アイデア:
IP、ルーティング、OSPF は 2 つのファイアウォールで個別に構成する必要があります。HRP は同期されません。
他のゾーンとポリシーは同期されます。マスター上で構成するだけです。
FW_A の主な構成:
hrp 有効
hrp インターフェイス GigabitEthernet1/0/2 リモート 172.16.0.2
インターフェイス GigabitEthernet1/0/0
シャットダウンを元に戻す
IP アドレス 12.1.1.1 255.255.255.0
サービス管理 ping 許可
インターフェイス GigabitEthernet1/0/1
シャットダウンを元に戻す
IP アドレス 1.1.1.2 255.255.255.0
サービス管理 ping 許可
インターフェイス GigabitEthernet1/0/2
シャットダウンを元に戻す
IP アドレス 172.16.0.1 255.255.255.0
サービス管理 ping 許可
ファイアウォール ゾーンの信頼
設定優先度 85
インターフェイス GigabitEthernet0/0/0 の
追加インターフェイス GigabitEthernet1/0/0
ファイアウォール ゾーン untrust
優先度 5 を設定し、
インターフェイス GigabitEthernet1/0/1 を追加します。
ファイアウォール ゾーン dmz
優先度 50 を設定し
、インターフェイス GigabitEthernet1/0/2 を追加します
ospf 1
default-route-advertise //アクティブ サーバーとバックアップ サーバーの両方が
エリア 0.0.0.0
ネットワーク 12.1.1.1 0.0.0.0を発行する必要があります
ip ルート静的 0.0.0.0 0.0.0.0 1.1.1.5
セキュリティ ポリシーの
デフォルト アクションの許可
nat-policy //プライマリでのみ構成され、HRP はバックアップ
ルールに自動的に同期されます。 name インターネット
ソースゾーン
トラスト デスティネーションゾーン untrust
ソースアドレス 10.1.1.0 マスク 255.255.255.0
アクション Source-nat easy-ip
FW_B のメイン構成
hrp Enable
hrpstandby-device //スタンバイ
hrp インターフェイスとして自分自身を指定します GigabitEthernet1/0/2 リモート 172.16.0.1
インターフェイス GigabitEthernet1/0/0
シャットダウンを元に戻す
IP アドレス 11.1.1.1 255.255.255.0
サービス管理 ping 許可
インターフェイス GigabitEthernet1/0/1
シャットダウンを元に戻す
IP アドレス 1.1.1.1 255.255.255.0
サービス管理 ping 許可
インターフェイス GigabitEthernet1/0/2
シャットダウンを元に戻す
IP アドレス 172.16.0.2 255.255.255.0
サービス管理 ping 許可
ファイアウォール ゾーンの信頼
設定優先度 85
インターフェイス GigabitEthernet0/0/0 の
追加インターフェイス GigabitEthernet1/0/0
ファイアウォール ゾーン untrust
優先度 5 を設定し、
インターフェイス GigabitEthernet1/0/1 を追加します。
ファイアウォール ゾーン dmz
優先度 50 を設定し
、インターフェイス GigabitEthernet1/0/2 を追加します
ospf 1
デフォルト ルート アドバタイズ
エリア 0.0.0.0
ネットワーク 11.1.1.1 0.0.0.0
ip ルート静的 0.0.0.0 0.0.0.0 1.1.1.5
セキュリティ ポリシーの
デフォルト アクションの許可
nat ポリシー
ルール名 インターネット
ソース ゾーン信頼
宛先ゾーン untrust
ソース アドレス 10.1.1.0 マスク 255.255.255.0
アクション ソース nat easy-ip