H3C vManager开局指导书 - PDF Free Download

H3C 防火墙双机热备特性开局指导杭州华三通信技术有限公司 http://www.h3c.com.cn

声明 Copyright 2003-2012 杭州华三通信技术有限公司及其许可者版权所有, 保留一切权利未经本公司书面许可, 任何单位和个人不得擅自摘抄复制本书内容的部分或全部, 并不得以任何形式传播 H3C Aolynk H 3 Care TOP G IRF NetPilot Neocean NeoVTL SecPro SecPoint SecEngine SecPath Comware Secware Storware NQA VVG V 2 G V n G PSPT XGbus N-Bus TiGem InnoVision HUASAN 华三均为杭州华三通信技术有限公司的商标对于本手册中出现的其它公司的商标产品标识及商品名称, 由各自权利人拥有由于产品版本升级或其他原因, 本手册内容有可能变更 H3C 保留在没有任何通知或者提示的情况下对本手册的内容进行修改的权利本手册仅作为使用指导,H3C 尽全力在本手册中提供准确的信息, 但是 H3C 并不确保手册内容完全没有错误, 本手册中的所有陈述信息和建议也不构成任何明示或暗示的担保 i

目录声明... i 目录...ii 1 设备管理... 1-1 1.1 Console 方式管理... 1-1 1.2 Telnet 方式管理... 1-2 1.2.1 组网图 :... 1-3 1.2.2 配置步骤 :... 1-3 1.3 Web 方式管理... 1-3 1.3.1 组网图... 1-3 1.3.2 配置步骤... 1-4 2 主备模式双机热备配置举例... 2-4 2.1 组网需求... 2-4 2.2 配置步骤... 2-5 2.2.1 主防火墙的配置... 2-5 2.2.2 备防火墙的配置... 2-10 2.2.3 Switch A 的配置... 2-10 2.2.4 Switch B 的配置... 2-11 2.3 验证配置... 2-11 3 负载分担模式双机热备... 3-12 3.1 组网需求... 3-12 3.2 配置步骤... 3-13 3.2.1 主防火墙的配置... 3-13 3.2.2 备防火墙的配置... 3-17 3.2.3 Switch A 的配置... 3-17 3.2.4 Switch B 的配置... 3-18 3.3 验证配置... 3-18 ii

1 设备管理防火墙产品可以通过 CONSOLE 口登陆设备并通过命令行完成管理, 防火墙的绝大部分功能项都能通过命令行完成配置推荐使用命令行方式进行配置使用串口线连接防火墙 Console 口, 其串口参数与管理 H3C 主网络设备设置相同配置串口属性 1-1

<H3C>display version H3C Comware Platform Software Comware Software, Version 5.20, Release 3181P01 Copyright (c) 2004-2014 Hangzhou H3C Tech. Co., Ltd. All rights reserved. H3C SecPath F1000-E uptime is 2 weeks, 1 day, 23 hours, 50 minutes CPU type: RMI XLR732 1000MHz CPU 2048M bytes DDR2 SDRAM Memory 4M bytes Flash Memory 247M bytes CF0 Card PCB Version:Ver.B Logic Version: 1.0 Basic BootWare Version: 2.01 Extend BootWare Version: 2.01 [FIXED PORT] CON (Hardware)Ver.B, (Driver)1.0, (Cpld)2.0 [FIXED PORT] AUX (Hardware)Ver.B, (Driver)1.0, (Cpld)2.0 [FIXED PORT] GE0/0 (Hardware)Ver.B, (Driver)1.0, (Cpld)2.0 [FIXED PORT] GE0/1 (Hardware)Ver.B, (Driver)1.0, (Cpld)2.0 [FIXED PORT] GE0/2 (Hardware)Ver.B, (Driver)1.0, (Cpld)2.0 [FIXED PORT] GE0/3 (Hardware)Ver.B, (Driver)1.0, (Cpld)2.0 [SUBSLOT 1] The SubCard is not present [SUBSLOT 2] The SubCard is not present 通过 console 登陆设备开启 telnet 服务, 配置 telnet 用户 1-2

配置 telnet 用户名为 admin, 认证口令为 admin, 用户级别为 3 级 [AC] local-user admin [AC-luser-admin] service-type telnet [AC-luser-admin] authorization-attribute level 3 [AC-luser-admin] password simple admin 配置 VTY 的认证模式为 scheme [AC] user-interface vty 0 4 [AC-line-vty0-4] authentication-mode scheme 配置 PC 的 IP 地址, 并与防火墙互通, 使用 telnet 客户端就可以登陆防火墙并管理了防火墙出厂时已经设置默认的 Web 登录信息, 用户可以直接使用该默认信息登录防火墙的 Web 界面默认的 Web 登录信息包括 : 用户名 : admin 密码 : admin 设备的 IP 地址 : 192.168.0.100/24 1-3

采用 Web 方式登录防火墙的步骤如下 : (1) 为 PC 配置 IP 地址, 保证能与设备互通修改 IP 地址为 192.168.0.0/24, 例如 192.168.0.2 (2) 启动浏览器, 输入登录信息在 PC 上启动浏览器 ( 建议使用 IE5.0 及以上版本 ), 在地址栏中输入 IP 地址 192.168.0.1 后回车, 即可进入设备的 Web 登录页面, 输入用户名 admin 密码 admin, 单击 < 登录 > 按钮即可登录防火墙 2 主备模式双机热备配置举例 2.1 组网需求在防火墙透明模式双机热备组网中, 全网通过上下行交换机配置 MSTP 来选择防火墙转发路径主防火墙进行流量转发, 和备防火墙相连的交换机端口处于阻塞状态, 不转发流量当网络中主防火墙故障或与两台交换机相连的某一条线路故障时, 流量可以及时从主防火墙切换至备防火墙, 保证网络应用业务不中断平稳运行 2-4

图 1-1 主备模式双机热备组网图 Host C 101.0.0.5 Switch A GE1/0/27 GE1/0/28 Uplink VLAN 177 177.1.1.1 GE0/1 GE0/1 Firewall (Active) GE0/9 MSTP GE0/9 Firewall (Standby) Downlink VLAN 177 177.1.1.2 GE1/0/27 GE1/0/28 Switch B 100.0.0.5 Host A 2.2 配置步骤 2.2.1 主防火墙的配置请通过 Web 登录设备进行如下配置 : (1) 配置 VLAN 177 在左侧导航栏中选择网络管理 > VLAN > VLAN, 点击 < 新建 > 按钮, 添加如下 VLAN 图 1-1 添加 VLAN 点击 < 确定 > 按钮完成配置 (2) 配置接口 GigabitEthernet0/1 工作在二层模式 2-5

在左侧导航栏中选择设备管理 > 接口管理, 然后点击 GigabitEthernet0/1 对应的编辑按钮, 在工作模式处选择 : 二层模式, 最后点击 < 确定 > 按钮完成配置图 1-2 配置接口工作在二层模式采用相同方法, 接 GigabitEthernet0/9 接口工作在二层模式, 配置完成后单击 < 确定 > 按钮 (3) 将接口 GigabitEthernet0/1 和 GigabitEthernet0/9 添加到 VLAN 177 中在左侧导航栏中选择网络管理 > VLAN > VLAN, 进入 VLAN 配置页面 : 2-6

图 1-3 将接口加入 VLAN 点击红框标注的编辑按钮, 将 GigaibtEthernet0/1 和 GigaibtEthernet0/9 接口以 Untagged 方式以添加到 VLAN 177 图 1-4 GigaibtEthernet0/1 和 GigaibtEthernet0/9 以 Untagged 方式以添加到 VLAN 177 (4) 将接口 GigabitEthernet0/9 加入 Untrust; 接口 GigabitEthernet0/1 加入 Trust 在左侧导航栏中选择设备管理 > 安全域点击 Trust 域对应的编辑按钮, 将 GigabitEthernet 0/1 加入 Trust 域 2-7

图 1-5 配置安全区域点击 < 确定 > 按钮完成配置采用相同方法将 GigaibtEthernet0/9 加入 Untrust 域 (5) 在导航栏中选择高可靠性 > 双机热备, 使能双机热备功能, 并添加备份接口 GigaibtEthernet0/10 GigaibtEthernet0/11 2-8

图 1-6 使能双机热备并添加备份接口点击 < 确定 > 按钮完成配置 (6) 在导航栏中选择高可靠性 > 接口组联动, 将 GigaibtEthernet0/1 和 GigaibtEthernet0/9 加入到同一个接口联动组 2-9

图 1-7 配置接口联动组点击 < 确定 > 按钮完成配置 2.2.2 备防火墙的配置与主防火墙配置相同, 请参见主防火墙的配置 2.2.3 Switch A 的配置 stp enable stp region-configuration region-name h3c instance 1 vlan 177 active region-configuration interface GigabitEthernet1/0/27 port access vlan 177 interface GigabitEthernet1/0/28 port access vlan 177 2-10

interface GigabitEthernet1/0/32 port access vlan 178 interface Vlan-interface177 ip address 177.1.1.1 255.255.255.0 ip route-static 100.0.0.0 255.255.255.0 177.1.1.2 preference 60 2.2.4 Switch B 的配置 stp enable stp region-configuration region-name h3c instance 1 vlan 177 active region-configuration interface GigabitEthernet1/0/27 port access vlan 177 interface GigabitEthernet1/0/28 port access vlan 177 interface GigabitEthernet1/0/32 port access vlan 178 interface Vlan-interface177 ip address 177.1.1.2 255.255.255.0 ip route-static 101.0.0.0 255.255.255.0 177.1.1.1 2.3 验证配置上下行交换机 MSTP 协商稳定后, 流量由主防火墙转发 [SwitchA] display stp instance 1 brief 1 GigabitEthernet1/0/27 DESI FORWARDING NONE 1 GigabitEthernet1/0/28 DESI FORWARDING NONE [SwitchB] display stp instance 1 brief 1 GigabitEthernet1/0/27 ROOT FORWARDING NONE 1 GigabitEthernet1/0/28 ALTE DISCARDING NONE 在主防火墙上关闭接口 GigaibtEthernet0/1, 在不丢包或偶尔丢一个包的情况下, 流量切换到备防火墙转发 [SwitchA] display stp instance 1 brief 2-11

1 GigabitEthernet1/0/28 DESI FORWARDING NONE [SwitchB] display stp instance 1 brief 1 GigabitEthernet1/0/28 ROOT FORWARDING NONE 3 负载分担模式双机热备 3.1 组网需求在防火墙负载分担模式组网中, 防火墙部署为透明模式, 全网通过在上下行交换机配置 MSTP 来确定防火墙转发路径配置 MSTP 实例 1 关联 VLAN177,MSTP 实例 2 关联 VLAN179,VLAN177 的数据由主防火墙转发,VLAN179 的数据由备防火墙转发, 达到负载分担作用当网络中主防火墙故障或与两台交换机相连的某一条线路故障时, 流量可以及时从主防火墙切换至备防火墙, 保证网络应用业务不中断平稳运行图 1-8 负载分担模式双机热备组网图 Host C Host D VLAN 177 VLAN 179 101.0.0.5 201.0.0.5 Switch A GE1/0/27 GE1/0/28 Uplink GE0/1 GE0/1 Firewall (Active) GE0/9 MSTP GE0/9 Firewall (Standby) Downlink GE1/0/27 GE1/0/28 Switch B 100.0.0.5 200.0.0.5 Host A Host B VLAN 177 VLAN 179 3-12

3.2 配置步骤 3.2.1 主防火墙的配置请通过 Web 登录设备进行如下配置 : (1) 配置 VLAN 177,179 在左侧导航栏中选择网络管理 > VLAN > VLAN, 点击 < 新建 > 按钮, 添加如下 VLAN 图 1-9 添加 VLAN 点击 < 确定 > 按钮完成配置 (2) 配置接口 GigaibtEthernet0/1 接口工作在二层模式在左侧导航栏中选择设备管理 > 接口管理, 然后点击 GigabitEthernet0/1 对应的编辑按钮, 在工作模式处选择 : 二层模式, 最后点击 < 确定 > 完成配置 3-13

图 1-10 配置接口工作在二层模式采用相同方法, 接 GigabitEthernet0/9 接口工作在二层模式, 配置完成后单击 < 确定 > 按钮 (3) 配置接口所属的 VLAN 在左侧导航栏中选择网络管理 > VLAN > VLAN, 进入 VLAN 配置页面图 1-11 将接口加入 VLAN (4) 将接口 GigaibtEthernet0/9 加入 Untrust; 接口 GigaibtEthernet0/1 加入 Trust 3-14

在左侧导航栏中选择设备管理 > 安全域点击 Trust 域对应的编辑按钮, 将 GigabitEthernet 0/1 加入 Trust 域图 1-12 配置安全区域点击 < 确定 > 按钮完成配置采用相同方法将 GigaibtEthernet0/9 加入 Untrust 域 3-15

(5) 在导航栏中选择高可靠性 > 双机热备, 使能双机热备, 并添加备份接口 GigaibtEthernet0/10 GigaibtEthernet0/11; 图 1-13 使能双机热备并添加备份接口点击 < 确定 > 按钮完成配置 (6) 在导航栏中选择高可靠性 > 接口组联动, 将 GigaibtEthernet0/1 和 GigaibtEthernet0/9 加入到同一个接口联动组 3-16

图 1-14 配置接口联动组点击 < 确定 > 按钮完成配置 3.2.2 备防火墙的配置与主防火墙配置相同, 请参见主防火墙的配置 3.2.3 Switch A 的配置 stp enable stp region-configuration region-name h3c instance 1 vlan 177 instance 2 vlan 179 active region-configuration interface GigabitEthernet1/0/27 port link-type trunk port trunk permit vlan 1 177 179 interface GigabitEthernet1/0/28 stp instance 2 port priority 0 3-17

port link-type trunk port trunk permit vlan 1 177 179 interface Vlan-interface177 ip address 177.1.1.1 255.255.255.0 interface Vlan-interface179 ip address 179.1.1.1 255.255.255.0 ip route-static 100.0.0.0 255.255.255.0 177.1.1.2 preference 60 ip route-static 200.0.0.0 255.255.255.0 179.1.1.2 preference 60 3.2.4 Switch B 的配置 stp enable stp region-configuration region-name h3c instance 1 vlan 177 instance 2 vlan 179 active region-configuration interface GigabitEthernet1/0/27 port link-type trunk port trunk permit vlan 1 177 179 interface GigabitEthernet1/0/28 port link-type trunk port trunk permit vlan 1 177 179 stp instance 2 port priority 0 interface GigabitEthernet1/0/29 port access vlan 178 interface GigabitEthernet1/0/30 port access vlan 177 interface Vlan-interface177 ip address 177.1.1.2 255.255.255.0 interface Vlan-interface179 ip address 179.1.1.2 255.255.255.0 ip route-static 101.0.0.0 255.255.255.0 177.1.1.1 ip route-static 201.0.0.0 255.255.255.0 179.1.1.1 3.3 验证配置上下行交换机 MSTP 协商稳定后,VLAN177 的流量从主防火墙转发,VLAN179 的流量从备防火墙转发 3-18

<SwitchA> display stp instance 1 brief 1 GigabitEthernet1/0/27 DESI FORWARDING NONE 1 GigabitEthernet1/0/28 DESI FORWARDING NONE (*) means port in aggregation group <SwitchA> display stp instance 2 brief 2 GigabitEthernet1/0/27 DESI FORWARDING NONE 2 GigabitEthernet1/0/28 DESI FORWARDING NONE (*) means port in aggregation group <SwitchB> display stp instance 1 brief 1 GigabitEthernet1/0/27 ROOT FORWARDING NONE 1 GigabitEthernet1/0/28 ALTE DISCARDING NONE <SwitchB> display stp instance 2 brief 2 GigabitEthernet1/0/27 ALTE DISCARDING NONE 2 GigabitEthernet1/0/28 ROOT FORWARDING NONE 在主防火墙上关闭接口 GigaibtEthernet0/1, 在不丢包或偶尔丢一个包的情况下, 流量全部切换到备防火墙转发 [SwitchA] display stp instance 1 brief 1 GigabitEthernet1/0/28 DESI FORWARDING NONE [SwitchA] display stp instance 2 brief 2 GigabitEthernet1/0/28 DESI FORWARDING NONE [SwitchB] display stp instance 1 brief 1 GigabitEthernet1/0/28 ROOT FORWARDING NONE [SwitchB] display stp instance 2 brief 2 GigabitEthernet1/0/28 ROOT FORWARDING NONE 3-19