HCL_FW_IRF_LAB

 May 3rd 22  H3C Cloud Lab 9 minutes read (About 1318 words)
This is an article that was created 870 days ago, and the information may have evolved or changed.

实验目的

  • 验证 H3C 防火墙 IRF 堆叠和主备模式
  • 基于项目中部分核心网络的模拟器测试
  • 线路交叉互联的问题

实验描述

IP 地址规划和端口互联

互联设备
核心防火墙<–>核心交换机 10.1.1.0/30
核心防火墙<–>服务器汇聚 10.1.1.4/30
核心防火墙<–>外联交换机 VLAN10:192.168.10.254
A端设备 端口 B端设备 端口
FW1 GE0/23 FW2 GE0/23
FW1 GE0/1 SW5 GE0/1
FW1 GE0/2 SW6 GE0/2
FW1 GE0/3 SW3 GE0/3
FW1 GE0/4 SW4 GE0/4
FW1 GE0/11 SW7 GE0/1
FW2 GE0/1 SW6 GE0/1
FW2 GE0/2 SW5 GE0/2
FW2 GE0/3 SW4 GE0/3
FW2 GE0/4 SW3 GE0/4
FW2 GE0/11 SW7 GE0/2

防火墙安全域划分

核心交换机:Trust

服务器汇聚:Server

外联交换机:Untrust

配置思路

  1. FW1 与 FW2 之间 IRF 堆叠;SW3 与 SW4 之间 IRF 堆叠;SW5 与 SW6 之间 IRF 堆叠;
  2. 设备互联的端口聚合配置,配置系统优先级和端口优先级,使流量优先流经“主”用设备
  3. 配置互联地址,确保逻辑直连的互通
  4. 配置防火墙安全域和安全策略
  5. 配置 PC IP地址确保与网关的连通性
  6. 配置静态路由确保网络互通
  7. 进行倒换倒回观察网络连通性
  8. 模拟线路故障观察网络连通性

配置文件

  • 见文末

聊点什么

  • 就线路交叉互联问题,与老友交谈,据他说这种互联方式可能导致丢包现象,例如,流量分别从SW3的G0/3接口和SW4的G0/4接口进入FW1,G0/4的流量会被认为非法流量而丢弃,盲猜是因为会话状态机模式设为严格模式,而运行中出现了来回路径不一致的问题导致丢包。

  • 就这个交叉互联问题与华三400聊了近半小时,对方给出的方案是按完美的主备处理方式进行组网,(在网络正常的情况下)即流量永远只走一边,只要防火墙上有一个端口出现故障,冗余组全部切换到备。

  • 主备模式下,设置冗余组,主成员下的端口有任一出现问题,就会整体切换到备,而备设备如在整体切换就有部分端口故障,此时主成员设备的UP状态的端口会在 DOWN 和 DOWN(redundancy down) 之间反复恒跳,而Status出现两个 Secondary,Slot1 的Track优先级也会随着端口的两个 DOWN 状态不同而变化。注意,此时网络并没有中断。

    1
    2
    3
    4
    Redundancy group 11 (ID 1):
      Node ID      Slot          Priority   Status        Track weight
      1            Slot1         1          Secondary     -1020
      2            Slot2         1          Secondary     -255

  • 要严格控制流量走一边的情况,就需要接入层网上的设备互联都使用双线互联。而万一“主”设备上联到上一层“主”设备的线路故障了,那么恭喜你可能网络瘫痪了,举个例子,拓扑中SW3与SW11的G0/1接口down,因为SW11上联的两根线路做了聚合,SW11上联的流量会通过G0/2向上走,相当于在核心交换机的SW4上接了一台 PC ,你觉得流量再往上层该怎么走?走到FW2备成员?而FW2是备用状态不处理流量。写到这我才想起来原来华三400建议做两个聚合组是有道理的,SW4 G0/4和G0/3做一个聚合组,就可以人为限制流量又走到FW1,秒啊。

  • 继续上一条,不使用两组聚合的方式,关闭IRF的本地优先转发,核心交换机上就出现跨框流量,即进入SW4的流量要往上走,要绕道SW3上去,这明显不合理了。

  • 继续上一条,假如使用核心交换机上联防火墙4根线做一个三层聚合组,FW1往下回流量的时候,由于负载分担的方式,又有可能把流量回给SW4。综合一下,在聚合组配置selected-port maximum 1 同时配置lacp的端口优先级呢,是不是觉得这个方法又蠢又无奈又有用。

  • 对于要把外联区(SW7)的网关设置在防火墙上的问题,还有一种方式是用 RETH 接口,但是我模拟器配置了,且SW7 查看arp都能看到网关的条目了,就是不通,希望是模拟器bug了,有机会去真机上测试一下再回来聊聊。

  • 不知道是不是我的错觉,用HCL模拟器做这种冗余类实验,老是出现一些不能理解的问题,这边十万八千里shutdown个端口,那边会受影响那种。

Ending

  • 文中可能有些配置未提及或内容术语表述的不规范,请见谅。
  • 配置存阿里云盘了,这是链接:[分享的文件]
  • 欢迎“来电”来函探讨。
#H3C防火墙 #防火墙堆叠 #IRF #主备模式 #模拟测试 #冗余组
H3C_Python_SSH_Config_Auto IPv6 各隧道Tunnel使用Lab
Your browser is out-of-date!

Update your browser to view this website correctly. Update my browser now

×