目录
一、组网需求
开启防火墙的internal口上开启VRRP功能。
注意: 如果要提高网络的可靠性,建议优先使用HA功能。
二、网络拓扑
三、配置要点
1、基本上网配置
2、配置VRRP
3、定义策略
4、关闭异步路由
四、配置步骤
1、基本上网配置
可以通过CLI/WEB方式完成两台防火墙的基本上网配置,如接口IP、默认路由等;简要配置信息如下,配置详细过程请参照 “路由模式典型功能>>单线上网或多链路上网“配置章节。
| FW1 |
FW2 |
| config system interface edit internal set ip 192.168.1.2 255.255.255.0 next edit 'wan1' set ip 202.1.1.2 255.255.255.0 next end config router static edit 1 set gateway 202.1.1.1 set device wan1 next end |
config system interface edit internal set ip 192.168.1.3 255.255.255.0 next edit 'wan1' set ip 202.1.1.3 255.255.255.0 next end config router static edit 1 set gateway 202.1.1.1 set device wan1 next end |
2、配置VRRP(仅CLI方式)
分别在两台防火墙上完成VRRP配置:1)接口下启用vrrp虚拟MAC地址功能;2)配置vrrp组、VIP和优先级;
| FW1 |
FW2 |
| config system interface edit internal set vrrp-virtual-mac enable config vrrp edit 100 //vrrp 组ID set vrip 192.168.1.1 //虚拟IP next end next end |
config system interface edit internal set vrrp-virtual-mac enable config vrrp edit 100 //vrrp 组ID set vrip 192.168.1.1 set priority 50 //默认为100 next end next end |
3、定义策略
分别在两台防火墙上完成相关策略的配置;以下以放通全部的策略举例;具体以实际项目为准;
| FW1 |
FW2 |
| config firewall policy edit 1 set srcintf " internal" set dstintf " wan1” set srcaddr "all" set dstaddr "all" set action accept set schedule "always" set service "ALL" next |
config firewall policy edit 1 set srcintf " internal" set dstintf " wan1” set srcaddr "all" set dstaddr "all" set action accept set schedule "always" set service "ALL" next |
4、关闭异步路由(可选)
分别在两台设备上关闭异步路由,防止数据从FW1的internal口流出,从FW2的wan1 流入,而造成异步路由,被防火墙拒绝。
config system settings
set asymroute enable
end
五、检查配置结果
分别登陆两台防火墙使用get router info vrrp查看两者的状态; 同时进行模拟两台防火墙切换测试,查看测试PC的丢包情况。
FW#get router info vrrp
Interface: internal, primary IP address: 192.168.1.2
UseVMAC: 1, SoftSW: 0, BrPortIdx: 0, PromiscCount: 1
VRID: 100
vrip: 192.168.1.1, priority: 100, state: MASTER
adv_interval: 1, preempt: 1, start_time: 3
vrmac: 00:00:5e:00:01:64 //最后一位位VRRP ID 100
vrdst:
vrgrp: 10