【网络知识点】防火墙主备冗余技术

【网络知识点】防火墙主备冗余技术

本文以思科Failover技术为主备冗余技术，华为方面的主备冗余技术为VRRP+HRP，可自行查看华为相关配置资料，实际实现上两者没什么区别，只是实现原理上有点差别，华为做相互主备A/A会更容易些，如果思科做相互主备A/A需要用到多模式虚拟技术，较复杂一点。

A/S模式：

实验环境：

 

通过GNS3模拟搭建，防火墙镜像为pix804.bin，路由器为c3640-jk9o3s-mz.124-10a.bin，交换机为c3640-jk9o3s-mz.124-10a.bin+交换端口板块+no ip routing

 

注意：1.防火墙需要证书激活才能用更多功能：激活命令  activation-key 0xd2390d2c 0x9fc4b36d 0x98442d99 0xeef7d8b1 然后reload 2.需要测试ping的，防火墙要开启ICMP协议修正，开启ICMP状态化检测，命令为fixup protocol icmp

 

主要配置详解：

主防火墙配置：

 

#配置内外接口地址

interface Ethernet0

 shutdown

 no nameif

 no security-level

 no ip address

 

interface Ethernet1

 nameif inside

 security-level 100

 ip address 192.168.1.254 255.255.255.0 standby 192.168.1.253 #必须有standby，用于检测备用防火墙的端口地址，没有standby它无法检测主备端口状态，然后根据状态进行主备防火墙切换

 

interface Ethernet2

 nameif outside

 security-level 0

 ip address 100.1.1.1 255.255.255.0 standby 100.1.1.2

 

interface Ethernet3 - 4

No shut #3,4只需要noshut

 

#配置默认路由

route outside 0.0.0.0 0.0.0.0 100.1.1.3 1

route inside 1.1.1.1 255.255.255.255 192.168.1.1 1

 

#failover主要配置

failover

failover lan unit primary  #定义主备，主备设备的配置差别就在这里而已

failover lan interface PZ Ethernet3 #配置配置同步端口

failover lan enable

failover key vrfxie #配置认证

failover link ZT Ethernet4 #配置状态同步端口

failover interface ip PZ 10.1.12.1 255.255.255.0 standby 10.1.12.2

failover interface ip ZT 10.2.12.1 255.255.255.0 standby 10.2.12.2

 

备用防火墙配置：

failover

failover lan unit secondary

failover lan interface PZ Ethernet3

failover lan enable

failover key vrfxie

failover link ZT Ethernet4

failover interface ip PZ 10.1.12.1 255.255.255.0 standby 10.1.12.2

failover interface ip ZT 10.2.12.1 255.255.255.0 standby 10.2.12.2

 

其他什么都不用配置！开启