zhiliao_Gixe
四段
1. 模式选择
建议使用双主透明模式。IRF透明模式要求防火墙自身也进行IRF堆叠,这会改变原有网络结构(需将防火墙直连做堆叠线缆),不符合“不改变原有设备结构”的要求。双主透明模式(即独立双机热备)对网络拓扑改动最小。
2. 双主透明模式关键配置
假设防火墙A、B,上下行接口分别为G1/0/1(对汇聚)、G1/0/2(对核心),VLAN 10为业务VLAN。
基础配置(两台防火墙独立配置,VLAN等需一致)
sysname FW_A
vlan 10
interface GigabitEthernet1/0/1
port link-mode bridge
port access vlan 10
interface GigabitEthernet1/0/2
port link-mode bridge
port access vlan 10
配置双机热备
hrp enable
hrp interface GigabitEthernet1/0/3 remote 192.168.0.2 # 假设此接口专用于心跳线,对端IP为FW_B的地址
hrp mirror session enable # 启用会话镜像
配置Active/Standby状态及抢占(在FW_A上配置,FW_B配置对等)
hrp adjust ospf-cost # 热备通过调整OSPF Cost值进行主备选举
interface GigabitEthernet1/0/1
hrp track active # 此接口所在设备倾向于成为Active
interface GigabitEthernet1/0/2
hrp track active
hrp preempt # 启用抢占模式
安全策略(需在Active设备上配置,会自动同步)
security-zone name Trust
security-zone name Untrust
zone-pair security source Trust destination Untrust
packet-filter default permit
关键点说明:
心跳线:需单独用物理接口(如G1/0/3)直连两台防火墙,并配置IP地址。
VRRP/OSPF调整:双主透明模式下,防火墙通过HRP调整上下行OSPF接口的Cost值来引导流量。主设备接口Cost值较小,流量从主设备通过。
配置同步:HRP会自动同步安全策略、对象组等配置,但接口IP、路由等基础网络配置需手工保持一致。
实施前务必备份原有设备配置。 部署时需详细规划心跳线地址、OSPF Cost调整值,并测试切换功能。
建议使用双主透明模式。IRF透明模式要求防火墙自身也进行IRF堆叠,这会改变原有网络结构(需将防火墙直连做堆叠线缆),不符合“不改变原有设备结构”的要求。双主透明模式(即独立双机热备)对网络拓扑改动最小。
2. 双主透明模式关键配置
假设防火墙A、B,上下行接口分别为G1/0/1(对汇聚)、G1/0/2(对核心),VLAN 10为业务VLAN。
基础配置(两台防火墙独立配置,VLAN等需一致)
sysname FW_A
vlan 10
interface GigabitEthernet1/0/1
port link-mode bridge
port access vlan 10
interface GigabitEthernet1/0/2
port link-mode bridge
port access vlan 10
配置双机热备
hrp enable
hrp interface GigabitEthernet1/0/3 remote 192.168.0.2 # 假设此接口专用于心跳线,对端IP为FW_B的地址
hrp mirror session enable # 启用会话镜像
配置Active/Standby状态及抢占(在FW_A上配置,FW_B配置对等)
hrp adjust ospf-cost # 热备通过调整OSPF Cost值进行主备选举
interface GigabitEthernet1/0/1
hrp track active # 此接口所在设备倾向于成为Active
interface GigabitEthernet1/0/2
hrp track active
hrp preempt # 启用抢占模式
安全策略(需在Active设备上配置,会自动同步)
security-zone name Trust
security-zone name Untrust
zone-pair security source Trust destination Untrust
packet-filter default permit
关键点说明:
心跳线:需单独用物理接口(如G1/0/3)直连两台防火墙,并配置IP地址。
VRRP/OSPF调整:双主透明模式下,防火墙通过HRP调整上下行OSPF接口的Cost值来引导流量。主设备接口Cost值较小,流量从主设备通过。
配置同步:HRP会自动同步安全策略、对象组等配置,但接口IP、路由等基础网络配置需手工保持一致。
实施前务必备份原有设备配置。 部署时需详细规划心跳线地址、OSPF Cost调整值,并测试切换功能。
在你的这个网络架构中,串联部署两台防火墙时,H3C官方当前主推的RBM双主透明模式,是比传统IRF更优的方案。
RBM双主透明模式配置案例
根据你的需求,核心和汇聚之间的三层聚合+OSPF点对点配置不需改动。两台防火墙以二层透明模式(即桥接模式)串联于两者之间,流量的出入路径都保持不变。
1. 基础接口与VLAN配置
创建VLAN:在防火墙上创建一个专用VLAN用于二层透传业务流量。
[DeviceA] vlan 100 [DeviceA-vlan100] quit# 创建VLAN 100配置业务接口:将与核心和汇聚交换机相连的物理口配置为二层口并允许VLAN 100通过。
[DeviceA] interface GigabitEthernet 1/0/1# 配置连接核心交换机的接口 (假设为G1/0/1)
[DeviceA-GigabitEthernet1/0/1] port link-mode bridge
[DeviceA-GigabitEthernet1/0/1] port access vlan 100
[DeviceA-GigabitEthernet1/0/1] quit
# 配置连接汇聚交换机的接口 (假设为G1/0/2)
[DeviceA] interface GigabitEthernet 1/0/2
[DeviceA-GigabitEthernet1/0/2] port link-mode bridge
[DeviceA-GigabitEthernet1/0/2] port access vlan 100
[DeviceA-GigabitEthernet1/0/2] quit
注意:如果交换机侧接口是Trunk模式,这里也需用port link-type trunk和port trunk permit vlan 100替代Access相关命令。配置安全域:将上下行业务接口加入安全域,并创建安全策略放行流量。RBM双主模式下,默认会同步安全策略,只需在主设备上配置一次即可。
[DeviceA] security-zone name trust# 将接口加入安全域
[DeviceA-security-zone-Trust] import interface GigabitEthernet 1/0/2 vlan 100
[DeviceA-security-zone-Trust] quit
[DeviceA] security-zone name untrust
[DeviceA-security-zone-Untrust] import interface GigabitEthernet 1/0/1 vlan 100
[DeviceA-security-zone-Untrust] quit
# 创建安全策略放行Trust到Untrust的流量
[DeviceA] security-policy
[DeviceA-security-policy] rule name trust_to_untrust
[DeviceA-security-policy-rule-trust_to_untrust] source-zone trust
[DeviceA-security-policy-rule-trust_to_untrust] destination-zone untrust
[DeviceA-security-policy-rule-trust_to_untrust] action pass
[DeviceA-security-policy-rule-trust_to_untrust] quit
[DeviceA-security-policy] quit
2. RBM双主HA配置
配置HA通道:指定一个独立的物理口(如G1/0/3)作为RBM的心跳接口,用于两台防火墙同步会话表等关键状态信息。
[DeviceA-remote-backup-group] remote-ip 192.168.1.2 # 对端设备的HA IP[DeviceA] remote-backup group
[DeviceA-remote-backup-group] local-ip 192.168.1.1 # 本端设备的HA IP
[DeviceA-remote-backup-group] backup-mode dual-active # 指定为双主模式
[DeviceA-remote-backup-group] quit
注意:对端设备(DeviceB)上也要进行配置,IP地址需要相应调整。配置接口心跳:将上下行业务接口(G1/0/1, G1/0/2)关联到RBM组中,以实现链路状态的同步监控。
3. 关键配置:上下行链路聚合
这是保障冗余与带宽的关键,也是RBM双主模式与传统IRF的最大区别。你的核心和汇聚交换机是两组独立的IRF堆叠系统,因此需要分别创建两个独立的聚合口。
核心交换机侧(假设为Bridge-Aggregation 10):
# 创建二层聚合口
[Core-Bridge-Aggregation10] port link-type trunk
[Core-Bridge-Aggregation10] port trunk permit vlan 100
[Core-Bridge-Aggregation10] link-aggregation mode dynamic
[Core-Bridge-Aggregation10] quit
# 将物理口加入聚合组
[Core] interface GigabitEthernet 1/0/1
[Core-GigabitEthernet1/0/1] port link-aggregation group 10
汇聚交换机侧(假设为Bridge-Aggregation 20):配置与核心交换机侧类似,将连接两台防火墙的两个物理口加入同一个聚合口。
暂无评论
一、方案选型结论
选:防火墙 双主透明模式(RBM 主备 / 双主透明),绝对不要用防火墙 IRF
原因对你的场景非常关键:
- 你现有网络是 核心 IRF + 汇聚 IRF + 三层聚合 + OSPF
- 防火墙如果串在中间,必须透明模式,才能不改动原有三层架构、IP、路由
- 防火墙 IRF 本质是虚拟化一台,对二层透传、BFD、OSPF、LACP 兼容性不如 RBM 双主透明稳定
- RBM 双主透明可以做到:
- 不改变原有任何 IP、VLAN、路由、聚合
- 流量双线并行,链路故障秒级切换
- 对上下网交换机完全 “看不见” 防火墙(像一根网线)
二、架构说明(不改动原网络)
plaintext
汇聚IRF ——(三层聚合 LACP+OSPF)——
|
防火墙(透明双主)
|
核心IRF ——(三层聚合 LACP+OSPF)——
- 防火墙不设 IP、不参与路由、不修改网关
- 上下联均为 Trunk 二层透明透传
- 原 OSPF、LACP、三层聚合 完全不变
- 防火墙只做安全策略过滤
三、H3C 防火墙 双主透明模式(RBM)完整配置案例
以 F1000 / F5000 系列为例,直接复制可用。
1. 基础配置(两台防火墙一致)
plaintext
# 关闭HTTP,开启SSH
ip http shutdown
ip ssh server enable
# 定义管理VLAN(可选,不影响业务透传)
vlan 4000
# 透明模式全局开启
ip redirect enable
ip fast-forwarding enable
2. 接口配置(关键:二层透明透传)
上联口(接核心 IRF)
plaintext
interface GigabitEthernet1/0/1
port link-mode bridge
port access vlan 4000
port link-type trunk
port trunk permit vlan all
stp disable
下联口(接汇聚 IRF)
plaintext
interface GigabitEthernet1/0/2
port link-mode bridge
port access vlan 4000
port link-type trunk
port trunk permit vlan all
stp disable
心跳口(HA 同步口)
plaintext
interface GigabitEthernet1/0/3
ip address 1.1.1.1 255.255.255.252
3. RBM 双机热备(双主模式)
主机 A
plaintext
rbm
priority 120
preempt-mode enable
peer-ip 1.1.1.2
vpn-instance public
interface GigabitEthernet1/0/3
# 跟踪上下联口
track interface GigabitEthernet1/0/1
track interface GigabitEthernet1/0/2
备机 B
plaintext
rbm
priority 100
preempt-mode enable
peer-ip 1.1.1.1
vpn-instance public
interface GigabitEthernet1/0/3
track interface GigabitEthernet1/0/1
track interface GigabitEthernet1/0/2
4. 安全策略(放通 OSPF + 业务)
plaintext
security-policy
rule name OSPF
source-zone trust
destination-zone local
service ospf
action pass
rule name ALLOW_ALL
source-zone trust
destination-zone trust
action pass
5. 二层透传优化(必配)
plaintext
# 关闭STP,防止影响上下网LACP
stp disable
# 关闭IGMP,不参与二层协议
undo igmp-snooping enable
# 开启透明会话备份
rbm session backup enable
四、为什么这样配完全不影响你原有网络?
- 透明模式 = 二层透传对 OSPF、LACP、聚合、VLAN 全部无感通过
- 无三层接口、无 IP 修改核心、汇聚原路由、原 IP、原聚合完全不动
- RBM 双主任意一台故障,另一台秒切,业务不丢
- 上下联都是 Trunk 透传所有 VLAN不用改任何交换机配置
暂无评论
编辑答案
➤
✖
亲~登录后才可以操作哦!
确定
✖
✖
你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
✖
举报
×
侵犯我的权益
>
对根叔社区有害的内容
>
辱骂、歧视、挑衅等(不友善)
侵犯我的权益
×
侵犯了我企业的权益
>
抄袭了我的内容
>
诽谤我
>
辱骂、歧视、挑衅等(不友善)
骚扰我
侵犯了我企业的权益
×
您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。
抄袭了我的内容
×
原文链接或出处
诽谤我
×
您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。
对根叔社区有害的内容
×
垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载
>
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票
不规范转载
×
举报说明
暂无评论