钮；3 配置G2/0接口加入Untrust区域，配置完成后单击“确定”按钮；2.3 配置双机热备配置VRRP1 单击“高可靠性VRRP”，单击接口G2/0“修改”按钮配置接口VRRP；2 单击“新建”按钮，配置“vrid”为101，配置“虚拟ip”为10.1.1.5；3 单击“修改”按钮配置VRID 101监视接口；4 单击“显示监视配置”，配置接口G2/0监视接口G2/2和接口G2/3；配置双机热备1 单击“高可靠性双机热备”配置“使能双机热备功能”，备份类型为“不支持非对称路径”，备份接口为默认接口inner-ethernet0/1，配置完成后单击“确定”按钮；同时使用一根以太网线连接两台防火墙的“HA接口”（“HA接口”在防火墙的主控面板上）；2.4 配置接口联动1 单击“高可靠性接口联动组”单击联动组1“修改”按钮配置接口联动：2 配置“联动组1”成员G2/0、G2/2、G2/3，配置完成后单击“确定”按钮；当联动组中其中之一的接口状态为DOWN，其它接口也被置为DOWN状态，保证联动组中所有接口状态一致。2.5 配置NAT配置NAT策略1 单击“防火墙ACL”配置NAT策略，单击“新建”按钮；2 配置“策略ID”为3001，配置完成后单击“确定”按钮；3 单击“策略3001”“修改”按钮，添加策略规则；4 单击“新建”按钮，添加策略规则；5 配置NAT策略规则，配置完成后单击“确定”按钮；此规则用于NAT，决定是否对网络流量做NAT转换；6 单击“新建”按钮，配置第二条策略规则，配置完成后单击“确定”按钮；此规则仍然用于NAT,与NQA配合使用，即将NQA的检测报文做NAT转换；7 配置完成后，单击“返回”按钮；配置NAT地址池1 单击“防火墙NAT动态地址转换”，单击“地址池新建”按钮配置NAT地址池；2 配置“地址池索引”为1，开始ip地址10.1.1.101，结束ip地址10.1.1.200；配置完成后单击“确定”按钮；配置NAT与接口关联1 单击“地址转换关联新建”按钮配置NAT与接口关联；2 配置“接口”为G2/0，“ACL”为3001，“地址转换方式”为PAT，“地址池索引”为1，“使能VRRP关联”为101，配置完成后单击“确定”按钮；注意：接口配置VRRP后，必须配置“使能VRRP关联”；2.6 配置OSPF动态路由协议1 单击“网络管理路由管理OSPF”配置“启用OSPF协议”，单击“确定”按钮；2 单击“区域配置新建”按钮配置OSPF区域ID和网段地址；3 配置“全局配置OSPF区域配置”“区域ID”为0，“网段地址”为192.168.2.0/0.0.0.255和192.168.3.0/0.0.0.255；配置完成后单击“确定”按钮；4 单击“区域配置更多选项”按钮配置“接口配置”，修改OSFP HELLO和DEAD间隔时间；5 配置接口2/2“HELLO间隔”为1秒，“DEAD间隔”为4秒；配置完成后单击“确定”按钮；6 配置接口2/2“HELLO间隔”为1秒，“DEAD间隔”为4秒；配置完成后单击“确定”按钮；2.7 配置NQA通过CONSOLE或者TELNET登录到设备命令行界面，默认的用户名/密码：h3c/h3c；配置NQA1 配置NQA entry；用于检测防火墙G2/0接口的VRRP状态，当VRRP状态为主时，NQA检测成功；当VRRP状态为备时，NQA检测失败；NQA与静态缺省路由、TRACK1配合使用，当NQA检测成功，静态缺省路由有效；反之，静态缺省路由无效；FW1nqa entry monitor_vrrp 1FW1-nqa-monitor_vrrp-1-icmp-echodisplay this# type icmp-echo destination ip 10.1.1.1/配置检测的目的地址 frequency 1000/配置检测的间隔时间1000ms next-hop 10.1.1.1/配置检测的下一跳地址 probe count 1/配置一次NQA测试中探测的次数probe timeout 1000/配置检测的超时时间 reaction 1 checked-element probe-fail threshold-type consecutive 3 action-type trigger-only /配置nqa检测失败触发条件，三次检测失败触发nqa检测失败 route-option bypass-route/配置检测不经过路由表转发 source interface GigabitEthernet2/2.10/配置检测的源接口#returnFW1-nqa-monitor_vrrp-1-icmp-echo配置NQA schedule配置TRACK NQA# track 1 nqa entry monitor_vrrp 1 reaction 1/配置NQA与TRACK 1绑定#nqa schedule monitor_vrrp 1 start-time now lifetime forever/配置NQA测试的启动时间和持续时间# 2.8 配置静态缺省路由与TRACK 1绑定当NQA检测成功，此路由有效；当NQA检测失败，此路由无效；# ip route-static 0.0.0.0 0.0.0.0 10.1.1.1 track 1#2.9 配置OSPF发布缺省路由#ospf 1 default-route-advertise area 0.0.0.0 network 192.168.2.0 0.0.0.255 network 192.168.3.0 0.0.0.255#配置保存单击“设备管理配置管理配置保存”单击“确定”按钮保存配置；3 备防火墙配置步骤：1 通过CONSOLE口登录防火墙，修改防火墙管理接口ip地址为192.168.0.2/24；2 通过IE浏览器打开防火墙WEB管理界面，防火墙的管理IP地址为 192.168.0.2，默认的用户名：h3c，默认密码：h3c。3 单击“设备管理基本配置设备基本信息”修改防火墙名称为“FW2”，默认的防火墙名称是“H3C”；4 单击“设备管理服务管理”启用防火墙TELNET服务，用于远程命令行配置管理；5 单击“用户管理本地用户”新建、修改管理防火墙用户和用户密码；2.1 配置接口地址1 单击“设备管理接口管理”，单击“修改”按钮，配置防火墙接口地址；2 配置接口G2/0，接口ip地址为 10.1.1.252/24，配置完成后单击“确定”按钮；3 配置接口G2/2，接口ip地址为192.168.2.1/24，配置完成后单击“确定”按钮；4 配置接口G2/3，接口ip地址为 192.168.3.1/24，配置完成后单击“确定”按钮；2.2 配置安全区域1 单击“设备管理安全域”，单击“修改”按钮，配置防火墙接口加入安全区域；2 配置G2/2和G2/3接口加入Trust区域，配置完成后单击“确定”按钮；3 配置G2/0接口加入Untrust区域，配置完成后单击“确定”按钮；2.3 配置双机热备配置VRRP1 单击“高可靠性VRRP”，单击接口G2/0“修改”按钮配置接口VRRP；2 单击“新建”按钮，配置“vrid”为101，配置“虚拟ip”为10.1.1.5；3 单击“修改”按钮配置VRID 101监视接口；4 单击“显示监视配置”，配置接口G2/0监视接口G2/2和接口G2/3；配置双机热备1 单击“高可靠性双机热备”配置“使能双机热备功能”，备份类型为“不支持非对称路径”，备份接口为默认接口inner-ethernet0/1，配置完成后单击“确定”按钮；同时使用一根以太网线连接两台防火墙的“HA接口”（“HA接口”在防火墙的主控面板上）；2 等待约30秒，单击“高可靠性双机热备”，可以看到双机热备的当前状态为“同步运行”，说明两台防火墙双机热备配置正确，并且HA接口已经联通；2.4 配置接口联动1 单击“高可靠性接口联动组”单击联动组1“修改”按钮配置接口联动：2 配置“联动组1”成员G2/0、G2/2、G2/3，配置完成后单击“确定”按钮；当联动组中其中之一的接口状态为DOWN，其它接口也被置为DOWN状态，保证联动组中所有接口状态一致。2.5 配置NAT配置NAT策略1 单击“防火墙ACL”配置NAT策略，单击“新建”按钮；2 配置“策略ID”为3001，配置完成后单击“确定”按钮；3 单击“策略3001”“修改”按钮，添加策略规则；4 单击“新建”按钮，添加策略规则；5 配置NAT策略规则，配置完成后单击“确定”按钮；此规则用于NAT，决定是否对网络流量做NAT转换；6 单击“新建”按钮，配置第二条策略规则，配置完成后单击“确定”按钮；此规则仍然用于NAT,与NQA配合使用，即将NQA的检测报文做NAT转换；7 配置完成后，单击“返回”按钮；配置NAT地址池1 单击“防火墙NAT动态地址转换”，单击“地址池新建”按钮配置NAT地址池；2 配置“地址池索引”为1，开始ip地址10.1.1.101，结束ip地址10.1.1.200；对于备防火墙“使能低优先级选项（用于双机热备）”；配置完成后单击“确定”按钮；配置NAT与接口关联1 单击“地址转换关联新建”按钮配置NAT与接口关联；2 配置“接口”为G2/0，“ACL”为3001，“地址转换方式”为PAT，“地址池索引”为1，“使能VRRP关联”为1，配置完成后单击“确定”按钮；注意：接口配置VRRP后，必须配置“使能VRRP关联”；2.6 配置OSPF动态路由协议1 单击“网络管理OSPF”配置“启用OSPF协议”，单击“确定”按钮；2 单击“区域配置新建”按钮配置OSPF区域ID和网段地址；3 配置“全局配置OSPF区域配置”“区域ID”为0，“网段地址”为192.168.2.0/0.0.0.255和192.168.3.0/0.0.0.255；配置完成后单击“确定”按钮；4 单击“区域配置更多选项”按钮配置“接口配置”，修改OSFP HELLO和DEAD间隔时间；5 配置接口2/2“HELLO间隔”为1秒，“DEAD间隔”为4秒；配置完成后单击“确定”按钮；6 配置接口2/2“HELLO间隔”为1秒，“DEAD间隔”为4秒；配置完成后单击“确定”按钮；2.7 配置NQA通过CONSOLE或者TELNET登录到设备命令行界面，默认的用户名/密码：h3c/h3c；配置NQA1 配置NQA entry；用于检测防火墙G2/0接口的VRRP状态，当VRRP状态为主时，NQA检测成功；当VRRP状态为备时，NQA检测失败；NQA与静态缺省路由、TRACK1配合使用，当NQA检测成功，静态缺省路由有效；反之，静态缺省路由无效；FW1nqa entry monitor_vrrp 1FW1-nqa-monitor_vrrp-1-icmp-echodisplay this# type icmp-echo destination ip 10.1.1.1/配置检测的目的地址 frequency 1000/配置检测的间隔时间1000ms next-hop 10.1.1.1/配置检测的下一跳地址 probe count 1/配置一次NQA测试中探测的次数probe timeout 1000/配置检测的超时时间 reaction 1 checked-element probe-fail threshold-type consecutive 3 action-type trigger-only /配置nqa检测失败触发条件，三次检测失败触发nqa检测失败 route-option bypass-route/配置检测不经过路由表转发 source interface GigabitEthernet2/2.10/配置检测的源接口#returnFW1-nqa-monitor_vrrp-1-icmp-echo配置NQA schedule配置TRACK NQA# track 1 nqa entry monitor_vrrp 1 reaction 1/配置NQA与TRACK 1绑定#nqa schedule monitor_vrrp 1 start-time now lifetime forever/配置NQA测试的启动时间和持续时间# 2.8 配置静态缺省路由与TRACK 1绑定当NQA检测成功，此路由有效；当NQA检测失败，此路由无效；# ip route-static 0.0.0.0 0.0.0.0 10.1.1.1 track 1#2.9 配置OSPF发布缺省路由#ospf 1 default-route-advertise area 0.0.0.0 network 192.168.2.0 0.0.0.255 network 192.168.3.0 0.0.0.255#配置保存单击“设备管理配置保存”单击“确定”按钮保存配置；-