HRP_A[NGFW_C]?route-policyrppermitnode2? HRP_A[NGFW_C-route-policy]?if-matchacl2001? HRP_A[NGFW_C-route-policy]?if-matchbackup-statusload-balance? HRP_A[NGFW_C-route-policy]?applycost+10? HRP_A[NGFW_C-route-policy]?quit 当NGFW_C作为主用设备(NGFW_D故障)时,来自分支A和B的去和回的流量通过NGFW_C时开销减少10: HRP_A[NGFW_C]?route-policyrppermitnode3? HRP_A[NGFW_C-route-policy]?if-matchacl2002? HRP_A[NGFW_C-route-policy]?if-matchbackup-statusactive? HRP_A[NGFW_C-route-policy]?applycost-10? HRP_A[NGFW_C-route-policy]?quit 当NGFW_C作为备用设备(NGFW_C故障)时,来自分支A和B的去和回的流量通过NGFW_C时开销增加10: HRP_A[NGFW_C]?route-policyrppermitnode4? HRP_A[NGFW_C-route-policy]?if-matchacl2002? HRP_A[NGFW_C-route-policy]?if-matchbackup-statusstandby? HRP_A[NGFW_C-route-policy]?applycost+10? HRP_A[NGFW_C-route-policy]?quit? 3)最后我们需要在OSPF中引入直连和静态路由,并将自身的路由发布出去。 【强叔点评】这里引入的直连路由是Tunnel接口的路由;引入的静态路由是下面配置的使回程流量进入隧道的路由。 HRP_A[NGFW_C]?ospf1 HRP_A[NGFW_C]?ip HRP_A[NGFW_C]?ip HRP_A[NGFW_C-ospf-1]?import-routedirectroute-policyrp? HRP_A[NGFW_C-ospf-1]?import-routestaticroute-policyrp? HRP_A[NGFW_C-ospf-1]?? ? ? quit? HRP_A[NGFW_C-ospf-1]?quit 4)在NGFW_D上配置路由和路由策略。按照NGFW_C的配置举一反三,我想各位小伙伴肯定没问题的。 【结果验证】 1、??当双机热备负载分担状态正常运行时,可以在Router1上看到去往Tunnel1目的地址为)的流量通过NGFW_C转发(下一跳为NGFW_C的物理接口IP地址)。而去往Tunnel2接口(目的地址为)的流量通过NGFW_D转发(下一跳为NGFW_D的物理接口IP地址)。 2、??当双机热备负载分担状态正常运行时,可以在Router2上看到总部回复分支A(目的地址)的流量通过NGFW_C转发(下一跳为);总部回复分支B(目的地址)的流量通过NGFW_D转发(下一跳为)。 以上两步可以看出在路由层面,我们的配置满足了组网需求。 3、??在NGFW_C和D上执行displayikesa、displayipsecsa?命令查看IPSec的隧道建立情况。 下面仅给出NGFW_C上的截图,可以看到NGFW_C的tunnel1接口与NGFW_A的GE1/0/1接口成功建立隧道。? 仅供个人学习参考
【拍案惊奇】 1、??此案例的惊奇之处在于结合了双机热备、IPSec和并不常用的路由策略功能,而且三种功能结合的十分巧妙。 2、??此案例的另一惊奇之处在于负载分担组网下的IPSec只有在华为比较新版本的防火墙上才支持,是一个比较新的功能。 3、??另外看完此案例,小伙伴们应该对双机热备、IPSec、以及路由策略的配置方法和流程有了一定的了解。 【强叔问答】 ???本案例中强叔并没有详细讲述防火墙安全策略的配置,但其实在配置双机热备及PSec功能时,安全策略的配置 ???还是有所讲究的。请小伙伴们思考双机热备和IPSec这两个功能的安全策略如何配置? 仅供个人学习参考
相关推荐:
loading