ensp防火墙NAT配置、通过VRRP实现双机热备

实验拓扑

ensp防火墙NAT配置、通过VRRP实现双机热备_第1张图片防火墙NAT配置 

域间双转

当外网需要访问内网服务器时,可应用域间双向NAT

也就是 client2 访问 server1

安全策略:

ensp防火墙NAT配置、通过VRRP实现双机热备_第2张图片

 NAT策略:ensp防火墙NAT配置、通过VRRP实现双机热备_第3张图片

 测试:ensp防火墙NAT配置、通过VRRP实现双机热备_第4张图片

 抓包:ensp防火墙NAT配置、通过VRRP实现双机热备_第5张图片

域内双转

当同一安全域内不同网段间互相访问,可通过防火墙进行访问,也就是域内的NAT

NAT策略:

ensp防火墙NAT配置、通过VRRP实现双机热备_第6张图片

 安全策略:ensp防火墙NAT配置、通过VRRP实现双机热备_第7张图片

测试:

ensp防火墙NAT配置、通过VRRP实现双机热备_第8张图片抓包: ensp防火墙NAT配置、通过VRRP实现双机热备_第9张图片

 防火墙VRRP双机热备

1.配置防火墙之间的汇聚接口

进入防火墙web界面

新建一个汇聚接口,用于将两个防火墙互联(心跳接口)

然后创建一个HRP安全区域,并将该汇聚接口划入

ensp防火墙NAT配置、通过VRRP实现双机热备_第10张图片

 2.配置HRP的策略

源目区域需要多选,一个HRP(eth-truank),一个local(防火墙本地)

 该策略用于双机热备中传递Master和Backup之间的信息

ensp防火墙NAT配置、通过VRRP实现双机热备_第11张图片

3.配置VGMP、HRP 

HRP配置:

主防火墙与备用防火墙之间通过心跳接口eth-trunk来传递状态信息

开启主动抢占,用于热备变化时的主从切换

开启静态路由自动备份,开启后IPv4静态路由配置可以自动备份到对端设备(备用防火墙)

VGMP配置:

配置接口监控,用于监控接口状态,当接口状态发生变化时会自动切换主从关系

ensp防火墙NAT配置、通过VRRP实现双机热备_第12张图片

Virtual IP:

配置虚拟IP地址,使流量可以来到防火墙

PS:两台防火墙的Virtual IP应该一致

ensp防火墙NAT配置、通过VRRP实现双机热备_第13张图片

 配置后双机热备如下:ensp防火墙NAT配置、通过VRRP实现双机热备_第14张图片

你可能感兴趣的