Lab04 FW高可用

防火墙高可用

防火墙要求主备镜像模式，VGMP组监控上下行链路
要求启用会话快速备份，开启备用设备部分部署功能，备份防火墙启动以基础配置启动，关闭抢占功能。
默认安全策略是permit，管理接口和心跳接口是DMZ区域，public防火墙虚拟接口在untrust区域。
防火墙和VxLAN的Fabric网络使用的Vlanif互通。
心跳口 G1/0/2 1.1.1.120/30
管理口 G1/0/1
业务口 Eth-Trunk1
LACP 静态

配置思路：
1、接口划入区域
2、HRP配置
3、功能开启、安全策略

1、 配置心跳IP，接口划入DMZ区域

FW1
Inter g1/0/2
Ip add 1.1.1.121 30
Firewall zone dmz
Add interface g1/0/1
Add interface g1/0/2
Firewall zone untrust
Add interface virtual-if 0

FW2
Inter g1/0/2
Ip add 1.1.1.122 30
Firewall zone dmz
Add interface g1/0/1
Add interface g1/0/2
Firewall zone untrust
Add interface virtual-if 0

2、 配置HRP配置

FW1（1互指 2mirror 2接口 2config 1不抢占 1开启）
Hrp inter g1/0/2 remote 1.1.1.122
Hrp mirror session enable
Hrp mirror config enable
Hrp track interface eth-trunk 1
Hrp mgt-interface g1/0/1
Hrp standby config enable
Hrp base config enable
Undo hrp preempt
Hrp enable

FW2
Hrp interface g1/0/2 remote 1.1.1.121
Hrp mirror session enable
Hrp mirror config enable
Hrp track interface eth-trunk 1
Hrp mgt-interface g1/0/1
Hrp standby config enable
Hrp base config enable
Undo hrp preempt
Hrp enable

保存配置

3、 虚拟化功能及安全策略

Interface virtual-if api transform
Vsvp enable 开启虚拟化功能
Security-policy
Default action permit

(+B)表示自动同步。

4、 配置保存。

笔记
VRRP虚拟网关冗余协议，在两台设备之间形成虚拟IP地址，建立主备冗余关系

VGMP（VRRP Group Management Protocol）来实现对VRRP备份组的统一管理，保证多个VRRP备份组状态的一致性。

HRP（Huawei Redundancy Protocol）双机热备协议：协议承载在VGMP报文上进行传输，用于主设备出现问题时，备能快速切换至主，同时保证了主备之间配置命令和会话表状态信息同步。

VGMP、HRP是华为私有协议