华为防火墙双机热备配置实例
拓扑解释
两台防火墙FW1与FW2做双机热备冗余,SW2方向做trust区域,SW3方向做UNtrust区域
适用场景
一般园区网中
配置开始
先搞定底层的交换机
SW2上:(SW3上相同)
vlan 10
int g0/0/3
port link-type access
port access default vlan 10
port-group group-member g0/0/1 g0/0/2
port link-type trunk
port trunk pvid vlan 10 //流量出本地设备剥掉VLAN标签
解决防火墙基本配置
FW1上
interface g0/0/0 //G0为设备默认的管理口,配置前把管理口预配清理掉
ip add 10.0.2.2 24
int g1/0/6 //配置hrp心跳线接口
ip add 1.1.1.1 32
int g1/0/0
ip add 10.0.1.2 24
firewall zone trust //加区域
add int g 0/0/0
firewall zone untrust
add int g1/0/0
security-policy //测试全放策略
rule name pass
action permit
FW2基础配置类似,就是配配接口,加区域,放通区域访问,此处略过
双机热备配置
第一步配置VRRP
FW1上:配置FW1为主设备
int g0/0/0
vrrp vrid 10 virtual-ip 10.0.2.254 active //此处虚地址为PC2网关
int g1/0/0
vrrp vrid 20 virtual-ip 10.0.1.254 active //此处虚地址为PC1网关
FW2上:配置此FW2为备设备
int g0/0/0
vrrp vrid 10 virtual-ip 10.0.2.254 standby //指为备设备
int g1/0/0
vrrp vrid 20 virtual-ip 10.0.1.254 standby //指为备设备
第二步配置hrp进程
FW1上:
hrp interface GigabitEthernet1/0/6 remote 1.1.1.2 //指定心跳线本端的接口和对端的地址
hrp enable //开启进程
FW2上:
hrp interface GigabitEthernet1/0/5 remote 1.1.1.1 //指定心跳线本端的接口和对端的地址
hrp enable //开启进程
配置验证
FW1上:
dis vrrp brief
FW2上:
dis vrrp brief
PC2pingPC1查看两台FW会话表是否同步
FW1上:
dis firewall session table
1.1.1.0/30网段是心跳线在进行同步配置
FW2上:
断开FW1的G0接口测试是否切换
FW1上断开
查看FW2上VRRP状态:
切换前PC2长PING PC1仅丢一个包 几乎没有延迟
注意:双机热备缺省不同步静态路由,需要通过命令开启
hrp auto-sync config static-route //同步静态路由
华为设备默认只能在主设备上配置,备设备是不能增加配置的,可以通过以下命令开启备设备的配置权限
hrp standby config enable //允许备设备配置