实验一:防火墙直路部署,上下行连接交换机
需求和拓扑
企业的两台FW的业务接口都工作在三层,上下行分别连接二层交换机。上行交换机连接运营商的接入点,运营商为企业分配的IP地址为1.1.1.1。现在希望两台FW以主备备份方式工作。正常情况下,流量通过FW_A转发。当FW_A出现故障时,流量通过FW_B转发,保证业务不中断。
操作步骤
1、配置接口地址和安全区域
注意心跳线要加入同一安全区域,内网设备的默认网关地址是vrrp备份组2的虚拟ip地址。
2、配置路由
f1/f2
ip route-static 0.0.0.0 0.0.0.0 1.1.1.10
r1
ip route-static 0.0.0.0 0.0.0.0 1.1.1.1//下一跳地址是vrrp备份组1的虚拟ip地址
3、配置vgmp组
//f1
interface GigabitEthernet 1/0/1
vrrp vrid 1 virtual-ip 1.1.1.1 24 active//如果接口真实地址与vrrp备份组地址不在同一网段,需要指定掩码
interface GigabitEthernet 1/0/0
vrrp vrid 2 virtual-ip 10.3.0.3 24 active
//f2
interface GigabitEthernet 1/0/1
vrrp vrid 1 virtual-ip 1.1.1.1 24 standby//如果接口真实地址与vrrp备份组地址不在同一网段,需要指定掩码
interface GigabitEthernet 1/0/0
vrrp vrid 2 virtual-ip 10.3.0.3 24 standby
4、指定心跳口并启用双机热备功能
//f1
hrp interface GigabitEthernet 1/0/6 remote 10.10.0.2
hrp enable
//f2
hrp interface GigabitEthernet 1/0/6 remote 10.10.0.1
hrp enable
5、仅在fw1上配置安全策略,双机热备状态成功建立后,fw1的安全策略会自动备份到fw2上
security-policy
rule name 1
source-zone trust
destination-zone untrust
source-address 10.3.0.0 mask 255.255.255.0
action permit
6、仅在fw1上配置源nat策略,双机热备状态成功建立后,fw1的安全策略会自动备份到fw2上
//配置公网地址池
nat address-group 1 0
mode pat
route enable
section 0 1.1.1.2 1.1.1.5
//配置源nat策略
nat-policy
rule name 1
source-zone trust
destination-zone untrust
source-address 10.3.0.0 mask 255.255.255.0
action source-nat address-group 1
验证和分析
1、检查vrrp组内接口的状态信息
HRP_S<f2>dis vrrp
2022-02-15 00:52:35.430
GigabitEthernet1/0/1 | Virtual Router 1