7. 配置访问策略
允许192.168.1.10在'上班时间 '访问192.168.1.20的PING FTP SSH TELNET SMTP DNS_Query TFTP HTTP POP3 NETBIOS-SSN(TCP) MICROSOFT-DS(TCP) MSTerminal这些服务:
firewall policy add action accept srcarea 'area_eth0 ' dstarea 'area_eth1 ' src '192.168.1.10 ' dst '192.168.1.20 ' service 'PING FTP SSH TELNET SMTP DNS_Query TFTP HTTP POP3 NETBIOS-SSN(TCP) MICROSOFT-DS(TCP) MSTerminal ' schedule '上班时间 '
8. 配置双机热备 配置本机同步IP
ha local 11.1.1.1
配置对端机器同步IP
ha peer 11.1.1.2 启动双机热备功能 ha enable
注:配置好一台防火墙后,我们要配置另一台热备的防火墙,其配置基本上与致,唯一不同的只有两个地方,一个是同步接口ETH3的IP地址为11.1.1.2;另一个是双机热备配置中的本机同步IP和对端机器同步IP相反,本机IP为11.1.1.2,对端机器IP为11.1.1.1,完成配置之后,我们先接好心跳线,将两台防火墙的ETH3口连接,然后接上其他接口的网线,到此透明模式的双机热备配置完成。
五、 路由模式配置示例
拓补结构:
1. 用串口管理方式进入命令行 方法同上面的透明模式。 2. 配置接口属性
配置ETH0口的IP地址:
network interface eth0 ip add 192.168.1.250 mask 255.255.255.0 label 0 配置ETH0口的METRIC值,用于计算双机热备的权值: network interface eth0 ha-metric 100 配置ETH1口的IP地址:
network interface eth1 ip add 192.168.2.250 mask 255.255.255.0 label 0 配置ETH1口的METRIC值,用于计算双机热备的权值: network interface eth1 ha-metric 100
配置ETH2口的METRIC值,用于计算双机热备的权值: network interface eth2 ha-metric 100 将没有使用的ETH2口关闭: network interface eth2 shutdown
配置同步接口ETH3的IP地址和HA标记:
network interface eth3 ip add 11.1.1.1 mask 255.255.255.252 ha-static label 0 配置ETH3口的METRIC值,用于计算双机热备的权值: network interface eth3 ha-metric 100
3. 配置路由
配置到192.168.3.0/24网段的路由:
network route add dst 192.168.3.0/24 gw 192.168.1.254 metric 1 id 100 配置到192.168.4.0/24网段的路由:
network route add dst 192.168.4.0/24 gw 192.168.2.254 metric 1 id 101
4. 配置区域属性
将区域缺省访问权限为禁止
define area add name area_eth0 attribute 'eth0 ' access off define area add name area_eth1 attribute 'eth1 ' access off
5. 配置主机对象
define host add name 192.168.1.10 ipaddr '192.168.1.10 ' macaddr 00:19:21:50:15:1f define host add name 192.168.1.20 ipaddr '192.168.1.20 '
6. 配置访问策略
允许192.168.1.10访问192.168.1.20的PING FTP SSH TELNET SMTP DNS_Query TFTP HTTP POP3 NETBIOS-SSN(TCP) MICROSOFT-DS(TCP) MSTerminal这些服务:
firewall policy add action accept srcarea 'area_eth0 ' dstarea 'area_eth1 ' src '192.168.1.10 ' dst '192.168.1.20 ' service 'PING FTP SSH TELNET SMTP DNS_Query TFTP HTTP POP3 NETBIOS-SSN(TCP) MICROSOFT-DS(TCP) MSTerminal '
7. 配置双机热备 配置本机同步IP
ha local 11.1.1.1
配置对端机器同步IP
ha peer 11.1.1.2 启动双机热备功能 ha enable
注:配置好一台防火墙后,我们要配置另一台热备的防火墙,其配置基本上与致,唯一不同的只有两个地方,一个是同步接口ETH3的IP地址为11.1.1.2;另一个是双机热备配置中的本机同步IP和对端机器同步IP相反,本机IP为11.1.1.2,对端机器IP为11.1.1.1,完成配置之后,我们先接好心跳线,将两台防火墙的ETH3口连接,然后接上其他接口的网线,到此透明模式的双机热备配置完成。
相关推荐:
loading