防火墙双机热备配置步骤
预习知识:
双机热备需要两台硬件和软件配置相同的防火墙组成双机热备系统。防火墙之间通过独立的链路连接(心跳线),来了解对端健康状况,向对端备份配置和表项:策略(安全策略、NAT策略、NAT server、对象(地址,区域、服务、应用用户等)、网络(区域、DNS、ipsec、ssl vpn等)系统(管理员、vsys、日志等);可以备份的状态信息如下:会话表、server map表、黑白名单、PAT端口映射表、no-pat方式地址映射表、二层转发表、AAA用户表、在线用户监控表、PKI证书、IPSec备份等。
当一台防火墙出现故障时,业务流量能平滑地切换到另一台设备上处理,使业务不中断。
组网要求:
1、目前只支持两台设备进行双机热备
2、主备产品型号和版本必须相同
3、主备设备的业务板和接口卡位置、类型和数目都必须相同,否则会出现主用设备的备份信息,与备用设备的物理配置无法兼容,导致主备切换后出现问题
VRRP(virtual Router Redundance Protocol)
VGMP(VRRP Group Management Protocol)
使用VGMP统一管理VRRP组,VGMP组的状态决定了VRRP成员接口的状态;VGMP状态切换时,会强制组内所有VRRP组的成员接口统一切换状态,保证业务往返流量转发路径一致
HRP(Huawei Redundancy Protocol)
FW默认用户名密码:admin/Admin@123,首次登录要改密码
一、拓朴图:
二、步骤:
1、交换机分配vlan,分配网关;PC分配IP
2、防火墙划分区域
firewall zone trust
add interface G1/0/0
dis zone
3、分配IP,分配服务,完成后测试都ping一下
service-manage ping permit
4、做vrrp(三组)
vrrp vrid 1 virtual-ip 10.10.10.1 active|standby
vrrp vrid 2 virtual-ip 10.10.20.1 active|standby
vrrp vrid 3 virtual-ip 200.200.200.1 active|standby
dis vrrp brief
5、开启心跳线(全局视图下做)
hrp interface G1/0/3 remote 1.1.1.2
hrp enable
dis hrp state
6、做安全策略(先允许所有,再细分,这时已经可以看到有个(+B)的符号,表示策略已在同步Backup设备了)
security-policy
rule name a2a
action permit
三、验证:
- 让PC1-4 Ping PC5,看防火墙会话,同时备墙也可以看到会话:
dis firewall session-table all-systems
- down掉FW1上的接口,看到备墙变为Master
