请选择 进入手机版 | 继续访问电脑版

迪普科技技术论坛

 找回密码
 立即注册

关注我们 扫描二维码关注迪普官方微信 迪普新浪微博  迪普官网

最新动态 新闻动态  安全研究 最佳实践  加入迪普

DP 自安全园区网解决方案 DP 自安全分支机构解决方案 DP 自安全物联感知网解决方案

查看: 278|回复: 0

【常用小知识】普通双机配置

[复制链接]

46

主题

46

帖子

588

积分

高级会员

Rank: 4

积分
588
发表于 2020-3-31 02:06:17 | 显示全部楼层 |阅读模式
本帖最后由 nice 于 2020-4-13 08:39 编辑

某企业现有两台出口FW,先需求如下:两台FW做普通双机,内网用户均能上网也能访问服务器,服务器(192.168.30.100)需要对外提供PING和HTTP/HTTPS的服务


配置步骤
配置接口IP
进入【基本】-【接口管理】-【组网模式】页面,配置IP地址,点击确认提交




配置双机热备
进入【基本】-【高可靠性】-【双机热备】,启用双机热备,其他配置如下图所示,点击提交




配置接口状态同步组
进入【基本】-【高可靠性】-【接口状态同步组】页面,将内外网口加入到成员列表,点击提交


配置安全域
进入【基本】-【对象管理】-【安全域】页面,将外网口添加进Untrust域,将内网口和心跳口添加进Trust域,如下图所示


配置地址对象
进入【基本】-【对象管理】-【IP地址】页面,配置服务器的IP地址对象,如下图所示


配置静态路由
进入【基本】-【路由管理】-【IPV4 静态路由】,添加静态路由(出口路由网关由运营商提供),如图所示




配置包过滤
进入【业务】-【安全策略】-【IPV4包过滤】,添加一条放通外网到服务器的包过滤,Untrust到Trust,外网到服务器的PING、HTTP/HTTPS放通,如下图所示


配置源NAT
进入【业务】-【NAT配置】-【源NAT】页面,添加内网访问外网的源NAT策略,如下图所示


配置目的NAT
进入【业务】-【NAT配置】-【目的NAT】页面,配置对外映射服务器的策略,如下图所示

结果验证
外网均可以通过FW的公网地址访问内网服务器的PING、HTTP/HTTPS服务,内网用户均可以上网及访问服务器,down掉FW1业务口后,流量依旧能正常转发

说明:
   1、普通双机两台设备接口IP、路由等都不能同步,因此,制定普通双机环境下同步范围尽量与网络无关,只同步基本策略即可
   2、普通双机依靠其他协议做流量切换,主备关系只针对流量而言,即设备本身并不记录主备状态,且通常与VRRP配合使用,关于普通双机+VRRP配置指导,请点击此处




本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver|手机版|小黑屋|迪普科技 ( 浙ICP备09001402号-2 )

GMT+8, 2020-6-3 03:37 , Processed in 0.158737 second(s), 23 queries .

Powered by Discuz! X3.1

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表