防御保护---防火墙双机热备直路部署（上下二层接口）

一、实验需求与思路

需求: 内网PC端能够访问公网地址，俩台防火墙进行双机热备，在主设备的链路或者设备出现问题时，能够顺利进行主备切换，并且观察主备状态！

双机热备分为俩种模式（双机热备模式与负载分担模式）

二、双机热备模式

FW1: 主：192.168.1.254/24  10.0.1.1/24 
FW2: 备：192.168.1.253/24  10.0.1.3/24 

1.根据网段划分配置IP地址和安全区域

R1:

<Huawei>sys
Enter system view, return user view with Ctrl+Z.
[Huawei]sys R1
[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]ip address 1.1.1.2 24
[R1-GigabitEthernet0/0/0]q
[R1]int LoopBack0
[R1-LoopBack0]ip address 100.100.100.100 32

防火墙通过web界面进行配置
FW1：

添加hrp安全区域



最终展示图

FW2：（与FW1大同小异，只展示最终效果图）

2.配置双机热备

由于要想进行访问公网还需要在俩台防火墙分别配置安全策略以及NAT策略，而这里先配置双机热备的话，后面只需要配置主防火墙即可，备防火墙可以同步主防火墙的配置信息。

FW1：


FW2:（同操作）


检查状态
FW1:

FW2:

3.配置安全策略和NAT策略

配置一个主设备即可（备设备自动同步配置信息）

4.测试

4.1测试一：ping测试！

正常ping通！

4.2测试二：阻断主防火墙的链路，查看状态

FW1:(原主设备)

FW2:(原备设备)

主备正常切换！

二、负载分担模式

此模式一台PC不易看出实验现象，所以增加一台PC

此模式的基础配置与双机热备模式相同，在此省略
同时，负载分担需要添加俩个vrrp组

FW1: 主：192.168.1.254/24  10.0.1.1/24 
备：192.168.1.253/24  10.0.1.3/24
FW2: 主：192.168.1.253/24  10.0.1.3/24 
备：192.168.1.254/24  10.0.1.1/24 

1、配置负载分担

FW1:


FW2：

2、测试

2.1 测试一：ping测试

PC1：

PC2:

2.2 测试二：查看模式、状态以及流量走向

PC1走FW1:

PC2走FW2:

这里自己可以抓包ping进行查看流量，看流量的走向，这里对外显示并不明显。