应用场景:
推荐配置:双防火墙卡工作在同一个交换机上(包括VSU),可以工作在透明或路由模式。
FW AA部署
防火墙板卡RGOS 10.3(4b6)p2版本,AA模式配置逻辑图:
1、对交换机和FW卡的内联口进行初始化配置,并对VSU负载均衡方式提前做调整。
交换机和每张FW卡有两个万兆内联口
Ruijie(config)#vlan 4093 ----->创建FW之间进行心跳报文传输的VLAN
Ruijie(config-vlan)#exit
Ruijie(config)#vlan 4094 ----->预留
Ruijie(config-vlan)#exit
Ruijie(config)#interface range tenGigabitEthernet 1/6/1,2/6/1 ----->根据防火墙卡的安装槽位,交换机将在该槽位识别到2个万兆口
Ruijie(config-if-range)#port-group 127 ----->将2个接口捆绑为链路聚合口,这里指定为127号,注意此时为跨交换机聚合和HA模式存在区别。
Ruijie(config-if-range)#exit
Ruijie(config)#int aggregateport 127 ----->进入该接口配置为Trunk
Ruijie(config-if-AggregatePort 127)#switchport mode trunk ----->必须将该聚合口配置为Trunk
Ruijie(config-if-AggregatePort 127)#switchport trunk native vlan 4094 ----->由于Trunk的NativeVLAN输出的报文为Untag,防火墙无法处理
为了让常用的VLAN1能够通信,建议修改NativeVLAN为4094
Ruijie(config-if-AggregatePort 127)#carrier-delay 0 ----->优化配置,有利于交换机快速检测端口DOWN
Ruijie(config-if-AggregatePort 127)#exit
Ruijie(config)#interface range tenGigabitEthernet 1/6/2,2/6/2, ----->配置另外两个用户传输HA心跳及管理VLAN的端口
Ruijie(config-if-range)#switchport mode trunk
Ruijie(config-if-range)#switchport trunk native vlan 4094
Ruijie(config-if-range)#mls qos trust dscp
Ruijie(config-if-range)#carrier-delay 0
Ruijie(config-if-range)#exit
在核心交换机上创建FW卡的管理VLAN
Ruijie(config)#vlan 4092
Ruijie(config)#interface vlan 4092
Ruijie(config-if)#ip address 172.18.10.1 255.255.255.0
Ruijie(config)#interface gi 1/4/10
Ruijie(config-if)#switchport access vlan 4092 ----->预留端口届时给FW卡进行TFTP升级
Ruijie(config-if)#exit
Ruijie(config)#switch virtual domain 1 ----->如果是非VSU环境如下配置可以省略
Ruijie(config-vs-domain)# no switch virtual agg lff enable ----->使流量能够均衡的发送给两张FW进行处理,调整完毕后,大量流量会走VSL链路转发,要求VSL链路可靠性要求高,建议采用2-4条VSL链路。
Ruijie(config-vs-domain)#exit
Ruijie(config)# aggregateport load-balance src-dst-ip ----->使流量能够更均衡的发送给两张FW进行处理
2、 对FW卡进行初始化配置
可在交换机上通过Session命令登录到防火墙命令行界面(推荐)
也可以用PC COM口连接到防火墙卡面板的Console接口配置
FW1:
Ruijie# session device 1 slot 6 ----->在交换机上,执行命令登录VSU主机1的6号槽位,如果是FW2则是device 2 slot 6
Firewall#config terminal
配置方法参考:典型功能配置--防火墙基本配置--基础配置脚本,将FW1配置管理地址172.18.10.116。
命令脚本:
config terminal
hostname FW1
enable service web-server http
enable service web-server https
enable service ssh-server
ip http authentication local
ip http port 80
service password-encryption
username admin password admin
username admin privilege 15
line vty 0 4
login local
exit
interface Vlan 4092
ip address 172.18.10.116 255.255.255.0
ip route 0.0.0.0 0.0.0.0 172.18.10.1
clock timezone Beijing +8
ntp server 192.43.244.18
ntp update-calendar
end
config ter
logging file flash:syslog 7
logging file flash:syslog 131072
logging buffered 131072
logging userinfo
service sysname
service sequence-numbers
service timestamps
firewall default-policy-permit
end
wr
FW2:
Ruijie# session device 2 slot 6 ----->在交换机上,执行命令登录VSU从机2的6号槽位,如果是FW1则是device 1 slot 6
Firewall#config terminal
配置方法参考:典型功能配置--防火墙基本配置--基础配置脚本,将FW2配置管理地址172.18.10.118。
命令脚本:
config terminal
hostname FW2
enable service web-server http
enable service web-server https
enable service ssh-server
ip http authentication local
ip http port 80
service password-encryption
username admin password admin
username admin privilege 15
line vty 0 4
login local
exit
interface Vlan 4092
ip address 172.18.10.118 255.255.255.0
ip route 0.0.0.0 0.0.0.0 172.18.10.1
clock timezone Beijing +8
ntp server 192.43.244.18
ntp update-calendar
end
config ter
logging file flash:syslog 7
logging file flash:syslog 131072
logging buffered 131072
logging userinfo
service sysname
service sequence-numbers
service timestamps
firewall default-policy-permit
end
wr
3、分别 对两张FW卡进行版本确认和升级
防火墙卡软件由两部分组成,1.交换背板软件 2.防火墙软件,交换背板软件同S86/S12K线卡一样在插入机箱后由交换机管理板动态分发更新,无需人工干预,防火墙卡软件升级主要指的是防火墙软件。
FW卡经过上述步骤后,即可和交换机互相ping通,通过交换机的路由可和装有TFTP服务器软件的PC连通。(例如PC可连接在交换机的VLAN 4092中,预留的Gi1/4/10口)
软件版本选择:
升级方法参考:日常维护--软件版本升级--运行模式下升级
4、配置FW卡AA,和HA模式的主要差异是保持心跳VLAN的同时,新增了管理VLAN的HA。
因为两张FW均需要进行独立管理,防火墙转发属于AA,管理面还是HA。
FW1:
FW1# config terminal
FW1(config)# firewall default-policy-permit
----->防火墙接口下没有应用ACL时或配置的ACL在最后没有Permit any则默认会丢弃所有包,配置以上命令可修改为默认转发所有包
FW1(config)# interface Vlan 4093 ----->1. 创建AA心跳检测通信的VLAN接口
FW1(config-if-Vlan 4093)#exit
FW1(config)# failover interface ip 200.200.200.1 255.255.255.252 secondary 200.200.200.2
----->2.配置AA通信的主用卡IP,备用卡IP
FW1(config)# failover lan interface Vlan 4093 ----->3.指定AA通信的VLAN接口
FW1(config)# failover lan unit primary ----->4.指定AA角色,管理面主设备
FW1(config)# interface Vlan 4092 ----->5. 创建管理VLAN的VLAN接口
FW1(config-if-Vlan 4092)#no ip address ----->6. 删除之前临时为FW分配的管理地址(供升级或管理使用)
FW1(config-if-Vlan 4092)#exit
FW1(config)#failover mode aa-forward ------>7.指定AA转发模式
FW1(config)#failover lan manage interface vlan 4092 ----->8. 指定管理VLAN为4092
FW1(config)#failover manage interface ip 172.18.10.116 255.255.255.0 standby 172.18.10.114
----->9. 指定两张防火墙的管理IP地址对,AA完成后,此为FW的管理地址
FW1(config)# failover ----->10.启动AA
FW1(config)# end
FW1# write ----->11.保存配置
命令脚本:
config terminal
interface Vlan 4093
exit
failover interface ip 200.200.200.1 255.255.255.252 secondary 200.200.200.2
failover lan interface Vlan 4093
failover lan unit primary
interface Vlan 4092
no ip address
exit
failover mode aa-forward
failover lan manage interface vlan 4092
failover manage interface ip 172.18.10.116 255.255.255.0 standby 172.18.10.114
failover
end
write
FW2:
FW2# config terminal
FW2(config)# firewall default-policy-permit
----->防火墙接口下没有应用ACL时或配置的ACL在最后没有Permit any则默认会丢弃所有包,配置以上命令可修改为默认转发所有包
FW2(config)# interface Vlan 4093 ----->1. 创建AA心跳检测通信的VLAN接口
FW2(config-if-Vlan 4093)#exit
FW2(config)# failover interface ip 200.200.200.1 255.255.255.252 secondary 200.200.200.2
----->2.配置AA通信的主用卡IP,备用卡IP
FW2(config)# failover lan interface Vlan 4093 ----->3.指定AA通信的VLAN接口
FW2(config)# failover lan unit secondary ----->4.指定AA角色,管理面备份角色
FW2(config)# interface Vlan 4092 ----->5. 创建管理VLAN的VLAN接口
FW2(config-if-Vlan 4092)#no ip address ----->6. 删除之前临时为FW分配的管理地址(供升级或管理使用)
FW2(config-if-Vlan 4092)#exit
FW2l(config)#failover mode aa-forward ------>7.指定AA转发模式
FW2(config)#failover lan manage interface vlan 4092 ----->8. 指定管理VLAN为4092
FW2(config)#failover manage interface ip 172.18.10.116 255.255.255.0 standby 172.18.10.114
----->9. 指定两张防火墙的管理IP地址对,AA完成后,此为FW的管理地址
FW2(config)# failover ----->10.启动AA
FW2(config)# end
FW2# write ----->11.保存配置
FW2#reload ----->12.备用卡保存配置,Reload重启,等待AA完成协商
Processed with reload? [no]yes
命令脚本:
config terminal
interface Vlan 4093
exit
failover interface ip 200.200.200.1 255.255.255.252 secondary 200.200.200.2
failover lan interface Vlan 4093
failover lan unit secondary
interface Vlan 4092
no ip address
exit
failover mode aa-forward
failover lan manage interface vlan 4092
failover manage interface ip 172.18.10.116 255.255.255.0 standby 172.18.10.114
failover
end
write
完成以上配置后,FW2重启即可建立完成AA,检查AA状态
在FW2上执行:
Firewall#ping 200.200.200.1 ----->13.检查心跳VLAN IP通信是否OK
Sending 5, 100-byte ICMP Echoes to 200.200.200.2, timeout is 2 seconds:
< press Ctrl+C to break >
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms
Firewall#ping 172.18.10.116 ----->14.检查管理VLAN IP通信是否OK
Sending 5, 100-byte ICMP Echoes to 172.18.10.159 , timeout is 2 seconds:
< press Ctrl+C to break >
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms
FW1:
FW1 #show failover
Failover On
Failover mode:AA-Forward
Failover create time:2013-1-16 11:00:01
Last switch: 2013-1-16 12:00:34
This host:
Primary – Failover Active
Other host:
Secondary – Standby ready
FW2:
FW1#show failover //建议AA模式后,备防火墙卡的设备命名会变成主设备的命名,而且不能对备防火墙卡进行配置
Failover On
Failover mode:AA-Forward
Failover create time:2013-1-16 11:00:01
Last switch: 2013-1-16 12:00:34
This host:
Secondary -- Standby ready
Other host:
Primary -- Failover active
5、在主FW卡配置VLAN桥接,备份卡无须配置,配置会在保存时进行同步
AA模式下,虽然两块防火墙卡同时转发数据,从逻辑上依然可以理解其为一台大的FW,两个FW只是其中的组件而已,这样可以便于理解。
办公区域的流量进入核心VSU时,端口设置为ACCESS VLAN 99,被发送至防火墙进行VLAN ID的转换。报文被封装VLAN1099 VID从防火墙发出至核心,核心交换机上创建SVI 1099,通过以上设计从而实现将流量引入防火墙。
5750E上联AG1 推荐配置为路由口,避免二层报文被扩撒到核心。
交换机上的配置参考VSU+FW--->核心交换机配置--->聚合口配置部分
提示:交换机和FW的内联口需要进行TRUNK裁减的工作,只允许FW管理VLAN、心跳VLAN、桥组前后的VLAN通过。
FW配置:
Firewall(config)#interface vlan 99 ----->创建VLAN接口
Firewall(config-if-Vlan 99)#bridge-group 99 ----->将原始和转换后的VLAN划入同一个桥组
Firewall(config-if-Vlan 99)#interface vlan 1099 ----->创建转换VLAN, 建议在原始VLAN编号上加1000,容易关联和区分
Firewall(config-if-Vlan 1099)# bridge-group 99 ----->加入桥组
Firewall(config-if-Vlan 1099)#exit
Firewall(config)#end
Firewall#wr ----->配置会同步到管理面备份的防火墙
6、测试FW配置完成后,经过FW卡VLAN转换的报文连通性
如上图示,可测试汇聚设备5750E L3 AP 172.16.1.9 和核心交换机上SVI 1099的连通性,并观察OSPF邻居是否可正常建立。
核心交换机
Ruijie#ping 172.16.1.9 -----> 检查报文经过防火墙卡转换后, IP通信是否OK
Sending 5, 100-byte ICMP Echoes to 172.16.1.9, timeout is 2 seconds:
< press Ctrl+C to break >
!!!!!
提示:
为了排查FW配置问题导致无法连通,可以将连接对端的AG口直接划分到VLAN1099中,则报文不会经过FW处理,通过排除法来快速定位。
验证方法:
在设备组件成AA模式后,只能通过主设备的管理地址进行web访问和管理,备设备的管理地址通过web可以访问但是不能配置。
登录设备后查看热备状态:
主防火墙设备:
备防火墙设备:
