原標題：兩台華為防火牆雙出口冗餘，配置為主備模式

去年給某銀行部署過華為防火牆雙出口冗餘，主備模式，但是規定只能用他們的電腦調試，更不可能截圖或者帶備份配置文件出來，所以寫這篇文章完全沒有素材，只能用模擬器搭一下，實物照片，也是沒有的，手機都不得帶入機房。

進機房的時候還被告知，如果發生火情，務必在30秒內離開機房，因為30秒後，機房門窗會自動鎖死，空氣將被抽空，人在裡面的話可相而知……

言歸正傳，先看今天的拓撲圖。

AR1代表運營商雙出口網絡，事實上並不存在這台設備；並且，銀行也並沒有採用PPPOE鏈路，此處只是為了順便展示一下PPPOE的配置而已，這個必須事先聲明，不然評論區肯定是一片質疑聲；就算我現在聲明了，還有很多人根本沒看到，然後就會吐槽，哪個銀行會用PPPOE鏈路？編故事也要像一點啊！

算了隨他去吧，簡單說說配置過程吧，當然其實上的鏈路遠不止兩條，畢竟銀行都有內外網。

兩台華為的防火牆，fw1為主，fw2為備；兩台華為核心交換機，沒有採用堆疊技術，而是採用VRRP技術進行配置。

準備工作：先讓外網鏈路就位吧，在模擬器裡面配置一下AR1，實際環境中是沒有這一步的；

aaa

local-user test password cipher huawei //創建一個寬頻帳戶密碼

local-user test service-type ppp

ip pool pppoe //創建PPPOE地址池，並且保留1-10不分配；

network 202.1.1.0 mask 255.255.255.0

excluded-ip-address 202.1.1.1 202.1.1.10

interface Virtual-Template1 //創建模板，設定用戶鑒權模式、指明IP位址池

ppp authentication-mode chap

remote address pool pppoe

ip address 202.1.1.1 255.255.255.0

interface GigabitEthernet0/0/0 //pppoe-server應用到接口

pppoe-server bind Virtual-Template 1

#

interface GigabitEthernet0/0/1 //與FW2連接的接口，配置IP位址即可

ip address 202.2.2.1 255.255.255.0

以下才是真正的配置工作：

一、兩台防火牆配置VRRP，主備模式

[FW1]vlan 100

[FW1]int g1/0/3

[FW1-GigabitEthernet1/0/3]portswitch //默認是L3接口，開啟L2功能

[FW1-GigabitEthernet1/0/3]p l t //埠配置為trunk模式

[FW1-GigabitEthernet1/0/3]p t a v a //放行所有VLAN

[FW1-GigabitEthernet1/0/3]q

[FW1]int vlan 100

[FW1-Vlanif100]ip ad 192.168.100.11 24

[FW1-Vlanif100]vrrp vrid 1 virtual-ip 192.168.100.254 active //加入VGMP組，FW1為主

[FW1]firewall zone dmz //vlan100是放伺服器的，所以劃到dmz區域

[FW1-zone-dmz]add int vlan 100

[FW1-zone-dmz]q

FW2的配置就兩處不同：

[FW2-Vlanif100]ip add 192.168.100.12 24

[FW2-Vlanif100]vrrp vrid 1 virtual-ip 192.168.100.254 standby //加入VGMP組，FW2為備

Display vrrp，查看vrrp配置是否正確：

二、防火牆配置上行鏈路

1、FW1配置PPPOE撥號：

interface Dialer0

link-protocol ppp

ppp chap user test

ppp chap password cipher huawei

mtu 1400

ip address ppp-negotiate

dialer user test

dialer bundle 1

dialer-group 1

firewall zone untrust

add interface Dialer 0

dialer-rule 1 ip permit

ip route-static 0.0.0.0 0 Dialer 0 //配置默認路由，PPPOE撥號的，沒有固定的下一跳地址

2、FW2配置固定IP：

[FW2]int g1/0/2

[FW2-GigabitEthernet1/0/0]ip add 202.2.2.2 24

[FW2-GigabitEthernet1/0/0]q

[FW2]firewall zone untrust

[FW2-zone-untrust]add int g1/0/2

[FW2-zone-untrust]q

[FW2]ip route-static 0.0.0.0 0 202.2.2.1 //配置默認路由，下一跳是路由器接口IP

外部鏈路雖然配置好了，但是沒有安全策略放行，是不能上網的。

三、防火牆配置下行鏈路

1、FW1的配置：

[FW1]vlan 111

[FW1]int vlan 111

[FW1-Vlanif111]ip add 172.16.111.11 24

[FW1-Vlanif111]ser ping permit

[FW1-Vlanif111]q

[FW1]firewall zone trust

[FW1-zone-trust]add int vlan 111

[FW1-zone-trust]q

[FW1]ospf router-id 172.1.1.11

[FW1-ospf-1]area 0

[FW1-ospf-1-area-0.0.0.0]net 192.168.100.11 0.0.0.0

[FW1-ospf-1-area-0.0.0.0]net 172.16.111.11 0.0.0.0

[FW1-ospf-1-area-0.0.0.0]q

2、FW2的配置：

[FW2]vlan 112

[FW2]int vlan 112

[FW2-Vlanif112]ip add 172.16.112.12 24

[FW2-Vlanif112]ser ping permit

[FW2-Vlanif112]q

[FW2]firewall zone trust

[FW2-zone-trust]add int vlan 112

[FW2-zone-trust]q

[FW2]ospf router-id 172.1.1.12

[FW2-ospf-1]area 0

[FW2-ospf-1-area-0.0.0.0]net 192.168.100.12 0.0.0.0

[FW2-ospf-1-area-0.0.0.0]net 172.16.112.12 0.0.0.0

[FW2-ospf-1-area-0.0.0.0]q

下面的核心交換機還沒配置，這個時候，OSFP是起不來的，不急於查看。現在可以配置兩台防火牆的心跳線了：

[FW1]int g1/0/0

[FW1-GigabitEthernet1/0/0]ip add 10.1.12.1 24

[FW1-GigabitEthernet1/0/0]q

[FW1]firewall zone trust

[FW1-zone-trust]undo add int g1/0/0

[FW1-zone-trust]q

[FW1]firewall zone dmz

[FW1-zone-dmz]add int g1/0/0

[FW1-zone-dmz]q

其實心跳線接口可以放在trunst區域，當然要放在DMZ區域也無可厚非。

[FW2]int g1/0/0

[FW2-GigabitEthernet1/0/0]ip add 10.1.12.2 24

[FW2-GigabitEthernet1/0/0]q

[FW2]firewall zone trust

[FW2-zone-trust]undo add interface g1/0/0

[FW2-zone-trust]q

[FW2]firewall zone dmz

[FW2-zone-dmz]add int g1/0/0

[FW2-zone-dmz]q

指定hrp鏈路，設置參數heartbeat-only，指定該備份通道只用於傳輸HRP控制協商報文，不備份連接狀態，保證雙機狀態的穩定。

[FW1]hrp interface g1/0/0 remote 10.1.12.2 heartbeat-only

[FW2]hrp interface g1/0/0 remote 10.1.12.1 heartbeat-only

[FW2]hrp standby-device //設置FW2為備份設備

在hrp主設備上定義相關參數：

[FW1]hrp standby config enable //備用設備也可以參與配置。 默認standy設備不可以自行管理，必須從master設備同步配置

[FW1]hrp auto-sync config //開啟配置命令和會話的自動同步，這個同步是相互的

[FW1]hrp mirror session enable //設置session的快速備份

[FW1]hrp timer hello 1000 //心跳線keepalive周期1sec，單位msec，默認就是1s一次

[FW1]hrp preempt delay 60 //如果Master設備故障恢復，需要保持60sec才可以恢復成Master身份，防止頻繁震盪

[FW1]hrp preempt //開啟恢復搶占

參數定義完成後，兩端開啟HRP

[FW1]hrp enable

[FW2]hrp enable

到這裡，防火牆的主備冗餘是基本上配置完成後，與核心交換機的互聯，以及NAT、安全策略的配置，留到下一篇文章繼續說明。

文章來源: https://twgreatdaily.com/zh-mo/b6d03283bfbcfef559fcc52fbb47cddb.html