华为ENSP之防火墙双机热备

实验目的

         防火墙现网典型应用-双机热备

实验过程

         分别实现二层，三层的双机热备配置

a.上下联二层环境

接口IP配置举例

int g1/0/0

ip add 10.1.12.253 24

int g1/0/1

ip add 10.1.34.253 24

int g1/0/6

ip address 12.1.1.2 24

防火墙创建区域zone，并绑定接口

firewall zone untrust

add interface GigabitEthernet 1/0/1

firewall zone trust

add interface GigabitEthernet 1/0/0

firewall zone name hrp

set priority 1

add interface GigabitEthernet 1/0/6

配置防火墙安全策略

security-policy

rule  name 2ceng

source-zone trust untrust hrp local

destination-zone trust untrust hrp local

service icmp

action permit

防火墙接口下配置VRRP

上联

vrrp vrid 12 virtual-ip 10.1.12.252 24 active/standby

下联

vrrp vrid 12 virtual-ip 10.1.34.252 24 active/standby

配置VGMP组，开启HRP同步，用track监听线路

hrp interface GigabitEthernet 1/0/6 remote 12.1.1.1

hrp enable

hrp track interface GigabitEthernet 1/0/0

hrp track interface GigabitEthernet 1/0/1

此时在PC5上pingPC6

b.上下联三层环境

基础配置底层OSPF互通，上联area0，下联area1，防火墙作为ABR设备起两个区域

因为要做VRRP虚拟网关，所以防火墙上下联与虚拟网关配置同一网段，另外底层通过OSPF配通，通过VGMP状态调整OSPF cost，切换路径

验证结果

防火墙FW1是主

R4pingR2走4-3-1-2

R4上路由全是往FW1走符合设计

R4长pingR2，此时断开左侧线路观察

流量短暂丢包后连通，此时路由路径切换到备，如下

实验结论

双机热备份实现了双机业务的备份功能，业务信息通过备份链路实现批量备份和实时备份，保证在主设备故障时业务能够不中断地顺利切换到备份设备，从而降低了单点故障的风险，提高了网络的可靠性。