#yyds干货盘点#HCIE-Security Day15:防火墙双机热备实验(三)防火墙透明接入,上下行连接交换机_认证#yyds干货盘点#HCIE-Security Day15:防火墙双机热备实验(三)防火墙透明接入,上下行连接交换机_华为_02#yyds干货盘点#HCIE-Security Day15:防火墙双机热备实验(三)防火墙透明接入,上下行连接交换机_HCIE_03#yyds干货盘点#HCIE-Security Day15:防火墙双机热备实验(三)防火墙透明接入,上下行连接交换机_安全_04

#yyds干货盘点#HCIE-Security Day15:防火墙双机热备实验(三)防火墙透明接入,上下行连接交换机_华为_05#yyds干货盘点#HCIE-Security Day15:防火墙双机热备实验(三)防火墙透明接入,上下行连接交换机_华为_06

如果防火墙上下行都接入二层交换机,则其上下行接口也都应该配置成二层接口,没有ip地址,所以vgmp组无法通过使用vrrp备份组或者直接检测接口状态,这时vgmp组使用的故障监测方法是​通过vlan监控接口状态​。

具体是将二层接口加入vlan,vgmp组监控vlan,通过控制vlan是否转发流量的方式来保证流量引导到主用设备上。当vgmp组状态为active,组内的vlan转发流量,如果vgmp组状态为standby,组内的vlan被禁用,不能转发流量。

当vgmp组中的接口故障时,vgmp组会通过vlan感知到其中接口状态变化,从而降低自身优先级,组内vlan中所有非故障接口状态都会down,然后up一次,这会导致上下行交换机更新自身mac转发表,将目的mac地址改为新的active的接口的映射,从而将流量引导到新的active上来。

实验:防火墙透明接入,上下行连接交换机

需求和拓扑

两台FW的业务接口都工作在二层,上下行分别连接交换机。FW的上下行业务接口都加入到VLAN10和VLAN20中。现在希望两台FW以主备备份方式工作。正常情况下,流量通过FW_A转发。当FW_A出现故障时,流量通过FW_B转发,保证业务不中断。

#yyds干货盘点#HCIE-Security Day15:防火墙双机热备实验(三)防火墙透明接入,上下行连接交换机_HCIE_07#yyds干货盘点#HCIE-Security Day15:防火墙双机热备实验(三)防火墙透明接入,上下行连接交换机_认证_08

操作步骤

1、配置接口ip地址和安全区域

2、划分vlan


//f1/f2
vlan batch 10 20
interface GigabitEthernet1/0/0
portswitch
undo shutdown
port link-type trunk
undo port trunk allow-pass vlan 1
port trunk allow-pass vlan 10 20
interface GigabitEthernet1/0/1
portswitch
undo shutdown
port link-type trunk
undo port trunk allow-pass vlan 1
port trunk allow-pass vlan 10 20
//s1
vlan batch 10 20
interface GigabitEthernet0/0/1
port hybrid untagged vlan 10 20
#
interface GigabitEthernet0/0/2
port link-type trunk
undo port trunk allow-pass vlan 1
port trunk allow-pass vlan 10 20
#
interface GigabitEthernet0/0/3
port link-type trunk
undo port trunk allow-pass vlan 1
port trunk allow-pass vlan 10 20
#
//s2
vlan batch 10 20
interface GigabitEthernet0/0/1
port link-type trunk
undo port trunk allow-pass vlan 1
port trunk allow-pass vlan 10 20
#
interface GigabitEthernet0/0/2
port link-type trunk
undo port trunk allow-pass vlan 1
port trunk allow-pass vlan 10 20
#
interface GigabitEthernet0/0/3
port link-type access
port default vlan 10

#yyds干货盘点#HCIE-Security Day15:防火墙双机热备实验(三)防火墙透明接入,上下行连接交换机_认证_09

3、配置双机热备功能

3.1 配置hrp监控vlan


//f1/f2
hrp track vlan 10
hrp track vlan 20

#yyds干货盘点#HCIE-Security Day15:防火墙双机热备实验(三)防火墙透明接入,上下行连接交换机_认证_10

3.2 将f2配置成从设备


//f2
hrp standby-device

#yyds干货盘点#HCIE-Security Day15:防火墙双机热备实验(三)防火墙透明接入,上下行连接交换机_HCIE_11

3.3指定心跳口并启动双机热备


//f1/f2
hrp interface GigabitEthernet1/0/6 remote 10.10.0.1/2
hrp enable

#yyds干货盘点#HCIE-Security Day15:防火墙双机热备实验(三)防火墙透明接入,上下行连接交换机_华为_12

验证和分析

在f1和f2上检查当前vgmp组的状态


//f1
HRP_M[f1]dis hrp state verbose
Role: active, peer: standby
Running priority: 45000, peer: 45000
Detail information:
GigabitEthernet1/0/0: up
GigabitEthernet1/0/1: up
vlan 10: enabled
vlan 20: enabled
//f2
HRP_S[f2]dis hrp state verbose
Role: standby, peer: active
Running priority: 45000, peer: 45000
Detail information:
GigabitEthernet1/0/0: up
GigabitEthernet1/0/1: up
vlan 10: disabled
vlan 20: disabled

#yyds干货盘点#HCIE-Security Day15:防火墙双机热备实验(三)防火墙透明接入,上下行连接交换机_华为_13

实际测试中,是无法访问的,因为ensp不支持防火墙的透明模式。