防火墙技术案例9-数据中心防火墙应用

1、-. z.防火墙技术案例9_强叔拍案惊奇数据中心防火墙应用近期经常有小伙伴们问到防火墙在数据中心如何部署？防火墙的双机热备功能如何与虚拟系统功能结合使用？正好强叔最近接触了一个云数据中心的工程，现在就跟大家分享下，相信能完美的解决各位小伙伴的问题。【组网需求】如下列图所示，两台防火墙USG9560 V300R001C01版本旁挂在数据中心的核心交换机CE12800侧。两台CE12800工作在二层模式，且采用堆叠技术。数据中心对防火墙的具体需求如下：1、防火墙需要为每个虚拟主机都提供一个单独的虚拟系统，以便为每个虚拟主机都提供单独的访问控制策略。2、每个虚拟机都能够使用公网IP访问Interne

2、t，并且能够对Internet用户提供访问效劳。【强叔规划】1、从上图的数据中心整网构造和流量走向蓝色虚线来看，防火墙旁挂在CE12800侧就相当于把CE12800在中间隔断，把一台CE12800当作两台设备来使用。所以我们可以将上面的组网图转换成下面更容易理解的逻辑图。由于CE12800工作在二层模式，整个逻辑图就可以理解为经典的防火墙上下行连接二层设备的双机热备组网。这种组网的特点是需要在防火墙的上下行业务接口上配置VRRP备份组。2、为了实现每一个虚拟主机都有一个单独的虚拟系统，我们需要为每个虚拟主机创立VLAN、子接口、虚拟系统，并将他们相互关联成一个网络，具体操作如下所示：1)在S5

3、700上为每个虚拟机都建立一个VLAN，然后将对应的连接虚拟机的接口参加此VLAN。2)将S5700的上行接口，以及CE12800的上下行接口设置为Trunk接口，允许各个虚拟主机的VLAN报文通过。3)在防火墙的下行接口上为每个虚拟机都建立一个子接口，并终结对应的虚拟机的VLAN。4)在防火墙上为每个虚拟机都创立一个虚拟系统，并将此虚拟系统与对应的子接口绑定。5)同理，在防火墙上行的CE12800上需要创立VLAN与下行的ID不同，并将CE12800的上下行接口设置为Trunk接口。上述操作是在主用链路上的设备S5700_A、CE12800_A和USG9560_A进展的，我们还需要在备用链路

4、上的设备S5700_B、CE12800_B和USG9560_B进展同样的操作除了防火墙子接口IP地址不同。3、最后，我们需要将前两步分析的双机热备和虚拟系统结合起来考虑。由于两台防火墙处于双机热备状态，而每台防火墙又都被虚拟成多个虚拟系统，因此两台防火墙中的一样的虚拟系统也处于双机热备状态。例如下列图所示，USG9560_A的VFW1与USG9560_B的VFW1之间形成双机热备状态，因此我们需要在虚拟系统的子接口上配置VRRP备份组。【配置步骤】1、配置双机热备功能。#在USG9560_A上配置双机热备功能。 system-viewUSG9560_A interface Eth-Trunk

5、1USG9560_A-Eth-Trunk1 ip address 10.10.10.1 24USG9560_A-Eth-Trunk1 quitUSG9560_A interface GigabitEthernet1/0/0USG9560_A -GigabitEthernet1/0/0 Eth-Trunk 1USG9560_A -GigabitEthernet1/0/0 quitUSG9560_A interface GigabitEthernet1/0/1USG9560_A -GigabitEthernet1/0/1 Eth-Trunk 1USG9560_A -GigabitEthernet1

6、/0/1 quitUSG9560_A firewall zone dmzUSG9560_A-zone-dmz add interface Eth-Trunk 1USG9560_A-zone-dmz quitUSG9560_A hrp enable#在USG9560_B上配置双机热备功能。 system-viewUSG9560_B interface Eth-Trunk 1USG9560_B-Eth-Trunk1 ip address 10.10.10.2 24USG9560_B-Eth-Trunk1 quitUSG9560_B interface GigabitEthernet1/0/0USG

7、9560_B -GigabitEthernet1/0/0 Eth-Trunk 1USG9560_B -GigabitEthernet1/0/0 quitUSG9560_B interface GigabitEthernet1/0/1USG9560_B -GigabitEthernet1/0/1 Eth-Trunk 1USG9560_B -GigabitEthernet1/0/1 quitUSG9560_B firewall zone dmzUSG9560_B-zone-dmz add interface Eth-Trunk 1USG9560_B-zone-dmz quitUSG9560_B h

8、rp enable【强叔点评】配置心跳口hrp interface并启用双机热备功能(hrp enable)后，双机热备状态就已经成功建立。这时主用设备USG9560_A的配置就能够备份到备用设备USG9560_B上了。2、为每台虚拟主机创立一个虚拟系统，并分配资源。这里仅以虚拟系统vfw1为例，其他虚拟系统的配置参照此即可。#创立子接口GigabitEthernet1/2/0.1和GigabitEthernet1/2/3.1。HRP_M USG9560_A interface GigabitEthernet1/2/0.1HRP_M USG9560_A -GigabitEthernet1/2/

9、0.1 quitHRP_M USG9560_A interface GigabitEthernet1/2/3.1HRP_M USG9560_A -GigabitEthernet1/2/3.1 quit#配置虚拟系统的资源类，限制每个虚拟系统的带宽为100M。HRP_M USG9560_A resource-class class1HRP_M USG9560_A -resource-class-class1 resource-item-limit bandwidth 100 entireHRP_M USG9560_A -resource-class-class1 quit#创立虚拟系统vfw1，

10、并为vfw1分配子接口和带宽资源。HRP_M USG9560 vsys vfw1HRP_M USG9560-vsys-vfw1 assign resource-class class1HRP_M USG9560-vsys-vfw1 assign interface GigabitEthernet1/2/0.1HRP_M USG9560-vsys-vfw1 assign interface GigabitEthernet1/2/3.1HRP_M USG9560-vsys-vfw1 quit【强叔点评】本步骤的配置只需要在主用设备USG9560_A上配置即可，因为虚拟系统的配置会自动同步到备用设备

11、USG9560_B。3、在两台防火墙的子接口上分别配置IP地址和VRRP备份组。这里仅以虚拟系统vfw1为例，其他虚拟系统的配置参照此即可。#在主用设备上为虚拟系统vfw1配置子接口的IP地址和VRRP备份组。HRP_M USG9560_A interface GigabitEthernet1/2/0.1HRP_M USG9560_A -GigabitEthernet1/2/0.1 vlan-type dot1q 1HRP_M USG9560_A -GigabitEthernet1/2/0.1 ip address 10.1.1.2 24HRP_M USG9560_A -GigabitEthe

12、rnet1/2/0.1 vrrp vrid 1 virtual-ip 10.1.1.1 masterHRP_M USG9560_A -GigabitEthernet1/2/0.1 quitHRP_M USG9560_A interface GigabitEthernet1/2/3.1HRP_M USG9560_A -GigabitEthernet1/2/3.1 vlan-type dot1q 101HRP_M USG9560_A -GigabitEthernet1/2/3.1 ip address 10.1.100.2 24HRP_M USG9560_A -GigabitEthernet1/2

13、/3.1 vrrp vrid 101 virtual-ip 10.1.100.1 masterHRP_M USG9560_A -GigabitEthernet1/2/3.1 quit#在备用设备上为虚拟系统vfw1配置子接口的IP地址和VRRP备份组。HRP_S USG9560_B interface GigabitEthernet1/2/0.1HRP_S USG9560_B -GigabitEthernet1/2/0.1 ip address 10.1.1.3 24HRP_S USG9560_B -GigabitEthernet1/2/0.1 vrrp vrid 1 virtual-ip 1

14、0.1.1.1 slaveHRP_S USG9560_B -GigabitEthernet1/2/0.1 quitHRP_S USG9560_B interface GigabitEthernet1/2/3.1HRP_S USG9560_B -GigabitEthernet1/2/3.1 ip address 10.1.100.3 24HRP_S USG9560_B -GigabitEthernet1/2/3.1 vrrp vrid 101 virtual-ip 10.1.100.1 slaveHRP_S USG9560_B -GigabitEthernet1/2/3.1 quit【强叔点评】

15、接口IP地址和VRRP备份组的配置是不备份的，因此需要分别在主备设备上进展配置。4、在主防火墙的每个虚拟系统上配置平安策略和NAT功能。这里仅以虚拟系统vfw1为例，其他虚拟系统的配置参照此即可。#从防火墙的根视图切换到虚拟系统vfw1的视图。HRP_M USG9560_A switch vsys vfw1HRP_M system-view#将虚拟系统的各接口参加对应的平安区域。HRP_M USG9560_A-vfw1 firewall zone trustHRP_M USG9560_A-vfw1-zone-trust add interface GigabitEthernet1/2/0.1H

16、RP_M USG9560_A-vfw1-zone-trust quitHRP_M USG9560_A-vfw1 firewall zone untrustHRP_M USG9560_A-vfw1-zone-trust add interface GigabitEthernet1/2/3.1HRP_M USG9560_A-vfw1-zone-trust quit#为虚拟系统vfw1配置平安策略，允许虚拟机访问外网，只允许外网用户访问虚拟机的业务。HRP_M USG9560_A-vfw1 firewall packet-filter default permit interzone trustun

17、trust direction outboundHRP_M USG9560_A-vfw1 policy interzone trust untrust inboundHRP_M USG9560_A -vfw1-policy-interzone-trust-untrust-vfw1-inbound policy 1HRP_M USG9560_A -vfw1-policy-interzone-trust-untrust-vfw1-inbound-1 policyservice service-set HRP_M USG9560_A -vfw1-policy-interzone-trust-untr

18、ust-vfw1-inbound-1action permitHRP_M USG9560_A -vfw1-policy-interzone-trust-untrust-vfw1-inbound-1quitHRP_M USG9560_A -vfw1-policy-interzone-trust-untrust-vfw1-inboundquit #为虚拟系统vfw1配置NAT Server和NAT策略。HRP_M USG9560_A-vfw1 nat address-group 1HRP_M USG9560_A-vfw1 -address-group-1 quitHRP_M USG9560_A-vfw1 nat-policy interzone trust untrust