最近收到一個新的項目，雙路由器、雙防火墻、雙交換機實現(xiàn)全網(wǎng)互通

因?qū)嶋H項目采用全Cisco 設(shè)備，故這次展示及命令為Cisco，華為也嘗試過也能完全實現(xiàn)，若有需求我會在發(fā)一份華為的配置

在EVE上模擬整個項目:

網(wǎng)絡(luò)拓撲圖如下：Cisco

華為拓撲圖如下：（ENSP大家都可以自己搭建來玩玩）

這篇文章我們僅對Cisco設(shè)備進行描述，ok我們開始進入正題

================================================================================================

首先，因為EVE沒辦法模擬VSS故我們用一臺交換機來替代，VPC1代表DB-ZONE、VPC2代表APP-ZONE

VPC1:172.16.10.1 24/172.16.10.254

VPC2:172.16.20.1 24/172.16.20.254

交換機作為2層交換機，防火墻做單臂路由，因為客戶要實現(xiàn)APP和DB放在不同的DMZ區(qū)進行隔離

-------------------------------------------------------------------------------------------------------------------------------------------------------------------------

開始配置：

VPC1：

ip 172.16.10.1 255.255.255.0 172.16.10.254?

save

VPC2:

ip 172.16.20.1 255.255.255.0 172.16.20.254

save

交換機配置

en

config t

hostname VSS

vlan 10

vlan20

int vlan 10

ip add 172.16.10.2 255.255.255.0

int vlan 20

ip add 172.16.20.2 255.255.255.0

interface GigabitEthernet0/0
?switchport trunk encapsulation dot1q
?switchport mode trunk
?negotiation auto
interface GigabitEthernet0/1
?switchport trunk encapsulation dot1q
?switchport mode trunk
?negotiation auto
interface GigabitEthernet0/2
?switchport access vlan 10
?switchport mode access
?negotiation auto
interface GigabitEthernet0/3
?switchport access vlan 20
?switchport mode access
?negotiation auto

ok重點開始了 防火墻配置 OSPF，failover，單臂路由

ASA-A（主防火墻）

先配置單臂接口和其他子接口：

interface Ethernet0
?nameif DMZ
?security-level 50
?ip address 172.16.30.1 255.255.255.0 standby 172.16.30.2?
interface Ethernet1
?no nameif ? ?
?no security-level
?no ip address
interface Ethernet1.10
?vlan 10
?nameif DB
?security-level 100
?ip address 172.16.10.254 255.255.255.0?
interface Ethernet1.20
?vlan 20
?nameif APP
?security-level 100
?ip address 172.16.20.254 255.255.255.0?
interface Ethernet2
?description STATE Failover Interface? ? （同步會話）
interface Ethernet3
?description LAN Failover Interface? ? ? （同步配置）

端口配置完成后 我們開始放行流量為了 保證全部驗證通過 先permit any any

same-security-traffic permit inter-interface---------------------（同安全級別的子接口互訪）
access-list acl_DB extended permit ip any any?
access-list acl_DB extended permit icmp any any?
access-list acl_APP extended permit icmp any any?
access-list acl_APP extended permit ip any any?
access-list acl_DMZ extended permit ip any any?
access-list acl_DMZ extended permit icmp any any

access-group acl_DMZ in interface DMZ
access-group acl_DB in interface DB
access-group acl_APP in interface APP

全部放通以后，一定要先測試是否能通到172.16.10.254 和20.254 以及DB和APP是否能能夠互通

如圖：

然后配置雙機熱備：

failover
failover lan unit primary ------------------------------------------------設(shè)置為主
failover lan interface HA Ethernet3----------------------------------設(shè)置failover的接口，此接口用來檢測心跳和同步配置
failover link stateful Ethernet2----------------------------------------設(shè)置名稱
failover interface ip HA 1.1.1.1 255.255.255.0 standby 1.1.1.2---設(shè)置failover主備地址
failover interface ip stateful 2.1.1.1 255.255.255.0 standby 2.1.1.2-設(shè)置failover link主備地址

主防火墻這里就全部配置完成這里為了偷懶 我起了OSPF配置如下：

router ospf 100
network 172.16.10.0 255.255.255.0 area 0
network 172.16.20.0 255.255.255.0 area 0
network 172.16.30.0 255.255.255.0 area 0
log-adj-changes
default-information originate ----------------------------下發(fā)缺省

主防火墻到這里就全部配置完成、我們開始配置備防火墻

interface eth3
no shutdown
failover lan unit secondary
failover lan interface ha eth3
failover interface ip ha 1.1.1.1 255.255.255.0 standby 1.1.1.2
failover

這樣我們就配置完成，后續(xù)的所有配置都會自動同步到備上，

ok我們開始配置路由器，主要配置的技術(shù)有nat，ospf、HSRP

同理我們先配置端口，這里就不寫上去了

配置ospf：

router ospf 100
?network 172.16.30.0 0.0.0.255 area 0
?network 192.168.10.0 0.0.0.255 area 0
?default-information originate

然后我們配置HSRP

interface GigabitEthernet0/3
?ip address 172.16.30.3 255.255.255.0
?ip nat inside? ? ----------------------這里先寫了 用于nat
?ip virtual-reassembly in
?standby 10 ip 172.16.30.254? ? ? ----vip
?standby 10 priority 101--------------優(yōu)先級
?standby 10 preempt-----------------開啟搶占模式
?standby 10 track 10 decrement 10----鏈路檢測機制

track 10 interface GigabitEthernet0/0 line-protocol-----先定義track

nat：

access-list 10 permit 172.16.30.0 0.0.0.255
access-list 10 permit 172.16.10.0 0.0.0.255
access-list 10 permit 172.16.20.0 0.0.0.255-----------------先設(shè)置規(guī)則

ip nat inside source list 10 interface GigabitEthernet0/0 overload
ip route 0.0.0.0 0.0.0.0 202.106.1.1?

自從 我們整個網(wǎng)絡(luò)就全部完成啦，備的配置請查考主路由器。

測試：

測試主防火墻shutdown

完成整個實驗。

后續(xù)如果有需要華為的配置人多的話，我也會整理一份出來。

?

?

?

?

?

總結(jié)

以上是生活随笔為你收集整理的Cisco 实现路由防火墙 双机热备（项目记录）的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。