华为模拟器eNSP防火墙双机热备实验

命令行配置

简要步骤如下：

1. 配置所有接口IP
2. 在防火墙上规划接口区域，所有接口允许被ping
3. 防火墙配置安全策略，local到any
4. 配置虚拟地址并分配VRRP组以及备用设备组（这一步配置完之后，在R1和R2测试ping网关）
5. 主备防火墙配置HRP，以同步防火墙的策略和会话
6. R1、R2配置缺省路由，主防火墙放行Trust到Untrust的策略

首先需要开启防火墙，但是这里需要改一下备用防火墙FW2的防火墙服务端口GE 0/0/0的IP地址，不然会和主防火墙FW1的GEn0/0/0端口IP产生冲突

FW1:
sys
un in en
sysname FW1
dis ip int brief

FW2:
sys
un in en
sysname FW2
dis ip int brief
int g0/0/0 
ip address 192.168.0.2 24
dis this 
quit

防火墙接口配置IP地址并划分相应区域

FW1：
sys
int g1/0/0
ip add 192.168.1.254 24
dis this
int g1/0/6
ip add 172.16.1.254 24
dis this
int g1/0/1
ip add 202.1.1.254 24
dis this
quit
firewall zone trust
add int g1/0/0
dis this
firewall zone dmz
add int g1/0/6
dis this
firewall zone untrust
add int g1/0/1
dis this
quit

FW2：
sys
int g1/0/0
ip add 192.168.1.253 24
dis this
int g1/0/6
ip add 172.16.1.253 24
dis this
int g1/0/1
ip add 202.1.1.253 24
dis this
quit
firewall zone trust
add int g1/0/0
dis this
firewall zone dmz
add int g1/0/6
dis this
firewall zone untrust
add int g1/0/1
dis this
quit

防火墙所有接口开启ping服务，配置local到any的安全策略

FW1:
sys
int g1/0/0
service-manage ping permit
dis this
int g1/0/6
service-manage ping permit
dis this
int g1/0/1
service-manage ping permit
dis this
quit
security-policy
rule name local_to_any
source-zone local
destination-zone any
action permit
dis this
quit

FW2:
sys
int g1/0/0
service-manage ping permit
dis this
int g1/0/6
service-manage ping permit
dis this
int g1/0/1
service-manage ping permit
dis this
quit
security-policy
rule name local_to_any
source-zone local
destination-zone any
action permit
dis this
quit

防火墙配置虚拟地址和VRRP组以及备用设备组

FW1:
int g1/0/0
vrrp vrid 1 virtual-ip 192.168.1.1 active
dis this
int g1/0/1
vrrp vrid 2 virtual-ip 202.1.1.1 active
dis this
dis vrrp bri
quit

FW2:
int g1/0/0
vrrp vrid 1 virtual-ip 192.168.1.1 standby
dis this
int g1/0/1
vrrp vrid 2 virtual-ip 202.1.1.1 standby
dis this
dis vrrp bri 
quit

R1、R2配置接口地址，并测试ping网关(即防火墙vrrp虚拟地址)

R1:
sys
un in en
sysname R1
int e0/0/0
ip add 192.168.1.2 24
dis this
quit

R2:
sys
un in en
sysname R2
int e0/0/0
ip add 202.1.1.1 24
dis this
quit

验证结果：

主备防火墙配置相应的HRP协议，以同步主备防火墙之间的策略和会话

FW1:
sys
hrp enable
hrp int g1/0/6 remote 172.16.1.253

FW2:
sys
hrp enable
hrp standby-device
hrp int g1/0/6 remote 172.16.1.254

注意 : 处于standby状态的设备不允许配置安全策略（可以其他的），只允许在主设备配置安全策略，且安全策略会自动同步到备用设备上面。主设备配置安全策略，且安全策略会自动同步到备用设备上面，主设备配置由trust_to_untrust放行策略，备用设备会自动同步策略

在R1和R2上配置缺省路由并在主防火墙上配置trust_to_untrust的策略

R1:
sys
ip route-static 0.0.0.0 0 192.168.1.1
dis this
quit
dis ip routing-table

R2: 
sys
ip route-static 0.0.0.0 0 202.1.1.2
dis this 
quit
dis ip routing-table

FW1:
sys
security-policy
rule name trust_to_untrust
source-zone trust
destination-zone untrust
action permit
dis this
quit
quit
dis security-policy all

到这里配置过程就结束了，接下来进行测试，关闭主防火墙的接口，模拟主防火墙出现故障，看看能够还能ping通202.1.1.2

FW1:
sys
int g1/0/0
shutdown
dis this

shutdown掉了主防火墙的GE 1/0/0口，还是能够访问202.1.1.2，试验成功，其他的就懒的测试了

防火墙Web端配置