点击下方小程序卡片查看原贴更多内容

以典型的上下行均为二层交换机的网络环境为例，详细介绍华为USG6000系列防火墙部署双机热备的方案。

典型组网拓扑：

·        上行：两台USG防火墙的GE1/0/1接口连接到核心交换机的两个物理端口，该链路为Access模式，属于VLAN 20。

·        下行：两台USG防火墙的GE1/0/0接口连接到接入交换机的两个物理端口，该链路同样为Access模式，属于VLAN 10。

·        心跳线：两台防火墙的GE0/0/6接口通过交叉网线直连，用于传输心跳报文、备份会话状态等关键信息。

此组网的特点是，防火墙的上下行设备均为二层交换机，防火墙自身作为网关，承担VLAN间路由和安全策略检查的核心角色。

FW4关键配置

 

 hrp enable

 hrp interface GigabitEthernet1/0/6 remote 10.1.45.5

  

interface GigabitEthernet1/0/0

 vrrp vrid 1 virtual-ip 10.1.10.254 active

 

interface GigabitEthernet1/0/1

 vrrp vrid 2 virtual-ip 10.1.20.254 active

 

firewall zone name hrp

 set priority 20

 add interface GigabitEthernet1/0/6

 

security-policy

 rule name t_u_p

  source-zone trust

  destination-zone untrust

  action permit

 

FW5 关键配置

 

 hrp enable

 hrp interface GigabitEthernet1/0/6 remote 10.1.45.4

 

interface GigabitEthernet1/0/0

 vrrp vrid 1 virtual-ip 10.1.10.254 standby

 

interface GigabitEthernet1/0/1

 vrrp vrid 2 virtual-ip 10.1.20.254 standby

 

firewall zone name hrp

 set priority 20

 add interface GigabitEthernet1/0/6

 

配置完成后在防火墙上检查设备状态

在FW上执行display vrrp命令，检查VRRP组内接口的状态信息，显示信息表示VRRP组建立成功。

在FW上执行display hrp state verbose命令，检查当前VGMP组的状态，显示信息表示双机热备建立成功。

PCping服务器测试，可以看出备机上存在带有Remote标记的会话，表示配置双机热备功能后，会话备份成功。