华为ICT大赛辅导——防火墙高可用技术（HA）

文章目录

• 实验需求
• 实验拓扑
• 实验配置
• • 基本配置
  • 防火墙接口加入相应的安全区域
  • 防火墙配置安全策略
  • 交换机配置MST域
  • 配置底层OSPF
  • 防火墙配置VRRP
  • 配置将防火墙的G1/0/4接口配置HRP（心跳线）

实验需求

• 要求PC访问AR1的流量必须通过防火墙
• 当两台防火墙任意一台出现故障，数据流量可以通过另一台设备访问AR1
• 防火墙的G1/0/4作为HRP（心跳线），用以同步两台防火墙的配置信息

实验拓扑

实验配置

基本配置

• SW1

sys
sys SW1
vlan 10
int g0/0/1
 p l a
 p d v 10
int g0/0/2
 p l a
 p d v 10
int g0/0/12
 p l t
 p t a v 10
int g0/0/13
 p l t
 p t a v 10

• SW2

sys
sys SW2
vlan bat 10 12 21 23 100
int vlan 12
 ip ad 10.1.12.2 24
int vlan 21
 ip ad 10.1.21.2 24
int vlan 23
 ip ad 10.1.23.2 24
int g0/0/4
 p l a
 p d v 100
int g0/0/5
 p l a
 p d v 10
int g0/0/6
 p l a
 p d v 21
int g0/0/10
 p l a
 p d v 12
int g0/0/12
 p l t
 p t a v 10
int et 23
 trunk g 0/0/2 to 0/0/3
 p l t
 p t a v 23 100

• SW3

sys
sys SW3
vlan bat 10 13 23 32 100
int vlan 13
 ip ad 10.1.13.3 24
int vlan 32
 ip ad 10.1.32.3 24
int vlan 23
 ip ad 10.1.23.3 24
int g0/0/4
 p l a
 p d v 100
int g0/0/5
 p l a
 p d v 10
int g0/0/6
 p l a
 p d v 32
int g0/0/10
 p l a
 p d v 13
int g0/0/13
 p l t
 p t a v 10
int et 23
 tru g 0/0/2 0/0/3
 p l t
 p t a v 23 100

• AR1

sys
sys AR1
int lo 0
 ip ad 10.1.1.1 32
int g0/0/0
 ip ad 10.1.12.1 24
int g0/0/1
 ip ad 10.1.13.1 24

• FW1

int g1/0/4
 ip ad 10.0.0.1 24
int g1/0/5
 ip ad 10.1.10.12 24
int g1/0/6
 ip ad 10.1.21.1 24

• FW2

int g1/0/4
 ip ad 10.0.0.2 24
int g1/0/5
 ip ad 10.1.10.13 24
int g1/0/6
 ip ad 10.1.32.2 24

防火墙接口加入相应的安全区域

• FW1和FW2相同配置

firewall zone trust
 add int g1/0/5
firewall zone untrust
 add int g1/0/6
firewall zone dmz
 add int g1/0/4

防火墙配置安全策略

• FW1和FW2相同配置

security-policy
 rule name tr_to_un
  source-zone trust
  destination-zone untrust
  action permit
 rule name lo_to_any
  source-zone local
  action permit

交换机配置MST域

因为二层STP的原因，这个地方被卡住很久，是个坑，所以需要注意

• SW1、SW2、SW3都相同配置

stp region-configuration
 region-name MST
 instance 1 vlan 23
 instance 2 vlan 100
 active region-configuration

• 配置SW2为实例1的根桥，实例2的备根；SW3为实例1的备根，实例2的根桥

# SW2
stp instance 1 root primary
stp instance 2 root secondary

# SW2
stp instance 1 root secondary
stp instance 2 root primary

查看STP的状态dis stp bri

配置底层OSPF

-　FW１配置OSPF

ospf 1
 area 0
  net 10.1.10.12 0.0.0.0
  net 10.1.21.1 0.0.0.0

• FW2配置OSPF

ospf 1
 area 0
  net 10.1.10.23 0.0.0.0
  net 10.1.32.2 0.0.0.0

• 配置AR1、SW2、SW3之间的IGP

# SW2
ospf 1 router-id 2.2.2.2
 area 0
  net 10.1.12.2 0.0.0.0
  net 10.1.21.2 0.0.0.0
  net 10.1.23.2 0.0.0.0

# SW3
ospf 1 router-id 3.3.3.3
 area 0
  net 10.1.13.3 0.0.0.0
  net 10.1.32.3 0.0.0.0
  net 10.1.23.3 0.0.0.0

# AR1
ospf 1 router-id 1.1.1.1
 area 0
  net 10.1.12.1 0.0.0.0
  net 10.1.13.1 0.0.0.0
  net 10.1.1.1 0.0.0.0

在AR1、SW2、SW3上查看OSPF邻居关系

防火墙配置VRRP

• FW1

int g1/0/5
 vrrp vrid 1 virtual-ip 10.1.10.254 active
 vrrp vrid 2 virtual-ip 10.1.10.253 standby

• FW2

int g1/0/5
 vrrp vrid 1 virtual-ip 10.1.10.254 standby
 vrrp vrid 2 virtual-ip 10.1.10.253 active

在防火墙查看VRRP状态dis vrrp bri
FW1为10.1.10.254的主设备，10.1.10.253的备设备
FW2为10.1.10.253的主设备，10.1.10.254的备设备

配置将防火墙的G1/0/4接口配置HRP（心跳线）

• FW1

hrp enable
hrp interface GigabitEthernet1/0/4 remote 10.0.0.2
hrp mirror session enable

• FW2

hrp enable
hrp interface GigabitEthernet1/0/4 remote 10.0.0.1
hrp mirror session enable

FW1为主，FW2为备
查看HRP状态dis hrp state

---

以上内容均属原创，如有不详或错误，敬请指出。

本文作者： 坏坏

本文链接： https://blog.csdn.net/qq_45668124/article/details/109393957

版权声明： 本博客所有文章除特别声明外，均采用 CC BY-NC-SA 4.0 许可协议。转载请联系作者注明出处并附带本文链接！