防火墙技术案例5_双机热备(负载分担)组网下的IPSec配置

HRP_A[NGFW_C]?route-policyrppermitnode2? HRP_A[NGFW_C-route-policy]?if-matchacl2001? HRP_A[NGFW_C-route-policy]?if-matchbackup-statusload-balance? HRP_A[NGFW_C-route-policy]?applycost+10? HRP_A[NGFW_C-route-policy]?quit 当NGFW_C作为主用设备（NGFW_D故障）时，来自分支A和B的去和回的流量通过NGFW_C时开销减少10： HRP_A[NGFW_C]?route-policyrppermitnode3? HRP_A[NGFW_C-route-policy]?if-matchacl2002? HRP_A[NGFW_C-route-policy]?if-matchbackup-statusactive? HRP_A[NGFW_C-route-policy]?applycost-10? HRP_A[NGFW_C-route-policy]?quit 当NGFW_C作为备用设备（NGFW_C故障）时，来自分支A和B的去和回的流量通过NGFW_C时开销增加10： HRP_A[NGFW_C]?route-policyrppermitnode4? HRP_A[NGFW_C-route-policy]?if-matchacl2002? HRP_A[NGFW_C-route-policy]?if-matchbackup-statusstandby? HRP_A[NGFW_C-route-policy]?applycost+10? HRP_A[NGFW_C-route-policy]?quit? 3）最后我们需要在OSPF中引入直连和静态路由，并将自身的路由发布出去。 【强叔点评】这里引入的直连路由是Tunnel接口的路由；引入的静态路由是下面配置的使回程流量进入隧道的路由。 HRP_A[NGFW_C]?ospf1 HRP_A[NGFW_C]?ip HRP_A[NGFW_C]?ip HRP_A[NGFW_C-ospf-1]?import-routedirectroute-policyrp? HRP_A[NGFW_C-ospf-1]?import-routestaticroute-policyrp? HRP_A[NGFW_C-ospf-1]?? ? ? quit? HRP_A[NGFW_C-ospf-1]?quit 4）在NGFW_D上配置路由和路由策略。按照NGFW_C的配置举一反三，我想各位小伙伴肯定没问题的。 【结果验证】 1、??当双机热备负载分担状态正常运行时，可以在Router1上看到去往Tunnel1目的地址为）的流量通过NGFW_C转发（下一跳为NGFW_C的物理接口IP地址）。而去往Tunnel2接口（目的地址为）的流量通过NGFW_D转发（下一跳为NGFW_D的物理接口IP地址）。 2、??当双机热备负载分担状态正常运行时，可以在Router2上看到总部回复分支A（目的地址）的流量通过NGFW_C转发（下一跳为）；总部回复分支B（目的地址）的流量通过NGFW_D转发（下一跳为）。 以上两步可以看出在路由层面，我们的配置满足了组网需求。 3、??在NGFW_C和D上执行displayikesa、displayipsecsa?命令查看IPSec的隧道建立情况。 下面仅给出NGFW_C上的截图，可以看到NGFW_C的tunnel1接口与NGFW_A的GE1/0/1接口成功建立隧道。? 仅供个人学习参考

【拍案惊奇】 1、??此案例的惊奇之处在于结合了双机热备、IPSec和并不常用的路由策略功能，而且三种功能结合的十分巧妙。 2、??此案例的另一惊奇之处在于负载分担组网下的IPSec只有在华为比较新版本的防火墙上才支持，是一个比较新的功能。 3、??另外看完此案例，小伙伴们应该对双机热备、IPSec、以及路由策略的配置方法和流程有了一定的了解。 【强叔问答】 ???本案例中强叔并没有详细讲述防火墙安全策略的配置，但其实在配置双机热备及PSec功能时，安全策略的配置 ???还是有所讲究的。请小伙伴们思考双机热备和IPSec这两个功能的安全策略如何配置？ 仅供个人学习参考