1.1实验目的
双机备份:FW直连部署,上下行连接二层设备的主备备份,组网要求:
1.企业的两台FW的业务都工作在三层,上下行分别连接三层交换机
2.上行交换机连接运营商的接入点,运营商为企业分配的IP地址为192.168.1.0/24
3.两台FW主备备份方式工作,正常情况下,流量通过主防火墙转发,当主防火墙发生故障时,流量通过备份防火墙转发,保证业务不中断
1.2 实验内容
主备备份模式的双机热备,其中一台防火墙处于Active(活动)状态用于转发数据,另一台防火墙处于Standby(备份)状态不转发数据,两台防火墙通过心跳线同步信息,当处于Active状态防火墙发生故障时,处于Standby状态防火墙自动切换为Active状态,继续提供服务,以避免网络访问出现中断的情况。
1.3 实验步骤(实验内容截图及适当文字解析和结果分析)
(1)对防火墙进行基本网络配置,结构如图1所示。
(2)配置信任的local区域和心跳接口dmz区域,区间的拓扑地址表可参见表1.
| 序号 | 设备名称 | 接口 | IP地址/掩码 | 所属安全区域 | 所属vrrp备份组 |
| 1 | FW1 | G1/0/0 | 172.16.1.1/24 | UNTRUST | 主 |
| 2 | G1/0/1 | 1.1.1.1/24 | DMZ | ||
| 3 | G1/0/2 | 10.10.10.1/24 | TRUST | ||
| 4 | 路由器 | G0/0/0 | 192.168.1.1/24 | UNTRUST | |
| 6 | Fw2 | G1/0/0 | 172.16.1.2/24 | UNTRUST | 备用 |
| 7 | G1/0/1 | 1.1.1.2/24 | DMZ | ||
| 8 | G1/0/2 | 10.10.10.2/24 | TRUST | ||
| 9 | Pc1 | E0/0/1 | 10.10.10.3/24 | TRUST |
(3)配置VRP组。
(4)在指定的心跳接口启用双机热备份功能。
(5)配置安全策略:只要双机热备的状态建立成功,仅配置Master,Backup设备可以不用配置,配置命令会自动切换。
(6)配置NAT策略,使内网用户可以访问Internet
6.1FW1的命令配置如图2-图6所示。
6.2 FW2的命令配置如图7-图11所示。
6.3 R1的命令配置如图12所示。
6.4查看双机备份状态,如图13,图14所示。
(7)进行验证:先测试正常状态下的访问连接,然后将主备份防火墙一个接口关闭模拟线路发生故障,验证备份防火墙是否能进行转发,保持内网用户正常访问internet。
7.1使用GUI界面查看端口信息,如图15所示。
7.2观察热备份的web 界面,可见备份成功,如图16所示。
7.3使用ping命令验证通信情况 ,如图17所示。
7.4在FW1上观察防火墙会话表,可见通信成功。如图18所示。
7.5验证备份情况:尝试断开与主线的接口,如图19所示。
7.6对FW1显示hrp状态,如图20所示。
7.7对FW2显示hrp状态,如图21所示。
7.8使用ping命令再次对PC1与路由器通信情况进行验证,如图22所示。
7.9观察Fw2的防火墙会话状态表。如图23所示。
7.10观察华为防火墙的web界面,如图24所示。
2.1实验结论
两台防火墙使用主备备份方式工作。正常情况下,流量通过主防火墙转发,当主防火墙发生故障时,流量通过备份防火墙转发,保证业务不中断。
微信扫描下方的二维码阅读本文
