网络防火墙热备配置案例

华为设备全冗余网络防火墙热备配置

需求说明：

FW1和FW2工作在路由模式。现要求实现Firewall 1能正常工作的情况下，SW2- A通过FW1访问SW1区域。当FW1故障时， SW2-B通过FW2访问SW1区域。当FW-A与SW2-B同时发现故障时，SW2-A可以通过FWB访问SW1区域。现实双机热备模式下的多线路热备。

图1 配置双冗余方式下的双机热备组网图

相关基础配置

1. 在USG_A上完成以下基本配置。

# 配置GigabitEthernet 0/0/0的IP地址。

<USG_A> system-view

[USG_A] interface GigabitEthernet 0/0/0

[USG_A-GigabitEthernet0/0/0] ip address 100.100.100.1  24

[USG_A-GigabitEthernet0/0/0] quit

# 配置GigabitEthernet 0/0/1的IP地址及虚拟IP地址。

请确保虚拟IP地址和任何接口的实际IP地址不同。

[USG_A] interface GigabitEthernet 0/0/1

[USG_A-GigabitEthernet0/0/1] ip address 172.168.1.1  24

[USG_A-GigabitEthernet0/0/2] vrrp vrid 1 virtual-ip 172.168.1.3  master

[USG_A-GigabitEthernet0/0/1] quit

# 配置GigabitEthernet 0/0/2的IP地址及虚拟IP地址。。

[USG_A] interface GigabitEthernet 0/0/2

[USG_A-GigabitEthernet0/0/2] ip address 172.168.2.1  24

[USG_A-GigabitEthernet0/0/2] vrrp vrid 1 virtual-ip 172.168.2.3  master

[USG_A-GigabitEthernet0/0/2] quit

# 配置GigabitEthernet 0/0/1的IP地址及虚拟IP地址。。

[USG_A] interface GigabitEthernet 0/0/3

[USG_A-GigabitEthernet0/0/3] ip address 172.168.3.1  24

[USG_A-GigabitEthernet0/0/3] vrrp vrid 1 virtual-ip 172.168.3.3  master

[USG_A-GigabitEthernet0/0/3] quit

# 配置GigabitEthernet 0/0/2的IP地址。

[USG_A] interface GigabitEthernet 0/0/4

[USG_A-GigabitEthernet0/0/4] ip address 172.168.4.1  24

[USG_A-GigabitEthernet0/0/4] vrrp vrid 1 virtual-ip 172.168.4.3  master

[USG_A-GigabitEthernet0/0/4] quit

# 配置GigabitEthernet 0/0/1、GigabitEthernet 0/0/2加入Trust区域。

[USG_A] firewall zone trust

[USG_A-zone-trust] add interface GigabitEthernet 0/0/1

[USG_A-zone-trust] add interface GigabitEthernet 0/0/2

[USG_A-zone-trust] quit

# 配置GigabitEthernet 0/0/0加入DMZ区域。

[USG_A] firewall zone dmz

[USG_A-zone-dmz] add interface GigabitEthernet 0/0/0

[USG_A-zone-dmz] quit

# 配置GigabitEthernet 0/0/3、 GigabitEthernet 0/0/4加入Untrust区域。

[USG_A] firewall zone untrust

[USG_A-zone-untrust] add interface GigabitEthernet 0/0/3

[USG_A-zone-untrust] add interface GigabitEthernet 0/0/4

[USG_A-zone-untrust] quit

# 配置HRP备份通道。

注意：主备USG的HRP备份通道接口必须直接相连，中间不能连接交换机。

[USG_A] hrp interface GigabitEthernet 0/0/0

# 启动HRP。

[USG_A] hrp enable

2. 配置USG_B。

USG_B和上述USG_A的配置基本相同，不同之处在于：

o USG_B各接口的IP地址与USG_A各接口的IP地址不相同。

o USG_B的VRRP指定的管理组应该设为Slave。

3. 在USG_A上启动配置命令的自动备份、配置Trust区域和Untrust区域的域间包过滤规则。

说明：当USG_A和USG_B都启动HRP功能完成后，在USG_A上开启配置命令的自动备份，这样在USG_A上配置的域间包过滤规则都将自动备份到USG_B。

# 启动配置命令的自动备份功能。

HRP_M[USG_A] hrp auto-sync config

# 配置域间包过滤规则，默认允许。

HRP_M[USG_A] firewall packet-filter default permit all