目录
一、实验拓扑
二、配置云
三、配置防火墙
四、分配FW的接口地址与安全区域
五、按图示进行配置
六、双机热备的配置
七、配置NAT
八、模拟双机热备的切换
看上去挺复杂的其实这个实验还是比较简单的,Client1配置为IP 10.3.0.10 网关10.3.0.254
Server1 ip为12.1.1.2 网关12.1.1.1,其他的直接如图连线就行,如果懒得搞可以直接下载我的拓扑
百度网盘:
链接:https://pan.baidu.com/s/17UEHAk6ek1Tn2El9y4hjAQ?pwd=Chen
提取码:Chen
到这里,下载或者自己搞的同学都要做一件事,配置云,因为双机热备需要两台防火墙,所以需要配置两个云,并且,一个云配置为VMent1,一个云配置为VMent8,不会配置云的请看前面的基础配置实验==-==,同时修改本地网络适配器中VMent1和8的IP为手动获取,192.168.0.2和192.168.1.2
这里需要注意一个问题:再配置之前先ping一下192.168.0.1/192.168.1.1,如果ping不通则可以使用,如果配置之前就ping通了说明被占用了,需要换一个,如192.168.3.2 192.168.4.2 依次顺延,直到找到一个未被占用的
云配置好了接下来启动所有设备,并进入防火墙配置一下网络管理页面
账号密码:admin Admin@123
修改密码为:Admin@1234
sy进入配置页面
int g0/0/0 进入0/0/0接口
ip address 192.168.1.1 24
(这里要注意!配置哪台防火墙这个ip需要和与它相连的云的ip保持一致,比如V1网卡配置的是192.168.1.2,FW1连接的云配置的是V1网卡,那在配置FW1时 输入 ip address 192.168.1.1 24)
前面是实验没配过ip是因为防火墙默认的管理页面ip为192.168.0.1 前面用的就是0网段所以不用配
service-manage enable
service-manage all permit
到这基本上防火墙网路管理页面就配置完了,注意这是一台防火墙的配置,别忘了两台都需要配置!
接下来就是从网页访问一下,https://192.168.0.1:8443 和https://192.168.1.1:8443
注意这里的ip为配置的ip,我配置的是0网段和1网段
两个网址都访问到该页面,则说明配置成功
如图Client1为trust区域 Sever1为Untrust区域,防火墙接口的ip为图示ip,防火墙心跳接口自定义安全区域为VGMP
防火墙一:
登陆防火墙,选择网络-》安全区域-》新建安全区域VGMP-》优先级90(大于85trust的优先级即可)-》将0/0/6选中
配置接口1/0/0和1/0/1
1/0/6同理
配置防火墙二,重复上述步骤注意不是一模一样ip不一样哈
先配置FW1!!!
找到双机热备-》配置-》启用-》主备备份-》主用-》心跳接口选1/0/6,对端IP为172.16.1.2
配置接口监控,类别为接口,添加0/0/1和1/0/1
配置到这就可以直接点确定了,去配置备份防火墙FW2
防火墙二,运行角色选择备用,其他的配置与防火墙一相同
回到防火墙一可以看到,已经配置成功
在命令行中
可以看到HRP_M,意思是主用,而防火墙二中为HRP_S意思为备用,这里就不放图片啦,大家自己尝试去看看
这一块不会整的请看前面的文章NAT配置实验
因为实验目的是使内部Client可以访问外网服务器,所以还需要做NAT的配置,但是此时为双机热备,可以自动同步配置,所以只需要在FW1上进行NAT的配置即可
新建地址池
配置NAT策略
配置安全策略
Sever1中开启一个Ftp服务,用Client连接
登陆成功
将client1换成一台PC
ping一下12.1.1.2
一开始可能会卡一下,再ping就通了,接下来在交换机1连接防火墙的两个接口处开启抓包
开启后用PC1 ping 12.1.1.2 -t 持续ping
可以看到连接FW1的接口处出现了ICMP报文,而连接备机的接口没有
接下来我们删掉FW1GE1/0/1的线路,模拟线路断开
再看抓包,连接FW2的接口开始工作
再看防火墙一,变成了备机,而防火墙二变成了主用
我们再把线连回来,稍等一会
看PC1,丢了一个包,这时候防火墙1已经切回来了
上面变的东西又都变回去了,大家可以自己做实验自己看,就不放图片啦
到这里整个实验就做完啦!可喜可贺