防火墙直路部署,上下行连接交换机

组网需求

如下图所示,企业的两台FW的业务接口都工作在三层,上下行分别连接二层交换机。上行交换机连接运营商的接入点,运营商为企业分配的IP地址为1.1.1.1。现在希望两台FW以主备备份方式工作。正常情况下,流量通过FW_A转发。当FW_A出现故障时,流量通过FW_B转发,保证业务不中断。

业务接口工作在三层,上下行连接交换机的主备备份组网

华为防火墙自学实录_02配置防火墙双机热备_华为防火墙操作步骤

1、防火墙基础配置

FW1上的配置IP地址

[FW1]interface GigabitEthernet 1/0/1
[FW1-GigabitEthernet1/0/1]ip address 10.0.2.1 255.255.255.0
[FW1-GigabitEthernet1/0/1]undo shutdown
[FW1-GigabitEthernet1/0/1]quit
[FW1]interface GigabitEthernet 1/0/2
[FW1-GigabitEthernet1/0/2]ip address 10.0.3.1 255.255.255.0
[FW1-GigabitEthernet1/0/2]undo shutdown
[FW1-GigabitEthernet1/0/2]quit
[FW1]interface GigabitEthernet 1/0/6
[FW1-GigabitEthernet1/0/6]ip address 10.10.0.1 255.255.255.0
[FW1-GigabitEthernet1/0/6]undo shutdown
[FW1-GigabitEthernet1/0/6]quit

FW1接口加入相应区域

[FW1]firewall zone untrust 
[FW1-zone-untrust]add interface GigabitEthernet 1/0/1
[FW1-zone-untrust]quit
[FW1]firewall zone trust
[FW1-zone-trust]add interface GigabitEthernet 1/0/2
[FW1-zone-trust]quit
[FW1]firewall zone dmz
[FW1-zone-dmz]add interface GigabitEthernet 1/0/6
[FW1-zone-dmz]quit

FW1查看配置结果

华为防火墙自学实录_02配置防火墙双机热备_ensp_02

FW2上配置IP地址

[FW2]interface GigabitEthernet 1/0/1
[FW2-GigabitEthernet1/0/1]ip address 10.0.2.2 255.255.255.0
[FW2-GigabitEthernet1/0/1]undo shutdown
[FW2-GigabitEthernet1/0/1]quit
[FW2]interface GigabitEthernet 1/0/2
[FW2-GigabitEthernet1/0/2]ip address 10.0.3.2 255.255.255.0
[FW2-GigabitEthernet1/0/2]undo shutdown
[FW2-GigabitEthernet1/0/2]quit
[FW2]interface GigabitEthernet 1/0/6
[FW2-GigabitEthernet1/0/6]ip address 10.10.0.2 255.255.255.0
[FW2-GigabitEthernet1/0/6]undo shutdown
[FW2-GigabitEthernet1/0/6]quit

FW2接口加入相应的区域

[FW2]firewall zone untrust 
[FW2-zone-untrust]add interface GigabitEthernet 1/0/1
[FW2-zone-untrust]quit
[FW2]firewall zone trust
[FW2-zone-trust]add interface GigabitEthernet 1/0/2
[FW2-zone-trust]quit
[FW2]firewall zone dmz
[FW2-zone-dmz]add interface GigabitEthernet 1/0/6
[FW2-zone-dmz]quit

FW2查看配置结果

华为防火墙自学实录_02配置防火墙双机热备_华为防火墙_03

2、配置vrrp备份组

# 在FW1上行业务接口GE1/0/1上配置VRRP备份组1,并设置其状态为Active。在FW2上行业务接口GE1/0/1上配置VRRP备份组1,并设置其状态为Standby。需要注意的是如果接口的IP地址与VRRP备份组地址不在同一网段,则配置VRRP备份组地址时需要指定掩码。

FW1上的配置

[FW1]interface GigabitEthernet 1/0/1
[FW1-GigabitEthernet1/0/1]vrrp vrid 1 virtual-ip 1.1.1.1 24 active
[FW1-GigabitEthernet1/0/1]quit

FW2上的配置

[FW2]interface GigabitEthernet 1/0/1
[FW2-GigabitEthernet1/0/1]vrrp vrid 1 virtual-ip 1.1.1.1 24 standby
[FW2-GigabitEthernet1/0/1]quit

# 在FW1下行业务接口GE1/0/3上配置VRRP备份组2,并设置其状态为Active。在FW2下行业务接口GE1/0/3上配置VRRP备份组2,并设置其状态为Standby。

FW1上的配置

[FW1]interface GigabitEthernet 1/0/2  
[FW1-GigabitEthernet1/0/2]vrrp vrid 2 virtual-ip 10.0.3.3 active
[FW1-GigabitEthernet1/0/2]quit

FW2上的配置

[FW2]interface GigabitEthernet 1/0/2
[FW2-GigabitEthernet1/0/2]vrrp vrid 2 virtual-ip 10.0.3.3 standby
[FW2-GigabitEthernet1/0/2]quit

3、指定心跳口并启用双机热备功能。

FW1上的配置

[FW1]hrp interface GigabitEthernet 1/0/6 remote 10.10.0.2
[FW1]hrp enable

FW2上的配置

[FW2]hrp interface GigabitEthernet 1/0/6 remote 10.10.0.1
[FW2]hrp enable

验证结果

华为防火墙自学实录_02配置防火墙双机热备_华为防火墙_04

4、在FW_A上配置安全策略。双机热备状态成功建立后,FW_A的安全策略配置会自动备份到FW_B上。 

# 配置安全策略,允许内网用户访问Internet。

HRP_M[FW1]security-policy 
HRP_M[FW1-policy-security]rule name tr_to_unt
HRP_M[FW1-policy-security-rule-tr_to_unt]source-zone trust
HRP_M[FW1-policy-security-rule-tr_to_unt]destination-zone untrust
HRP_M[FW1-policy-security-rule-tr_to_unt]source-address 10.0.3.0 24
HRP_M[FW1-policy-security-rule-tr_to_unt]access-authentication
HRP_M[FW1-policy-security-rule-tr_to_unt]action permit
HRP_M[FW1-policy-security-rule-tr_to_unt]quit
HRP_M[FW1-policy-security]quit

5、在FW_A上配置NAT策略。双机热备状态成功建立后,FW_A的NAT策略配置会自动备份到FW_B上。  

# 配置NAT策略,当内网用户访问Internet时,将源地址由10.3.0.0/16网段转换为地址池中的地址(1.1.1.2-1.1.1.5)。

HRP_M[FW1]nat address-group ad1
HRP_M[FW1-address-group-ad1]section 0 1.1.1.2 1.1.1.5
HRP_M[FW1-address-group-ad1]quit
HRP_M[FW1]nat-policy
HRP_M[FW1-policy-nat]rule name policy_nat1
HRP_M[FW1-policy-nat-rule-policy_nat1]source-zone trust
HRP_M[FW1-policy-nat-rule-policy_nat1]destination-zone untrust
HRP_M[FW1-policy-nat-rule-policy_nat1]source-address 10.0.3.0 24
HRP_M[FW1-policy-nat-rule-policy_nat1]action source-nat address-group ad1
HRP_M[FW1-policy-nat-rule-policy_nat1]quit
HRP_M[FW1-policy-nat]quit

6、防火墙配置默认路由

FW1上的配置

HRP_M[FW1]ip route-static 0.0.0.0 0.0.0.0 1.1.1.10

FW2上的配置

HRP_S[FW2]ip route-static 0.0.0.0 0.0.0.0 1.1.1.10

7、PC上测试

华为防火墙自学实录_02配置防火墙双机热备_华为防火墙_05

抓包结果

华为防火墙自学实录_02配置防火墙双机热备_双机热备_06

查看会话表

华为防火墙自学实录_02配置防火墙双机热备_NAPT_07

华为防火墙自学实录_02配置防火墙双机热备_NAPT_08