防火墻雙機熱備

雙機熱備的配置環(huán)境如下：

需求如下：

LSW1和LSW2是二層交換機，F(xiàn)W1、FW2、LSW1、LSW2組成雙機熱備網(wǎng)絡，正常情況下，PC1發(fā)起的訪問R1的流量通過FW1轉(zhuǎn)發(fā)，當FW1出現(xiàn)故障時，在PC1不做任何調(diào)整的前提下，可以自動通過FW2轉(zhuǎn)發(fā)。推薦步驟：

按照拓撲圖配置基本網(wǎng)絡參數(shù)

防火墻接口加入不同區(qū)域

配置安全策略

配置NAT地址轉(zhuǎn)換使用PAPT

配置相互傳輸心跳

配置VRRP

防火墻配置默認路由

驗證開始配置：FW1配置如下：[FW1]intg1/0/0<!--進入該接口-->[FW1-GigabitEthernet1/0/0]ipadd10.1.1.124<!--接口配置IP地址-->[FW1-GigabitEthernet1/0/0]quit[FW1]intg1/0/1<!--進入該接口-->[FW1-GigabitEthernet1/0/1]ipadd10.2.1.124<!--接口配置IP地址-->[FW1-GigabitEthernet1/0/1]quit[FW1]intg1/0/2<!--進入該接口-->[FW1-GigabitEthernet1/0/2]ipadd10.3.1.124<!--接口配置IP地址-->[FW1-GigabitEthernet1/0/2]quit[FW1]iproute-static0.0.0.00.0.0.0GigabitEthernet1/0/01.1.1.2<!--配置去往untrust區(qū)域的默認路由-->[FW1]firewallzoneuntrust<!--進入untrust區(qū)域-->[FW1-zone-untrust]addintGigabitEthernet1/0/0<!--該接口加入untrust區(qū)域-->[FW1-zone-untrust]quit[FW1]firewallzonedmz<!--進入dmz區(qū)域-->[FW1-zone-dmz]addintGigabitEthernet1/0/1<!--該接口加入dmz區(qū)域-->[FW1-zone-dmz]quit[FW1]firewallzonetrust<!--進入trust區(qū)域-->[FW1-zone-trust]addintGigabitEthernet1/0/2<!--該接口加入trust區(qū)域-->[FW1-zone-trust]quit[FW1]security-policy<!--配置安全策略-->[FW1-policy-security]rulenameha<!--安全策略名字為ha-->[FW1-policy-security-rule-ha]source-zonelocal<!--指定源區(qū)域-->[FW1-policy-security-rule-ha]source-zonedmz<!--指定源區(qū)域-->[FW1-policy-security-rule-ha]destination-zonelocal<!--指定目標區(qū)域-->[FW1-policy-security-rule-ha]destination-zonedmz<!--指定目標區(qū)域-->[FW1-policy-security-rule-ha]actionpermit<!--允許dmz區(qū)域和local區(qū)域相互訪問-->[FW1-policy-security-rule-ha]quit[FW1-policy-security]quit[FW1]security-policy<!--配置安全策略-->[FW1-policy-security]rulenamenat<!--安全策略名字為nat-->[FW1-policy-security-rule-nat]source-zonetrust<!--指定源區(qū)域-->[FW1-policy-security-rule-nat]destination-zoneuntrust<!--指定目標區(qū)域-->[FW1-policy-security-rule-nat]actionpermit<!--允許流量通過-->[FW1-policy-security-rule-nat]quit[FW1-policy-security]qui[FW1]nataddress-groupNAPAT<!--地址池的名字為NAPAT-->[FW1-address-group-napat]section01.1.1.11.1.1.1<!--地址池范圍-->[FW1-address-group-napat]quit[FW1]nat-policy<!--配置NAT策略-->[FW1-policy-nat]rulenamenatpolicy<!--NAT策略名字為natpolicy-->[FW1-policy-nat-rule-natpolicy]source-zonetrust<!--定義轉(zhuǎn)換源區(qū)域-->[FW1-policy-nat-rule-natpolicy]destination-zoneuntrust<!--定義轉(zhuǎn)換目標區(qū)域-->[FW1-policy-nat-rule-natpolicy]actionnataddress-groupNAPAT<!--定義轉(zhuǎn)換源和地址池建立映射關(guān)系-->[FW1-policy-nat-rule-natpolicy]quit[FW1-policy-nat]quit[FW1]hrpintg1/0/1remote10.2.1.2<!--配置心跳信息傳輸?shù)紽W2-->[FW1]hrpenable<!--開啟hrp功能-->HRP_S[FW1]FW2配置如下：（請參照FW1注釋，F(xiàn)W1和FW2配置基本相同）[FW2]intg1/0/0[FW2-GigabitEthernet1/0/0]ipadd10.1.1.224[FW2-GigabitEthernet1/0/0]intg1/0/1[FW2-GigabitEthernet1/0/1]ipadd10.2.1.224[FW2-GigabitEthernet1/0/1]intg1/0/2[FW2-GigabitEthernet1/0/2]ipadd10.3.1.224[FW2-GigabitEthernet1/0/2]quit[FW2]iproute-static0.0.0.00.0.0.0GigabitEthernet1/0/01.1.1.2[FW2]firewallzoneuntrust[FW2-zone-untrust]addintGigabitEthernet1/0/0[FW2-zone-untrust]quit[FW2]firewallzonedmz[FW2-zone-dmz]addintGigabitEthernet1/0/1[FW2-zone-dmz]quit[FW2]firewallzonetrust[FW2-zone-trust]addintGigabitEthernet1/0/2[FW2-zone-trust]quit[FW2]security-policy[FW2-policy-security]rulenameha[FW2-policy-security-rule-ha]source-zonelocal[FW2-policy-security-rule-ha]source-zonedmz[FW2-policy-security-rule-ha]destination-zonelocal[FW2-policy-security-rule-ha]destination-zonedmz[FW2-policy-security-rule-ha]actionpermit[FW2-policy-security-rule-ha]quit[FW2-policy-security]quit[FW2]security-policy[FW2-policy-security]rulenamenat[FW2-policy-security-rule-nat]source-zonetrust[FW2-policy-security-rule-nat]destination-zoneuntrust[FW2-policy-security-rule-nat]actionpermit[FW2-policy-security-rule-nat]quit[FW2-policy-security]quit[FW2]nataddress-groupNAPAT[FW2-address-group-napat]section01.1.1.11.1.1.1[FW2-address-group-napat]quit[FW2]nat-policy[FW2-policy-nat]rulenamenatpolicy[FW2-policy-nat-rule-natpolicy]source-zonetrust[FW2-policy-nat-rule-natpolicy]destination-zoneuntrust[FW2-policy-nat-rule-natpolicy]actionnataddress-groupNAPAT[FW2-policy-nat-rule-natpolicy]quit[FW2-policy-nat]quit[FW2]hrpintg1/0/1remote10.2.1.1[FW2]hrpenableHRP_S[FW2]hrpstandby-device開始配置VRRPFW1配置VRRP如下：HRP_M[FW1]intg1/0/0(+B)<!--進入接口-->HRP_M[FW1-GigabitEthernet1/0/0]vrrpvrid1virtual-ip1.1.1.1255.255.255.0active<!--VRRP1組主設備，虛擬IP網(wǎng)關(guān)1.1.1.1-->HRP_M[FW1-GigabitEthernet1/0/0]quitHRP_M[FW1]intg1/0/2(+B)<!--進入接口-->HRP_M[FW1-GigabitEthernet1/0/2]vrrpvrid2virtual-ip10.3.1.3active<!--VRRP2組主設備，虛擬IP網(wǎng)關(guān)10.3.1.3-->HRP_M[FW1-GigabitEthernet1/0/2]quitFW2配置VRRP如下：HRP_S[FW2]intg1/0/0<!--進入接口-->HRP_S[FW2-GigabitEthernet1/0/0]vrrpvrid1virtual-ip1.1.1.1255.255.255.0standby<!--VRRP1備份設備，虛擬IP網(wǎng)關(guān)1.1.1.1-->HRP_S[FW2-GigabitEthernet1/0/0]quitHRP_S[FW2]intg1/0/2<!--進入接口-->HRP_S[FW2-GigabitEthernet1/0/2]vrrpvrid2virtual-ip10.3.1.3standby<!--VRRP2組備份設備，虛擬IP網(wǎng)關(guān)10.3.1.3-->HRP_S[FW2-GigabitEthernet1/0/2]quitHRP_S[FW2]dishrpstate<!--查看hrp狀態(tài)-->配置R1和PC的IP地址，并pingR1的IP地址。

R1配置如下：[R1]intg0/0/0[R1-GigabitEthernet0/0/0]ipadd1.1.1.224[R1-GigabitEthernet0/0/0]quit<!--進入接口給接口配置IP地址-->[R1]iproute-static10.3.1.02410.1.1.1[R1]iproute-static10.3.1.02410.1.1.2<!--添加兩條去往內(nèi)網(wǎng)的路由，在實際環(huán)境中，可是不會有這條路由的哦，實際中一般會將內(nèi)網(wǎng)的地址映射為和該路由器同一網(wǎng)段的公網(wǎng)IP。-->PC配置如下：驗證

用PC1pingR1路由器，然后去FW1和FW2防火墻上分別查看會話表，他們的內(nèi)容是不一樣的FW1會話表：

抓包查看流量轉(zhuǎn)換

模擬FW1的F1/0/0接口故障，客戶端ping路由器R1HRP_M[FW1]intg1/0/0(+B)<!--進入接口-->HRP_M[FW1-GigabitEthernet1/0/0]shutdown<!--關(guān)