双机热备
概述
双机热备需要两台硬件和软件配置均相同的华为防火墙,两台华为防火墙之间通过一条独立的链路连接,这条链路通常被称之为“心跳线”,两台华为防火墙通过心跳线了解对端的健康状况,向对端备份配置和表项(如会话表、IPSec SA等),当一台防火墙出现故障时,业务流量能平滑地切换到另一台设备上处理,使业务不中断
带宽管理
概述
防火墙带宽管理是指对防火墙设备的带宽进行管理和控制,以确保网络流量的合理分配和优化网络性能。 防火墙带宽管理可以通过以下几种方式实现:流量控制:通过设置防火墙规则,限制特定应用程序或用户的带宽使用。 可以根据应用程序、协议、源IP地址、目的IP地址等条件进行流量控制,以确保关键应用程序的带宽优先级
实验
拓扑
要求
要求一
需要配置双机热备,如图中的fw4和fw5做成负载分担模式,游客、DMZ走FW5,生产办公走fw4,配置两个心跳线,采用负载分担
在主设备上同步配置
需要配置不同区域走不同防火墙需要配置vrrp网关冗余,虚拟ip
将主机网关换到虚拟网关
测试办公区可以成功通过fw4访问外网
要求二
办公流量限制通道
办公父类带宽策略
办公区内销售流量通道,控制最大60并且最大连接数10人动态均分
针对销售人员,并引用父类创建带宽策略
要求三
保证email应用办公时间至少可以10m的带宽,没人至少1m首先建立通道
然后创建在销售总带宽父类下的子类带宽策略,应用控制邮件
要求四
移动链路采用100M的带宽,游客仅50M,基于在线地址动态均分
移动控制100M带宽
划分通道游客通道并动态均分
定制策略
要求五
外网访问内网服务器,下行流量不超过40M,DMZ中的每台服务器限制对外提供的最大下行带宽不超过20M。
首先建立通道,控制下行流量40M
并创建服务器子通道的下行流量控制20M
制定外网访问内网服务器的带宽控制策略
并制定服务器为其子策略
