华为防火墙双机热备（三层上下行交换机）

303、双机热备，三层上下行接交换机

实验topo：

实验步骤：

主墙的网络接口配置：

主墙安全域配置：

备墙网络接口配置：

备墙的安全与规划：

配置主墙的双机热备、心跳接口

配置主墙的虚拟IP地址：

查看主墙的双机热备状态：

配置备墙的双机热备、心跳接口等

配置备墙的虚拟IP地址：

查看备墙的双机热备状态：

配置一条缺省路由，将数据包丢给外网路由器：

配置NAT转换：

304、默认情况下，处于备状态的设备是不允许配置安全策略，以及NAT策略的，并且只要在主墙上配置策略，备墙会自动同步一份配置过去；

开启备墙配置命令：hrp stand config enable;

305、:hrp可以同步的内容：要备份的连接状态数据包括：TCP/UCP的会话表，server MAP表项，动态黑名单，NO-PAT表项，ARP表项以及相关的安全策略，NAT转换策略等；

306、设备必须开启trust_to_untrust 的安全策略才可以通信；

tips：默认的开启抢占模式，且抢占的延迟为60s；

配置一条安全策略，放行trust到untrust的流量：

测试:内网PC能否与外网通信：

调试命令：

开启防火墙上ICMP的ttl缺省超时缺省：

在PC1上跟踪7.7.7.7的路由走向：

tips：默认情况下，防火墙是不允许tracert路由信息的；

如果主链路断开，备墙就会开启抢占模式，如果主墙链路恢复，过了抢占延时之后（60s），主墙会抢占回来，继续走主链路转发数据；

此时主墙会变为备状态：

查看vrrp组的状态：

dis  vrrp brief

查看hrp的状态：dis  hrp state verbose

内网的PC访问外网的服务器：

修改主备墙的抢占延时为3s;(默认为60s)

hrp preempt delay 3

抓包查看故障检测时候，备墙发送的免费ARP：