华为防火墙双机热备配置实例

拓扑解释

两台防火墙FW1与FW2做双机热备冗余，SW2方向做trust区域，SW3方向做UNtrust区域

适用场景

一般园区网中

配置开始

先搞定底层的交换机

SW2上：（SW3上相同）

vlan 10

int g0/0/3

port link-type access

port access default vlan 10

port-group group-member g0/0/1 g0/0/2

port link-type trunk

port trunk pvid vlan 10 //流量出本地设备剥掉VLAN标签

解决防火墙基本配置

FW1上

interface g0/0/0 //G0为设备默认的管理口，配置前把管理口预配清理掉

ip add 10.0.2.2 24

int g1/0/6 //配置hrp心跳线接口

ip add 1.1.1.1 32

int g1/0/0

ip add 10.0.1.2 24

firewall zone trust          //加区域

add int g 0/0/0

firewall zone untrust

add int g1/0/0

security-policy         //测试全放策略

rule name pass

action permit

FW2基础配置类似，就是配配接口，加区域，放通区域访问，此处略过

双机热备配置

第一步配置VRRP

 FW1上：配置FW1为主设备

int g0/0/0

vrrp vrid 10 virtual-ip 10.0.2.254  active   //此处虚地址为PC2网关

int g1/0/0

vrrp vrid 20 virtual-ip 10.0.1.254 active   //此处虚地址为PC1网关

FW2上：配置此FW2为备设备

int g0/0/0

vrrp vrid 10 virtual-ip 10.0.2.254  standby   //指为备设备

int g1/0/0

vrrp vrid 20 virtual-ip 10.0.1.254 standby  //指为备设备

第二步配置hrp进程

FW1上：

hrp interface GigabitEthernet1/0/6 remote 1.1.1.2   //指定心跳线本端的接口和对端的地址

hrp enable               //开启进程

FW2上：

hrp interface GigabitEthernet1/0/5 remote 1.1.1.1    //指定心跳线本端的接口和对端的地址

hrp enable           //开启进程

配置验证

FW1上：

dis vrrp brief

FW2上：

dis vrrp brief

 PC2pingPC1查看两台FW会话表是否同步

FW1上：

dis firewall session table

1.1.1.0/30网段是心跳线在进行同步配置

FW2上：

 断开FW1的G0接口测试是否切换

FW1上断开

 查看FW2上VRRP状态：

切换前PC2长PING  PC1仅丢一个包 几乎没有延迟

注意：双机热备缺省不同步静态路由，需要通过命令开启

hrp auto-sync config static-route    //同步静态路由

 华为设备默认只能在主设备上配置，备设备是不能增加配置的，可以通过以下命令开启备设备的配置权限

hrp standby config enable        //允许备设备配置