双机热备上下行接交换机主备组网实验
防火墙双机热备简单实验
实验topo:
实验目的:
- 熟悉双机热备原理
- 双机热备组网规划
实验需求:
- 企业部署双机热备,上下行接交换机主备模式组网;
- 用户业务网段为10.1.1.0/24,服务器业务网段为10.1.2.0/24;
- 心跳链路属于192.168.1.0/28,上行互联网网段为192.168.1.16/28
- 现在只申请了一个公网IP地址200.1.1.1/28
- FW1为主墙,实现内网用户访问ISP,实现外网用户访问内网服务器
配置思路:
1.两个防火墙各接口配置相应的地址,并且加入区域(因为备墙要同步主设备的配置,所以主和备的接口使用要一致):
interface GigabitEthernet1/0/0
ip address 10.1.1.1 255.255.255.0
#
interface GigabitEthernet1/0/1
ip address 10.1.2.1 255.255.255.0
#
interface GigabitEthernet1/0/2
ip address 192.168.1.1 255.255.255.240
#
interface GigabitEthernet1/0/3
ip address 192.168.1.17 255.255.255.240
#
2.FW1的G1/0/0口和FW2的G1/0/0口进行VRRP,虚拟一个上行链路的网关:
FW1(主墙):
interface GigabitEthernet1/0/0
vrrp vrid 1 virtual-ip 10.1.1.254 active
#
FW2(备墙):
interface GigabitEthernet1/0/0
vrrp vrid 1 virtual-ip 10.1.1.254 standby
#
3.FW1的G1/0/1口和FW2的G1/0/1口进行VRRP,虚拟一个下行链路的网关:
FW1(主墙):
interface GigabitEthernet1/0/1
vrrp vrid 2 virtual-ip 10.1.2.254 active
#
FW2(备墙):
interface GigabitEthernet1/0/1
vrrp vrid 2 virtual-ip 10.1.2.254 standby
#
4.FW1的G1/0/3口和FW2的G1/0/3口进行VRRP,虚拟一个公网地址访问ISP,要注意:当VRRP虚拟地址和接口地址不在同一网段时,需要加掩码:
FW1(主墙):
interface GigabitEthernet1/0/3
vrrp vrid 3 virtual-ip 200.1.1.1 28 active
#
FW2(备墙):
interface GigabitEthernet1/0/3
vrrp vrid 3 virtual-ip 200.1.1.1 28 standby
#
5.开启防火墙的HRP功能并配置出接口和对端地址(双机热备功能):
FW1(主墙):
hrp enable
hrp interface GigabitEthernet1/0/2 remote 192.168.1.2
#
FW2(备墙):
hrp enable
hrp interface GigabitEthernet1/0/2 remote 192.168.1.1
#
6.执行上述步骤后,FW1和FW2会比较出主墙和备墙,同时也会有相应的变化:
HRP_M[fw1] ---主墙
HRP_S[fw2] ---备墙
7.在FW1上写安全策略,FW2会自动同步FW1的配置:
security-policy
default action permit
rule name a1
source-zone trust
destination-zone untrust
action permit
8.写一个address-group放公网地址,并用nat-policy调用,这里注意一个问题,address-group里面的地址必须和公网地址再同一个网段,否则不通:
nat address-group nt10 0
mode pat
section 0 200.1.1.3 200.1.1.4
nat-policy
rule name a1
source-zone trust
destination-zone untrust
action nat address-group nt10
9.只写nat-policy后是不可以通信的,还需要一条静态路由指向ISP,注意:静态路由不会被同步,所以需要给两个防火墙单独写默认:
FW1:
ip route-static 0.0.0.0 0.0.0.0 200.1.1.2
FW2:
ip route-static 0.0.0.0 0.0.0.0 200.1.1.2
10.外网用户要访问内网服务器,需要将内网服务器映射出去:
FW1:
nat server ser1 0 global 200.1.1.5 inside 10.1.2.3
实验结果:
PC1访问外网:
PC>ping 200.1.1.2
Ping 200.1.1.2: 32 data bytes, Press Ctrl_C to break
From 200.1.1.2: bytes=32 seq=1 ttl=254 time=62 ms
From 200.1.1.2: bytes=32 seq=2 ttl=254 time=63 ms
From 200.1.1.2: bytes=32 seq=3 ttl=254 time=62 ms
From 200.1.1.2: bytes=32 seq=4 ttl=254 time=63 ms
From 200.1.1.2: bytes=32 seq=5 ttl=254 time=62 ms
外网用户访问内网服务器:
