防火墙双机热备技术（实验）

拓补图：

1. IP地址的配置略，IP地址的配置在图上有标记

2. 防火墙和内网路由器分别配置一条到达外网的路由

[FW1]ip route-static 0.0.0.0 0 100.1.1.1

[FW2]ip route-static 0.0.0.0 0 100.1.1.1

[R2]ip route-static 0.0.0.0 0 10.1.1.254    //内网路由器的下一条应该是VRRP虚拟路由器的IP地址

3. 防火墙划分区域

[FW2]firewall zone  trust 

[FW2-zone-trust]add interface  g1/0/0

[FW2]firewall zone  untrust

[FW2-zone-untrust]add interface g1/0/1

[FW2]firewall zone  dmz

[FW2-zone-dmz]add interface g1/0/2

[FW1]firewall zone  trust

[FW1-zone-trust]add interface g1/0/0

[FW1]firewall zone  untrust 

[FW1-zone-untrust]add interface g1/0/1

[FW1]firewall zone  dmz

[FW1-zone-dmz]add interface  g1/0/2

4. VRRP的配置

这里需要注意的是不但是内网的接口需要运行VRRP，外网的接口也需要运行VRRP，而且两端的接口要加入同一个VRRP的组才能实现虚拟冗余技术，内网的VRRP组配置的虚拟IP充当内网主机的网关实现冗余备份，后面添加了active的命令的意思是说哪台路由器在VRRP的组当中充当master，因为master在VRRP组当中是充当流量转发的任务的，而backup是充当master的备份，这里就不详细讲了，可以参观datacom文章中VRRP的章节

[FW1]int g1/0/0

[FW1-GigabitEthernet1/0/0]vrrp vrid  10 virtual-ip 10.1.1.254 active

[FW1-GigabitEthernet1/0/0]int g1/0/1

[FW1-GigabitEthernet1/0/1]vrrp vrid 100 virtual-ip 100.1.1.254 active 

[FW2]int g1/0/0

[FW2-GigabitEthernet1/0/0]vrrp vrid  10 virtual-ip 10.1.1.254 standby 

[FW2]int g1/0/1

[FW2-GigabitEthernet1/0/1]vrrp vrid 100 virtual-ip 100.1.1.254 standby

5. HRP的配置

[FW1]hrp  interface g1/0/2 remote 192.168.1.20 

[FW1]hrp  enable

[FW2]hrp  interface g1/0/2 remote 192.168.1.10 

[FW2]hrp  enable

状态解释：当hrp enble的命令敲下去的时候，防火墙的名字从[FW1]变成了HRP_M[FW1]，也就是说HRP的配置生效了，FW1是master路由器，FW2是backup的意思

 6. 配置安全策略

rule name trust-untrust
  source-zone trust
  destination-zone untrust
  source-address 10.1.1.0 mask 255.255.255.0
  service icmp
  action permit

下图状态解析：每敲一句命令的时候后面都会跟着（+B）的字样，意思是在master路由器上配置的命令也会同步到备份路由器上，可以通过dis current-configuration  configuration 配置视图来查看，但是在备份路由器上是无法配置命令的，只能在主路由器上进行配置

 7. NAT策略的配置

HRP_M[FW1]nat address-group  1       //创建地址池

HRP_M[FW1-address-group-1]section  100.1.1.100      //分配地址池的地址

nat-policy
rule name trust-untrust
source-zone trust
destination-zone untrust
source-address 10.1.1.0 mask 255.255.255.0
service icmp
action source-nat address-group 1

8. 测试（能够正常ping通外网）

9. 抓包分析

 分别在FW1的g1/0/1和FW2的g1/0/1接口上进行抓包，发现现在内网去往外网的流量都是走的FW1的，因为FW1是master路由器所以流量都往master设备去进行转发

演示故障：把FW1的g1/0/1接口shutdown掉，查看会不会自动切换路径，发现可以切换路径，而且还有一个小细节就是在切换链路的过程中并不会出现ping丢包的场景，这样就更能增加网络的严谨性和可靠性

10. 总结

1. 首先先是IP地址的配置
2. 第二是内网到达外网的默认路由
3. 第三是防火墙区域的划分，外网接口就属于untrust区域，hrp接口属于DMZ区域，内网接口属于trust区域
4. VRRP的配置，VRRP是运行在接口上的，所以需要在接口上进行配置，监视当前接口和接口直连链路是否发生了故障，但是这时候产生了一个新问题，如果是上行接口配置发生变化该怎么办，所以上行接口也需要配置VRRP，还有就是vrid的组要一致才能做到冗余
5. HRP的配置，实际上就是为了实现主路由器跟丛路由器之间数据的备份，也可以简化了配置，在主路由器上进行配置之后就会同步到丛路由器上，无需在丛路由器上再次进行配置，实现了数据备份的同时也实现了数据同步
6. 安全策略的配置，只需要允许内部的流量访问外部的流量即可，因为后面还要做NAT策略，外部的流量只需要访问内部主机转换出去的公网地址即可
7. nat策略的配置，这个场景的话只能做源地址转换，无法做easy ip
8. 接下来就是测试的场景