RBM(HA联动VRRP主备模式中NAT)
1. 组网需求
如图1-25所示,某公司以Device作为网络边界安全防护设备,连接公司内部网络和Internet。为提高业务稳定性,使用两台Device进行HA组网,Device A作为主设备,Device B作为备设备。当Device A或其链路发生故障时,由Device B接替Device A继续工作,保证业务不中断。同时需要在Device上配置动态NAT功能保证内网用户可以访问Internet,该公司拥有2.1.1.1到2.1.1.10十个外网IPv4地址。
2. 组网图
图1-25 HA主备模式中NAT功能组网图
3. 配置步骤
(1) 配置主备模式的HA组网环境
使用两台Device进行HA组网,需要两台Device同时处理业务,提高业务处理能力。但是当Device A或其链路发生故障时,Device B可以接替Device A继续工作,保证业务不会中断。
[DeviceA] remote-backup group
[DeviceA-remote-backup-group] remote-ip 10.2.1.2
[DeviceA-remote-backup-group] local-ip 10.2.1.1
[DeviceA-remote-backup-group] data-channel interface gigabitethernet 1/0/3 HA
[DeviceA-remote-backup-group] device-role primary
RBM_P[DeviceA-remote-backup-group] backup-mode dual-active
RBM_P[DeviceA-remote-backup-group] hot-backup enable
RBM_P[DeviceA-remote-backup-group] configuration auto-sync enable
RBM_P[DeviceA-remote-backup-group] configuration sync-check interval 12
RBM_P[DeviceA-remote-backup-group] delay-time 1
配置HA监控接口GigabitEthernet1/0/1和GigabitEthernet1/0/2的状态。
RBM_P[DeviceA-remote-backup-group] track interface gigabitethernet 1/0/1
RBM_P[DeviceA-remote-backup-group] track interface gigabitethernet 1/0/2
RBM_P[DeviceA-remote-backup-group] quit
(2) 配置动态NAT
在此配置举例中,仅需要在主管理设备Device A上配置NAT的相关配置,Device A上的NAT配置会自动同步到从管理设备Device B。
配置NAT地址组1,其地址成员范围为2.1.1.5到2.1.1.10,并与VRRP备份组1绑定。
RBM_P
RBM_P[DeviceA] nat address-group 1
RBM_P[DeviceA-address-group-1] address 2.1.1.5 2.1.1.10
RBM_P[DeviceA-address-group-1] vrrp vrid 1
RBM_P[DeviceA-address-group-1] quit
在接口上配置出方向动态地址转换,允许使用地址组1中的地址进行源地址转换,并在转换过程中使用端口信息。
RBM_P[DeviceA] interface gigabitethernet 1/0/1
RBM_P[DeviceA-GigabitEthernet1/0/1] nat outbound address-group 1
RBM_P[DeviceA-GigabitEthernet1/0/1] quit
4. 验证配置
以上配置完成后,内网主机能够访问Internet。在Device A设备上查看如下显示信息,可以看到内网主机访问外网时生成的NAT会话信息。
RBM_P[DeviceA] display nat session verbose
RBM(HA联动VRRP双主模式中NAT功能典型配置举例)
1. 组网需求
如图1-26所示,某公司以Device作为网络边界安全防护设备,连接公司内部网络和Internet。为提高业务稳定性,使用两台Device进行HA组网,需要两台Device同时处理业务,提高业务处理能力。但是当Device A或其链路发生故障时,Device B可以接替Device A继续工作,保证业务不会中断。
同时需要在Device上配置动态NAT功能保证内网用户可以访问Internet,该公司拥有2.1.1.1到2.1.1.10十个外网IPv4地址。
2. 组网图
图1-26 HA双主模式中NAT功能组网图
3. 配置步骤
(1) 配置双主模式的HA组网环境
使用两台Device进行HA组网,需要两台Device同时处理业务,提高业务处理能力。但是当Device A或其链路发生故障时,Device B可以接替Device A继续工作,保证业务不会中断。
[DeviceA] remote-backup group
[DeviceA-remote-backup-group] remote-ip 10.2.1.2
[DeviceA-remote-backup-group] local-ip 10.2.1.1
[DeviceA-remote-backup-group] data-channel interface gigabitethernet 1/0/3 HA
[DeviceA-remote-backup-group] device-role primary
RBM_P[DeviceA-remote-backup-group] backup-mode dual-active
RBM_P[DeviceA-remote-backup-group] hot-backup enable
RBM_P[DeviceA-remote-backup-group] configuration auto-sync enable
RBM_P[DeviceA-remote-backup-group] configuration sync-check interval 12
RBM_P[DeviceA-remote-backup-group] delay-time 1
配置HA监控接口GigabitEthernet1/0/1和GigabitEthernet1/0/2的状态。
RBM_P[DeviceA-remote-backup-group] track interface gigabitethernet 1/0/1
RBM_P[DeviceA-remote-backup-group] track interface gigabitethernet 1/0/2
RBM_P[DeviceA-remote-backup-group] quit(2) 配置动态NAT
在此配置举例中,仅需要在主管理设备Device A上配置NAT的相关配置,Device A上的NAT配置会自动同步到从管理设备Device B。
配置NAT地址组1,其地址成员范围为2.1.1.5到2.1.1.7,并与VRRP备份组1绑定。
RBM_P
RBM_P[DeviceA] nat address-group 1
RBM_P[DeviceA-address-group-1] address 2.1.1.5 2.1.1.7
RBM_P[DeviceA-address-group-1] vrrp vrid 1
RBM_P[DeviceA-address-group-1] quit
配置NAT地址组2,其地址成员范围为2.1.1.8到2.1.1.10,并与VRRP备份组2绑定。
RBM_P[DeviceA] nat address-group 2
RBM_P[DeviceA-address-group-2] address 2.1.1.8 2.1.1.10
RBM_P[DeviceA-address-group-2] vrrp vrid 2
RBM_P[DeviceA-address-group-2] quit
配置ACL 3000,仅允许10.1.1.1/25网段的报文通过;配置ACL 3001,仅允许10.1.1.129/25网段的报文通过。
RBM_P[DeviceA] acl advanced 3000
RBM_P[DeviceA-ipv4-adv-3000] rule permit ip source 10.1.1.1 0.0.0.127
RBM_P[DeviceA-ipv4-adv-3000] quit
RBM_P[DeviceA] acl advanced 3001
RBM_P[DeviceA-ipv4-adv-3001] rule permit ip source 10.1.1.129 0.0.0.127
RBM_P[DeviceA-ipv4-adv-3001] quit
在接口上配置出方向动态地址转换,允许使用地址组1中的IPv4地址对匹配ACL 3000的报文进行源地址转换,并在转换过程中使用端口信息;允许使用地址组2中的IPv4地址对匹配ACL 3001的报文进行源地址转换,并在转换过程中使用端口信息。
RBM_P[DeviceA] interface gigabitethernet 1/0/1
RBM_P[DeviceA-GigabitEthernet1/0/1] nat outbound 3000 address-group 1
RBM_P[DeviceA-GigabitEthernet1/0/1] nat outbound 3001 address-group 2
RBM_P[DeviceA-GigabitEthernet1/0/1] quit
(4) 测试
RBM_P[DeviceA] display remote-backup-group status
RBM_P[DeviceA] display ospf interface
核心代
- [DeviceA] remote-backup group
- [DeviceA-remote-backup-group] remote-ip 10.2.1.2
- [DeviceA-remote-backup-group] local-ip 10.2.1.1
- [DeviceA-remote-backup-group] data-channel interface gigabitethernet 1/0/3 HA
- [DeviceA-remote-backup-group] device-role primary
- RBM_P[DeviceA-remote-backup-group] backup-mode dual-active
- RBM_P[DeviceA-remote-backup-group] hot-backup enable
- RBM_P[DeviceA-remote-backup-group] configuration auto-sync enable
- RBM_P[DeviceA-remote-backup-group] configuration sync-check interval 12
- RBM_P[DeviceA-remote-backup-group] delay-time 1
- RBM_P[DeviceA-remote-backup-group] track interface gigabitethernet 1/0/1
- RBM_P[DeviceA-remote-backup-group] track interface gigabitethernet 1/0/2
