双机热备上下行接路由器主备组网实验

防火墙双机热备简单实验

实验topo：

实验目的：

1. 熟悉双机热备原理
2. 双机热备组网规划

实验需求：

1. 企业部署双机热备，上下行接路由器主备模式组网；
2. IP地址配置如上图
3. 全网互通

配置思路：

1.两个防火墙各接口配置相应的地址，并且加入区域（接口使用要一致）如果配置HRP后发现两个都是主，或者两个都是备，往往是接口没有加区域的原因：

FW1:
interface GigabitEthernet1/0/1
 ip address 192.168.1.9 255.255.255.252
interface GigabitEthernet1/0/5
 ip address 192.168.1.1 255.255.255.252
interface GigabitEthernet1/0/6
 ip address 192.168.1.14 255.255.255.252

2.配置ospf，注意宣告的时候不要将心跳线宣告出去，心跳线不走业务，上下行接交换机的用VRRP，接路由器的用ospf：

FW1:
ospf 1
 area 0.0.0.0
  network 192.168.1.0 0.0.0.3
  network 192.168.1.12 0.0.0.3
FW2:
ospf 1
 area 0.0.0.0
  network 192.168.1.4 0.0.0.3
  network 192.168.1.16 0.0.0.3
R1:
ospf 1
 area 0.0.0.0
  network 0.0.0.0 255.255.255.255  ---此命令宣告所有接口IP地址
R2:         
ospf 1
 area 0.0.0.0
  network 0.0.0.0 255.255.255.255  ---此命令宣告所有接口IP地址        

3.配置HRP开启双机热备：

FW1:
hrp enable
 hrp interface GigabitEthernet1/0/1 remote 192.168.1.10
 hrp track interface GigabitEthernet1/0/5
 hrp track interface GigabitEthernet1/0/6
FW2:
hrp enable
 hrp standby-device
 hrp interface GigabitEthernet1/0/1 remote 192.168.1.9
 hrp track interface GigabitEthernet1/0/5
 hrp track interface GigabitEthernet1/0/6

4.执行上述步骤后，FW1和FW2会比较出主墙和备墙，同时也会有相应的变化：

HRP_M[fw1] ---主墙
HRP_S[fw2] ---备墙

5.在FW1上写安全策略，FW2会自动同步FW1的配置：

security-policy
 default action permit
 rule name a1
  source-zone trust                       
  destination-zone untrust
  action permit

实验结果：

PC1访问PC2：

PC>ping 10.1.2.2
Ping 10.1.2.2: 32 data bytes, Press Ctrl_C to break
From 10.1.2.2: bytes=32 seq=1 ttl=254 time=62 ms
From 10.1.2.2: bytes=32 seq=2 ttl=254 time=63 ms
From 10.1.2.2: bytes=32 seq=3 ttl=254 time=62 ms
From 10.1.2.2: bytes=32 seq=4 ttl=254 time=63 ms
From 10.1.2.2: bytes=32 seq=5 ttl=254 time=62 ms