防火牆雙機熱備份
拓撲如下
1. 配置圖中各口ip位址(圖中vip指虛拟ip)不是實際ip
2. 分區域(比較簡單,就不打出文字了)
右面也一樣,對着接口
3.配置政策實作基本通信
右面也一樣(右面政策名稱可以不一樣)
4.配置VRRP備份組
指令如下
進入FW1
nterface G 1/0/2
vrrp vrid 1 virtual-ip 192.168.1.100 active
q
interface G 1/0/0
vrrp vrid 2 virtual-ip 10.1.1.100 active
右面隻要換成standby(指定此路由為備份路由器)如下
圖中我圈畫了多次組号不是多條指令,而是為了強調,隻有紅線标注是指令
5. 配置心跳接口
hrp interface GigabitEthernet 1/0/1 remote 172.16.1.2
那面也一樣
6.啟用雙機熱備份
隻需進入兩邊防火牆
hrp enable
完成後主機名前會和之前不一樣
6.配置備份方式
hrp auto-sync
兩邊都要做
檢視狀态資訊
FW1 如下
display hrp state
那邊也可以檢視
7. 檢視心跳接口狀态
8. 路由配置預設路由
這裡解釋一下為什麼
應為有兩個防火牆,如果預設指定其中一個接口
那當它壞了時就無法自動切換好的接口
内網虛拟網關也是同理
PC1網關指向192.168.1.100
9. 測試聯通性
Pc1ping路由接口位址
可以發現
雖然可以ping通路由器位址
但是ping不通其他任何一個位址
這是應為接口沒有允許ping
會發現HRP模式下
執行指令會有一個+B标示
表示這條指令是可以同步的指令
備份路由器是不可以做任何操作的
除了置ip等
隻要ping通10.1.1.1即可這布隻是解釋指令
10. 測試熱備份
把FW1關機
檢視狀态和聯通性
還有些檢視的指令
檢視回話表
display firwall session table
檢視安全規則
dsplay security-policy rule 政策名稱
說一下排障
隻有使用display cu查找
大多是安全政策還有心跳接口的問題