目录
前言
一、组网拓扑
二、配置步骤
1.Hillstone-A
2.Hillstone-B
总结
前言
网络环境有非对称流量且需要双活部署时,防火墙可配置HA的peer-mode非对称路由模式进行实现。
一、组网拓扑
数据流量的路径是非对称的(即 Flow0和Flow1是两条不同流量路径,流量的流向方向是相反的。例如:Flow0:Router->SW1->Hillstone-A->SW2,Flow1:SW2->Hillstone-B->SW1->Router),当有条路径出现故障时,两条路径可以合并为一条,又变为对称路由环境。
二、配置步骤
1.Hillstone-A
//接口、策略、路由、NAT配置
Hillstone-A(config)# interface ethernet0/1
Hillstone-A(config-if-eth0/1)# zone untrust
Hillstone-A(config-if-eth0/1)# ip address 100.1.1.1/24
Hillstone-A(config-if-eth0/1)#manage ping
Hillstone-A(config-if-eth0/1)# interface ethernet0/1:1
Hillstone-A(config-if-eth0/1:1)# zone untrust
Hillstone-A(config-if-eth0/1:1)#manage ping
Hillstone-A(config-if-eth0/1:1)# ip address 100.1.2.1/24
Hillstone-A(config-if-eth0/1:1)# interface ethernet0/2
Hillstone-A(config-if-eth0/2)# zone trust
Hillstone-A(config-if-eth0/2)# ip address 192.168.10.1/24
Hillstone-A(config-if-eth0/2)#manage ping
Hillstone-A(config-if-eth0/2)#manage ip 192.168.10.10 //配置Hillstone-A管理IP
Hillstone-A(config-if-eth0/2)# interface ethernet0/2:1
Hillstone-A(config-if-eth0/2:1)# zone trust
Hillstone-A(config-if-eth0/2:1)# ip address 192.168.20.1/24
Hillstone-A(config-if-eth0/2:1)#manage ping
Hillstone-A(config-if-eth0/2:1)# exit
Hillstone-A (config)# policy-global
Hillstone-A (config-policy)# rule from any to any service any permit
Hillstone-A(config)# ip vrouter trust-vr
Hillstone-A(config-vrouter)# ip route 0.0.0.0/0 100.1.1.2
Hillstone-A(config-vrouter)# ip route 0.0.0.0/0 100.1.2.2
Hillstone-A(config-vrouter)# snatrule from any to any service any eif ethernet0/1
trans-to eif-ip mode dynamicport
Hillstone-A(config-vrouter)# snatrule from any to any service any eif ethernet0/1:1
trans-to eif-ip mode dynamicport group 1
//Hillstone-A HA配置
Hillstone-A(config)# ha link interface ethernet0/0
Hillstone-A(config)# ha link ip 1.1.1.1/30
Hillstone-A(config)# ha group 0
Hillstone-A(config-ha-group)# priority 50
Hillstone-A(config-ha-group)# exit
Hillstone-A(config)# ha group 1
Hillstone-A(config-ha-group)# exit
Hillstone-A(config)# ha traffic enable
Hillstone-A(config)# ha traffic first-packet
Hillstone-A(config)# ha cluster 1 peer-mode node 0
Hillstone-A(M0D1)(config)#
2.Hillstone-B
//HilLstone-B HA配置
Hillstone-B(config)# ha link interface ethernet0/0
Hillstone-B(config)# ha link ip 1.1.1.2/30
Hillstone-B(config)# ha group 0
Hillstone-B(config-ha-group)# exit
Hillstone-B(config)# ha group 1
Hillstone-B(config-ha-group)# priority 50
Hillstone-B(config-ha-group)# exit
Hillstone-B(config)# ha traffic enable
Hillstone-B(config)# ha traffic first-packet
Hillstone-B(config)# ha cluster 1 peer-mode node 1
Hillstone-B(D0M1)(config)#
//peer-mode建立后在Hillstone-A配置Hillstone-B的管理地址
Hillstone-A(config-if-eth0/2)# interface ethernet0/2:1
Hillstone-A(config-if-eth0/2:1)#manage ip 192.168.20.20
总结
非对称环境下,需保持同向安全域一致。即 DOM1 设备接收到回程报文,校验入接口安全域是否与正向报文发出的安全域一致。
非对称环境下,DOM1 设备接收到回程报文,要保证生效路由确定的出接口与会话中对应接口保持一致,此时才会进行 session rematch,否则当前报文会被 drop 或者 D0M1 设备会进行会话的新建。
