防火墙双机热备配置实例（三）

今天继续给大家介绍HCIE安全系列相关内容。本文以华为eNSP模拟器为例，实现了配置防火墙双击热备技术配置实例，采用的是上下行交换机配置VRRP的主备模式。
阅读本文，您需要有一定的防火墙配置基础和防火墙双机热备理论基础，如果您对此还存在困惑，欢迎查阅我博客内的其他文章，相信您一定会有所收获！
推荐先导文章阅读：
VGMP协议详解
HRP协议详解
防火墙双机热备技术详解

一、实验拓扑及要求

实验拓扑如上所示，现在要求FW1和FW1配置防火墙双机热备，上下行设备路由器，在整个拓扑内运行OSPF协议，实现路由传递。双机热备配置主备备份模式，通过调整OSPF的优先级实现故障切换。

二、实验配置命令

（一）HRP相关配置

在本实验中，HRP相关配置如下：

 hrp enable
 hrp interface Eth-Trunk1 remote 192.168.0.2
 hrp mirror session enable
 hrp track interface GigabitEthernet1/0/0
 hrp track interface GigabitEthernet1/0/1

除此之外，还需要配置Eth-Trunk口相关IP地址、子接口和区域配置，在这里就不赘述了，相关配置还可以查看后面的防火墙代码附录。

（二）运行OSPF相关配置

在本实验中，当防火墙与对端路由器运行OSPF协议时，必须在防火墙上安全策略方面放行OSPF报文，相关配置如下：

security-policy
 rule name OSPF
  source-zone trust
  source-zone untrust
  destination-zone local
  service ospf
  action permit

三、实验现象

（一）Trust区域和Untrust区域通信

（二）查看防火墙双机热备状态

从上图可以看出，本端设备状态为Active，对端设备为Active，即可判断防火墙处于主备备份模式。

四、附录——防火墙相关配置命令

FW1实验相关配置如下：

 hrp enable
 hrp interface Eth-Trunk1 remote 192.168.0.2
 hrp mirror session enable
 hrp track interface GigabitEthernet1/0/0
 hrp track interface GigabitEthernet1/0/1
#
interface GigabitEthernet0/0/0
 undo shutdown
 ip binding -instance default
 ip address 192.168.0.1 255.255.255.0
 alias GE0/METH
#
interface GigabitEthernet1/0/0
 undo shutdown
 ip address 150.1.1.10 255.255.255.0
#
interface GigabitEthernet1/0/1
 undo shutdown
 ip address 192.168.1.10 255.255.255.0
#
interface GigabitEthernet1/0/5
 undo shutdown
 eth-trunk 1
#
interface GigabitEthernet1/0/6
 undo shutdown
 eth-trunk 1
#
firewall zone trust
 set priority 85
 add interface GigabitEthernet0/0/0
 add interface GigabitEthernet1/0/1
#
firewall zone untrust
 set priority 5
 add interface GigabitEthernet1/0/0
#
firewall zone dmz
 set priority 50
 add interface Eth-Trunk1
#
ospf 1
 area 0.0.0.0
  network 150.1.1.0 0.0.0.255
  network 192.168.1.0 0.0.0.255
#
security-policy
 rule name OSPF
  source-zone trust
  source-zone untrust
  destination-zone local
  service ospf
  action permit
 rule name ping
  source-zone trust
  destination-zone untrust
  service icmp
  action permit
#

原创不易，转载请说明出处：https://blog.csdn.net/weixin_40228200/article/details/119304609