×

防火墙热备份实验

hqy hqy 发表于2025-11-30 00:58:08 浏览18 评论0

抢沙发发表评论

   这个之前其实也做过,不过是使用web,没有使用命令做,在补充一下吧!

防火墙双机热备主要有以下两种工作模式:
主备备份模式:在这种模式下,两台防火墙设备分为主设备和备设备。平时业务流量由主设备处理,备设备处于待机状态,仅在主设备故障时才接管业务。
负载分担模式:两台防火墙设备共同处理流量,彼此分担负载,提高整体的处理能力和效率。当某一设备故障时,另一设备会接管其流量。
拓扑图如下:
图片
每一个接口我都已经备注好,正常配置就可以了!
外网设备我就不演示了!根据图片配置就可以了!
主防火墙:























[USG6000V1]int g1/0/0 (连接外网)[USG6000V1-GigabitEthernet1/0/0]ip add 192.168.20.1 24[USG6000V1-GigabitEthernet1/0/0]vrrp vrid 1 virtual-ip 100.100.100.1 24 active(当前设备为Master角色(优先抢占)) [USG6000V1]int g1/0/2 (心跳线)[USG6000V1-GigabitEthernet1/0/2]ip add 10.0.1.1 30[USG6000V1]int g1/0/1 (连接内网)[USG6000V1-GigabitEthernet1/0/1]ip add 192.168.10.2 24[USG6000V1-GigabitEthernet1/0/1]vrrp vrid 2 virtual-ip 192.168.10.1 24 active (当前设备为Master)[USG6000V1]firewall zone untrust [USG6000V1-zone-untrust]add int g1/0/0[USG6000V1]firewall zone dmz [USG6000V1-zone-dmz]add int g1/0/2[USG6000V1]firewall zone trust [USG6000V1-zone-trust]add int g1/0/1[USG6000V1]security-policy[USG6000V1-policy-security]rule name l-d[USG6000V1-policy-security-rule-t-u]source-zone local[USG6000V1-policy-security-rule-t-u]destination-zone dmz[USG6000V1-policy-security-rule-t-u]action permit[USG6000V1]ip route-static 0.0.0.0 0 100.100.100.2[USG6000V1]hrp interface g1/0/2 remote 10.0.1.2 (指定HRP心跳线接口为 G1/0/2,对端设备IP为 10.0.1.2)[USG6000V1]hrp enable (启用HRP功能)
备防火墙:























[USG6000V1]int g1/0/1[USG6000V1-GigabitEthernet1/0/1]ip add 192.168.10.3 24[USG6000V1-GigabitEthernet1/0/1]vrrp vrid 2 virtual-ip 192.168.10.1 standby [USG6000V1]int g1/0/0[USG6000V1-GigabitEthernet1/0/0]ip add 192.168.20.2 24[USG6000V1-GigabitEthernet1/0/0]vrrp vrid 1 virtual-ip 100.100.100.1 24 standby [USG6000V1]int g1/0/2[USG6000V1-GigabitEthernet1/0/2]ip add 10.0.1.2 30[USG6000V1]firewall zone trust [USG6000V1-zone-trust]add int g1/0/1[USG6000V1]firewall zone untrust [USG6000V1-zone-untrust]add int g1/0/0[USG6000V1]firewall zone dmz [USG6000V1-zone-dmz]add int g1/0/2[USG6000V1]security-policy[USG6000V1-policy-security]rule name l-d[USG6000V1-policy-security-rule-t-u]source-zone local[USG6000V1-policy-security-rule-t-u]destination-zone dmz[USG6000V1-policy-security-rule-t-u]action permit[USG6000V1]ip route-static 0.0.0.0 0 100.100.100.2[USG6000V1]hrp interface g1/0/2 remote 10.0.1.1 ((指定HRP心跳线接口为 G1/0/2,对端设备IP为 10.0.1.1))[USG6000V1]hrp enable(启用HRP功能)
现在已经备份成功了其实,这个时候不用再设置备防火墙,策略只需要设置在主防火墙就可以了!他会自动同步到备的!
主防火墙:












HRP_M[USG6000V1]security-policy (+B)HRP_M[USG6000V1-policy-security]rule name t-u (+B)HRP_M[USG6000V1-policy-security-rule-t-u]source-zone trust  (+B)HRP_M[USG6000V1-policy-security-rule-t-u]destination-zone untrust  (+B)HRP_M[USG6000V1-policy-security-rule-t-u]action permit  (+B)HRP_M[USG6000V1]nat address-group 1  (为什么要创建这个,因为是虚拟地址不能使用ensy ip 设置所以需要设置地址池)HRP_M[USG6000V1-address-group-1]section 0 100.100.100.1 100.100.100.1HRP_M[USG6000V1]nat-policy  (+B)HRP_M[USG6000V1-policy-nat-rule-sw]source-zone trust  (+B)HRP_M[USG6000V1-policy-nat-rule-sw]destination-zone untrust  (+B)HRP_M[USG6000V1-policy-nat-rule-sw]action source-nat address-group 1 (将源IP替换为地址组1(即VRRP虚拟IP 100.100.100.1))
然后咱们测试一下!pc ping一下外网!
图片
然后也可以查看一下防火墙的状态
主防火墙:
图片
备防火墙:
图片
状态是正常的!然后咱们现在把主防火墙口关闭,然后让PC一直ping外网
图片
可以看见只是少量丢包!说明实验是成功的!
然后咱们可以在查看是备防火墙现在的状态
图片
已经自动成为了主设备了!
好了实验也就结束了!


打赏

本文链接:https://www.jingber.cn/post/3838.html 转载需授权!

分享到:

群贤毕至

访客

您的IP地址是: