华为ensp防火墙双机热备AS模式

拓扑图

区域、接口、IP：

FW1:

[FW1]firewall zone trust

[FW1-zone-trust]add in g1/0/0

Quit

[FW1]firewall zone untrust

[FW1-zone-untrust]add in g1/0/1

[FW1]int g1/0/0

[FW1-GigabitEthernet1/0/0]ip add 10.1.1.1 24

[FW1-GigabitEthernet1/0/0]int g1/0/1

[FW1-GigabitEthernet1/0/1]ip add 10.1.2.1 24

FW2：

[FW2]firewall zone trust

[FW2-zone-trust]add in g1/0/0

[FW2-zone-trust]q

[FW2]firewall zone untrust

[FW2-zone-untrust]add in g1/0/1

[FW2-zone-untrust]q

[FW2]int g1/0/0

[FW2-GigabitEthernet1/0/0]ip add 10.1.1.2 24

[FW2-GigabitEthernet1/0/0]int g1/0/1

[FW2-GigabitEthernet1/0/1]ip add 10.1.2.2 24

VRRP、VGMP

FW1：

[FW1]int g1/0/0

[FW1-GigabitEthernet1/0/0]vrrp vrid 1 virtual-ip 10.1.1.254 active #配置vrrp虚拟网关并加入VGMP组active代表主网关。

[FW1]int g1/0/1

[FW1-GigabitEthernet1/0/1]vrrp vrid 2 virtual-ip 10.1.2.254 active

FW2:

[FW2]int g1/0/0

[FW2-GigabitEthernet1/0/0]vrrp vrid 1 virtual-ip 10.1.1.254 standby #配置vrrp虚拟网关并加入VGMP组standby代表备网关。

[FW2-GigabitEthernet1/0/0]int g1/0/1

[FW2-GigabitEthernet1/0/1]vrrp vrid 2 virtual-ip 10.1.2.254 standby

HRP（心跳）

FW1:

[FW1]int Eth-Trunk 1 #创建端口组1

[FW1-Eth-Trunk1]trunkport GigabitEthernet 1/0/5 to 1/0/6 #把接口加入端口组

[FW1-Eth-Trunk1]ip address 10.1.12.1 24 #给端口组配置ip

FW2:

[FW2]int Eth-Trunk 1 #创建端口组1

[FW2-Eth-Trunk1]trunkport GigabitEthernet 1/0/5 to 1/0/6 #把接口加入端口组

[FW2-Eth-Trunk1]ip add 10.1.12.2 24 #给端口组配置ip

FW1：

[FW1]hrp enable #开启hrp。

HRP_S[FW1]hrp interface Eth-Trunk 1 remote 10.1.12.2 #指定hrp接口，remote后面跟对端ip地址。

FW2：

[FW2]hrp enable #开启hrp。

HRP_S[FW2]hrp interface Eth-Trunk 1 remote 10.1.12.1 #指定hrp接口，remote后面跟对端ip地址。

FW1:

HRP_M[FW1]firewall zone dmz

HRP_M[FW1-zone-dmz]add in Eth-Trunk 1

FW2:

HRP_M[FW2]firewall zone dmz

HRP_M[FW2-zone-dmz]add in Eth-Trunk 1

加入防火墙区域之后就可以互相知道状态了

#主

#备

#现在可以看到vrrp的类型已经不是vrrp决定的了，而是vgmp。

安全策略：

HRP_M[FW1]security-policy (+B) #进入安全策略（+B）代表自动同步。

HRP_M[FW1-policy-security]rule name shangwang (+B) #策略名称。

HRP_M[FW1-policy-security-rule-shangwang]source-zone trust (+B) #源区域。

HRP_M[FW1-policy-security-rule-shangwang]destination-zone untrust (+B) #目的区域。

HRP_M[FW1-policy-security-rule-shangwang]action permit (+B) #访问。

#交换机生成虚max地址，后面两位是vrrp vid。

测试：

FW1：

#命中数为5次。

FW2：

#备防护墙命中数为0。

#使用长ping。

FW1：

#把接口关掉。

#中间有一次丢包。

FW2:

#可以看到FW2自动成为主防火墙了。

#再看命中数。

FW1：

#这里显示开启接口后1分钟会进行抢占。

#开启接口，等待一分钟。

#可以看到已经抢占回来了。

！所有配置完成以后，备设备是可以进行基础的ip接口什么配置的，但是复杂的一些东西不能配置。