某顾客的华为公司防火墙早已运行了十几年,近期有点儿异常,每一个月总会有那麼几回断开连接,接口会全自动down,并且每一次只有重新启动了事,可是防火墙重新启动时间长,频次多了总感觉危害办公室。
因为体系缘故,申请办理购置的时间周期会非常长,尤其是在现今这一局势下。
顾客问我想个临时性的解决方法,因此我便出了个歪招,被顾客好好夸了一番,哈哈哈,本着共享的精神实质,这事情都不私存,说白了,也非常简单。
当场不允许照相,配置更不允许截屏或是导出来,因此只有回家用手机模拟器复原,所以。
原先的拓扑结构大概如此,便是防火墙上边联接宽带光猫,下边则连续汇聚交换机,我便简单化一下了,能实现目地就可以了。
防火墙是全企业唯一出口网关,一出问题当然了统统无法上网了,大部分企业全是那样,能做防火墙双出口的,终究很少。
我的歪招便是:把大家做实验用的华为公司AR路由器出借她们,和华为公司防火墙构成VRRP,平常网上总流量还走防火墙出来,假如防火墙接口又down,那么就全自动转换到路由器出来,等防火墙接口修复后,总流量又返回防火墙。
提升路由器后的系统架构图如下所示:
一、防火墙改动配置
interface Vlanif10
ip address 192.168.10.1 255.255.255.0
vrrp vrid 1 virtual-ip 192.168.10.254 active //建立VRRP组1,而且特定虚似IP,特定防火墙为主导机器设备
service-manage ping permit
#
interface Vlanif20 //vlan20配置同样
ip address 192.168.20.1 255.255.255.0
vrrp vrid 2 virtual-ip 192.168.20.254 active
service-manage ping permit
#
别的配置沒有修改,也不贴上去了,这不是本论文的关键。
二、网络交换机改动配置
interface GigabitEthernet0/0/4
port link-type trunk
port trunk allow-pass vlan 10 20
无非是找一个接口,联接路由器,随后海关放行2个VLAN,必须表明的是,G0/0/1接口原先也是trunk接口,一样海关放行了这两个VLAN,原先网关在防火墙上,如今改成用虚似IP做为网关,因此VLAN的IP地址池,也需要做对应的改动:
ip pool vlan10
gateway-list 192.168.10.254
network 192.168.10.0 mask 255.255.255.0
excluded-ip-address 192.168.10.1 192.168.10.10
excluded-ip-address 192.168.10.200 192.168.10.253
dns-list 114.114.114.114
#
ip pool vlan20
gateway-list 192.168.20.254
network 192.168.20.0 mask 255.255.255.0
excluded-ip-address 192.168.20.1 192.168.20.10
excluded-ip-address 192.168.20.200 192.168.20.253
dns-list 114.114.114.114
实际上更极致的作法是:没去更改客户早已获得到的网关IP,反而是在配置VRRP的情况下,就用以前的网关IP做为VRRP的虚似IP,那样的话,客户就无须实行再次获得IP的操控了。
可是,我们都是在晚上配置,因此实际上不在乎。
三、路由器的配置:
先配置PPPOE拨号连接,宽带光猫适用多拨,因此防火墙和路由器与此同时接在宽带光猫上,与此同时拔号不容易有任何的问题;
dialer-rule
dialer-rule 1 ip permit
interface Dialer0
link-protocol ppp
ppp chap user bbb //宽带账号
ppp chap password cipher b123456 //宽带密码
ip address ppp-negotiate //IP获得方法
dialer user bbb //拔号客户
dialer-group 1 //将接口放进拔号组1
dialer bundle 1 //特定接口应用Dialer bundle
interface GigabitEthernet0/0/0
pppoe-client dial-bundle-number 1 //根据Dialer bundle将物理学接口与拔号接口关系起來
ip route-static 0.0.0.0 0.0.0.0 Dialer0 //配置默认路由,出接口为宽带拨号联接
acl number 3000 //建立一条ACL,用于容许网上
rule 5 permit ip
interface Dialer0
nat outbound 3000 //出口关联ACL3000,容许客户网上
interface Vlanif10
ip address 192.168.10.2 255.255.255.0
vrrp vrid 1 virtual-ip 192.168.10.254
vrrp vrid 1 priority 80 //优先默认设置为100,路由器是backup,因此要低于100
vrrp vrid 1 preempt-mode timer delay 10 //占领延迟10秒
#
interface Vlanif20
ip address 192.168.20.2 255.255.255.0
vrrp vrid 2 virtual-ip 192.168.20.254
vrrp vrid 2 priority 80
vrrp vrid 2 preempt-mode timer delay 10
#
interface Ethernet9/0/0 //联接网络交换机的接口,容许2个VLAN根据
port link-type trunk
port trunk allow-pass vlan 10 20
四、检测
防火墙的VRRP情况为Master
路由器的VRRP状态为Backup
现阶段总流量是走防火墙出来的
Int g1/0/3
Shutdown //关掉防火墙联接网络交换机的接口,仿真模拟接口常见故障
防火墙的VRRP情况转换为initialize
路由器的VRRP情况就转换为Master了
这时检测网上总流量,而且在路由器上边接口抓包软件,表明网上总流量早已转换到路由器了。
Int g1/0/3
Undo Shutdown //银行开户防火墙联接网络交换机的接口,仿真模拟常见故障修复
防火墙VRRP再次返回Master情况,网上总流量也重归到防火墙上,任务完成。
访客 评论说: