實驗要求
- 部署防火牆雙機熱備,避免防火牆出現單點故障而導致的網絡癱瘓
- 進行故障模擬,在雙機熱備的部署完成之後,關閉主設備,查看業務連通性是否收到影響
連通性要求:
- 內網用戶可以訪問外網、服務器
- 外網用戶可以訪問服務器
實驗內容
步驟一
搭建拓撲,規劃網段。配置終端和防火牆各個接口IP地址。
FW1:
[USG6000V1]int g1/0/0
[USG6000V1-GigabitEthernet1/0/0]ip ad 192.168.1.253 24
[USG6000V1]int g1/0/1
[USG6000V1-GigabitEthernet1/0/1]ip ad 202.196.1.253 24
[USG6000V1-GigabitEthernet1/0/1]int g1/0/2
[USG6000V1-GigabitEthernet1/0/2]ip ad 10.0.0.253 24
[USG6000V1-GigabitEthernet1/0/2]int g1/0/3
[USG6000V1-GigabitEthernet1/0/3]ip ad 10.0.12.1 24
FW2:
[USG6000V1]int g1/0/1
[USG6000V1-GigabitEthernet1/0/1]ip ad 192.168.1.252 24
[USG6000V1-GigabitEthernet1/0/1]int g1/0/0
[USG6000V1-GigabitEthernet1/0/0]ip ad 10.0.0.252 24
[USG6000V1-GigabitEthernet1/0/0]int g1/0/3
[USG6000V1-GigabitEthernet1/0/3]ip ad 10.0.12.2 24
[USG6000V1-GigabitEthernet1/0/3]int g1/0/2
[USG6000V1-GigabitEthernet1/0/2]ip ad 202.196.1.252 2
步驟二
根據拓撲,將接口劃入對應的安全區域。
注意:兩個防火牆之間的心跳接口要必須放進信任區域
FW1:
[USG6000V1]firewall zone trust
[USG6000V1-zone-trust]add interface g1/0/0
[USG6000V1-zone-trust]ad interface g1/0/3
[USG6000V1-zone-trust]q
[USG6000V1]firewall zone untrust
[USG6000V1-zone-untrust]ad in g1/0/1
[USG6000V1-zone-untrust]q
USG6000V1]firewall zone dmz
[USG6000V1-zone-dmz]ad in g1/0/2
FW2:
[USG6000V1]firewall zone trust
[USG6000V1-zone-trust]ad in g1/0/3
[USG6000V1-zone-trust]ad in g1/0/1
[USG6000V1-zone-trust]q
[USG6000V1]firewall zone untrust
[USG6000V1-zone-untrust]ad in g1/0/2
[USG6000V1]firewall zone dmz
[USG6000V1-zone-dmz]ad in g1/0/0
步驟三
配置VRRP備份組
主設備:FW1
[USG6000V1]int g1/0/0
[USG6000V1-GigabitEthernet1/0/0]vrrp vrid 1 virtual-ip 192.168.1.254 active
[USG6000V1-GigabitEthernet1/0/0]int g1/0/2
[USG6000V1-GigabitEthernet1/0/2]vrrp vrid 2 virtual-ip 10.0.0.254 active
[USG6000V1-GigabitEthernet1/0/2]int g1/0/1
[USG6000V1-GigabitEthernet1/0/1]vrrp vrid 3 virtual-ip 202.196.1.254 active
備份設備:FW2
[USG6000V1]int g1/0/0
[USG6000V1-GigabitEthernet1/0/0]vrrp vrid 2 virtual-ip 10.0.0.254 standby
[USG6000V1-GigabitEthernet1/0/0]int g1/0/1
[USG6000V1-GigabitEthernet1/0/1]vrrp vrid 1 virtual-ip 192.168.1.254 standby
[USG6000V1-GigabitEthernet1/0/1]int g1/0/2
[USG6000V1-GigabitEthernet1/0/2]vrrp vrid 3 virtual-ip 202.196.1.254 standby
我們可以通過display vrrp interface G1/0/3來查看VRRP備份組中的接口狀態信息
步驟四
開啓HRP協議並配置心跳接口和會話備份功能
FW1:
[USG6000V1]hrp enable //開啓HRP功能,開啓後提示符出現HRP_M(Master)
HRP_M[USG6000V1]hrp interface g1/0/3 remote 10.0.12.2 //指定心跳口: hrp interface [心跳口] remote [鄰居心跳口IP地址]
HRP_M[USG6000V1]hrp mirror session enable //啓動會話快速備份
FW2:
[USG6000V1]hrp enable ////開啓HRP功能,開啓後提示符出現HRP_S(standby)
HRP_S[USG6000V1]hrp interface g1/0/3 remote 10.0.12.1
HRP_S[USG6000V1]hrp mirror session enable
我們可以通過dis hrp state查看HRP狀態
步驟五
配置安全策列,是內網用戶可以訪問服務器和外網用戶;外網用戶只能訪問服務器
注意:只需要配置Master即可,Backup設備不用配置,配置命令會自動從主設備備份到備份設備。
FW1:
HRP_M[USG6000V1]security-policy (+B) //(+B)的意思爲配置同時備份到備份設備。
HRP_M[USG6000V1-policy-security]rule name t2ud (+B)
HRP_M[USG6000V1-policy-security-rule-t2ud]source-zone trust (+B)
HRP_M[USG6000V1-policy-security-rule-t2ud]destination-zone untrust dmz (+B)
HRP_M[USG6000V1-policy-security-rule-t2ud]action permit (+B)
HRP_M[USG6000V1-policy-security-rule-t2ud]q
HRP_M[USG6000V1-policy-security]rule name u2d (+B)
HRP_M[USG6000V1-policy-security-rule-u2d]source-zone untrust (+B)
HRP_M[USG6000V1-policy-security-rule-u2d]destination-zone dmz (+B)
HRP_M[USG6000V1-policy-security-rule-u2d]action permit (+B)
驗證
- 內網PC能夠
ping通服務器與外網PC - 外網PC能
ping通服務器,但是不能ping通內網PC
![內網PC]()
![外網PC]()
步驟六
將Master設備(FW1)關閉,模擬Master設備宕機,驗證在Master設備宕機之後,網絡的連通性。
驗證
驗證發現,所有前期會有一定的丟包,但是網絡連通性正常,依然能夠正常通信。
