实验目的
防火墙现网典型应用-双机热备
实验过程
分别实现二层,三层的双机热备配置
a.上下联二层环境
接口IP配置举例
int g1/0/0
ip add 10.1.12.253 24
int g1/0/1
ip add 10.1.34.253 24
int g1/0/6
ip address 12.1.1.2 24
防火墙创建区域zone,并绑定接口
firewall zone untrust
add interface GigabitEthernet 1/0/1
firewall zone trust
add interface GigabitEthernet 1/0/0
firewall zone name hrp
set priority 1
add interface GigabitEthernet 1/0/6
配置防火墙安全策略
security-policy
rule name 2ceng
source-zone trust untrust hrp local
destination-zone trust untrust hrp local
service icmp
action permit
防火墙接口下配置VRRP
上联
vrrp vrid 12 virtual-ip 10.1.12.252 24 active/standby
下联
vrrp vrid 12 virtual-ip 10.1.34.252 24 active/standby
配置VGMP组,开启HRP同步,用track监听线路
hrp interface GigabitEthernet 1/0/6 remote 12.1.1.1
hrp enable
hrp track interface GigabitEthernet 1/0/0
hrp track interface GigabitEthernet 1/0/1
此时在PC5上pingPC6
b.上下联三层环境
基础配置底层OSPF互通,上联area0,下联area1,防火墙作为ABR设备起两个区域
因为要做VRRP虚拟网关,所以防火墙上下联与虚拟网关配置同一网段,另外底层通过OSPF配通,通过VGMP状态调整OSPF cost,切换路径
验证结果
防火墙FW1是主
R4pingR2走4-3-1-2
R4上路由全是往FW1走符合设计
R4长pingR2,此时断开左侧线路观察
流量短暂丢包后连通,此时路由路径切换到备,如下
实验结论
双机热备份实现了双机业务的备份功能,业务信息通过备份链路实现批量备份和实时备份,保证在主设备故障时业务能够不中断地顺利切换到备份设备,从而降低了单点故障的风险,提高了网络的可靠性。
