目录
FW1 g 1/0/0接口 开启ping服务,FW2自动同步
网络安全之防火墙 双机热备实验
实验图
基本配置
PC1
SW2
[SW2]vlan 2
[SW2-vlan2]q
[SW2]vlan 3
[SW2-vlan3]
[SW2-vlan3]q
[SW2]int Vlan 2
[SW2-Vlanif2]ip address 10.1.1.1 24 --- vlan2的网关
[SW2-Vlanif2]q
[SW2]int g 0/0/3
[SW2-GigabitEthernet0/0/3]port link-type access
[SW2-GigabitEthernet0/0/3]port default vlan 2
[SW2-GigabitEthernet0/0/3]q
[SW2]int g 0/0/1
[SW2-GigabitEthernet0/0/1]port link-type access
[SW2-GigabitEthernet0/0/1]port default vlan 2
[SW2-GigabitEthernet0/0/1]q
[SW2]int g 0/0/2
[SW2-GigabitEthernet0/0/2]port link-type access
[SW2-GigabitEthernet0/0/2]port default vlan 3
[SW2]ip route-static 0.0.0.0 0 10.1.2.254 --- 配置路由缺省指向防火墙虚拟网关
[SW2]int Vlanif 3
[SW2-Vlanif3]ip address 10.1.2.1 24 --- vlan3的网关PC2
SW3配置
[SW3]vlan 2
[SW3-vlan2]q
[SW3]vlan 3
[SW3-vlan3]
[SW3-vlan3]q
[SW3]int Vlan 2
[SW3-Vlanif2]ip address 100.1.2.1 24 --- vlan2的网关
[SW3-Vlanif2]q
[SW3]int g 0/0/3
[SW3-GigabitEthernet0/0/3]port link-type access
[SW3-GigabitEthernet0/0/3]port default vlan 2
[SW3-GigabitEthernet0/0/3]q
[SW3]int g 0/0/1
[SW3-GigabitEthernet0/0/1]port link-type access
[SW3-GigabitEthernet0/0/1]port default vlan 2
[SW3-GigabitEthernet0/0/1]q
[SW3]int g 0/0/2
[SW3-GigabitEthernet0/0/2]port link-type access
[SW3-GigabitEthernet0/0/2]port default vlan 3
[SW3]ip route-static 0.0.0.0 0 100.1.1.254 --- 配置路由缺省指向防火墙虚拟网关
[SW3]int Vlanif 3
[SW3-Vlanif3]ip address 100.1.1.1 24 --- vlan3的网关登陆防火墙图形界面
<USG6000V1>system-view
[USG6000V1-GigabitEthernet0/0/0]ip address 192.168.160.1 24 --- 修改防火墙IP地址与电脑端同网段
[USG6000V1-GigabitEthernet0/0/0]service-manage all permit --- 放通所有协议
注意:
配置的IP地址需要与自己电脑所开启的网段相同
华为防火墙默认用户名 --- admin
密码 --- Admin@123
FW1的配置
配置 g 1/0/0 口
配置 g 1/0/1 口
新建静态路由
FW2的配置
配置 g 1/0/0 口
配置 g 1/0/1 口
新建静态路由
新建trust to untrust 区域的安全策略
FW1
FW2
配置心跳线
在FW1与FW2之间拉一条心跳线
配置FW1 g 1/0/2 口 ip
配置FW2 g 1/0/2 口 ip
注意:
IP地址可以随便配,但要求两个端口可以相互ping通。
将心跳线划分到trust区域
FW1
FW2
配置双机热备
点击系统-->高可用-->双机热备热备-->配置
FW1配置
FW2配置
同步安全策略配置
FW1
测试 --- FW2上是否有FW1的安全策略
查看路由
测试双机热备
PC1
断开SW2与FW1的连线
[SW2]int g 0/0/1
[SW2-GigabitEthernet0/0/1]shutdown 
查看链路切换情况
FW1
FW2
恢复SW2与FW1的连线
[SW2-GigabitEthernet0/0/1]undo shutdown FW1
FW2
在防火墙上配置负载均衡
添加PC3,PC4并划分网段
PC3配置
PC4配置
SW2配置
[SW2]vlan 4
[SW2-vlan4]q
[SW2]int vlan 4
[SW2-Vlanif4]ip add 10.1.4.1 24
[SW2-Vlanif4]q
[SW2]int g0/0/4
[SW2-GigabitEthernet0/0/4]port link-type access
[SW2-GigabitEthernet0/0/4]port default vlan 4
[SW1]ip route-static 100.1.4.0 24 10.1.2.251SW3配置
[SW3]vlan 4
[SW3-vlan4]q
[SW3]int Vlanif 4
[SW3-Vlanif4]ip add 100.1.4.1 24
[SW3]int g0/0/4
[SW3-GigabitEthernet0/0/4]port link-type access
[SW3-GigabitEthernet0/0/4]port default vlan 4
[SW3]ip route-static 10.1.4.0 24 100.1.1.251FW1配置静态路由
注意:
因为配置了同步,所以此时FW2也自动同步了这两条路由
配置虚拟网关
将双机热备的运行模式改为负载分担
FW1新建虚拟IP地址池
FW2新建虚拟IP地址池
FW1
FW2
FW1 g 1/0/0接口 开启ping服务,FW2自动同步
FW1增加安全策略,FW2自动同步
测试
PC1
PC4
断开SW2的0/0/1端口
[SW2]interface g 0/0/1
[SW2-GigabitEthernet0/0/1]shutdown 测试PC1
