一、场景概述

场景说明：

中小型企业很有可能只有一个根外网线，一个公网IP，如何接两个防火墙呢？在这种场景下，可以将外网线接入到交换机上，然后交换机下方接入两台防火墙，防火墙使用VRRP技术，在防火墙的实际接口上配置两个私网地址，然后虚拟出一个公网地址（注：VRRP的实际地址可以与虚拟地址不在同一个网段！）。

虽然只有一个外网线，但是如果买了多个公网IP的话，可以让防火墙VRRP的实际地址也用公网IP，这样我们后面做NAT的时候更加方便一些。

这种组网方式适用于中小型网络，仅防火墙有冗余，而交换机没有冗余。

ENSP模拟拓扑：

主防火墙的接口IP和区域：

备防火墙的接口IP和区域：

二、图形界面配置过程

配置概述：

1、主备防火墙在配置完HRP协议之后是会同步策略的，包括：NAT策略、安全策略，但是路由不会同步过去！

2、在配置策略的时候默认是从主设备配置，不允许从备设备配置！如果想让备设备配置策略的话，就在主设置上输入：“hrp standby config enable”即可。

3、主备的配置过程可以简单概括为：

a) 配置HRP、VRRP

b) NAT

c) 静态路由

主防火墙图形界面配置过程：

1、高可靠----启动“双机热备”----选择“主备备份”或者“负载分担”----选择“运行角色”--指定心跳接口---心跳接口的IP和对端IP，如下图所示：

2新建虚拟IP地址，如下图所示（左侧和右侧）：

如果防火墙上仅有VRRP的话最好使用监控上联口，如果有VGMP存在的话，监控上联口就可以省略，我们这里可以不做监控上联口。

3、NAT转换

NAT转换时要注意，如果都是三个公网地址，那么三个公网地址在转换时都可以使用。如果仅有一个公网地址的话，那么NAT转换时只能使用那个公网地址。

NAT策略---源NAT---如下图所示：

这要要注意，路由器在配置NAT时，源和目标要指定接口，而在防火墙上源和目标指的区域而不是某个接口，上图的意思为：“只要是从trust区域过来的流量，防火墙都将其源IP转换成untrust的IP地址”。

4、静态路由

备防火墙图形界面配置过程：

1、高可靠----启动“双机热备”----选择“主备备份”或者“负载分担”----选择“运行角色”--指定心跳接口---心跳接口的IP和对端IP，如下图所示：

2新建虚拟IP地址，如下图所示（左侧和右侧）：

3、NAT转换

备防火墙的NAT策略不用配置，因为主配置完成后，会自动同步过来。

NAT策略---源NAT---如下图所示：

4、静态路由

测试1：冗余性测试

测试2：查看会话同步,dis seession

测试3：交换机上dis mac，查看VRRP的免费ARP

命令行配置时，当HRP生效时，防火墙的名字也会发生变化，主设备会在名字后面加一个M，代表自己是主设备，备防火墙会在名字后面加一个s，代表自己是备用设备。
当在主防火墙配置策略的时候，在出现（+B），这个意思是说已经同步到备设备那里去了。
防火墙默认不允许ICMP协议检测，在trust区域使用tracert命令时，要在防火墙运行"icmp tll-exceeded send"，这样就会允许ICMP检测了。
主设备一定不要忘记配置安全策略。
默认开启抢占，且抢占延迟为60秒，可以通过“hrp preempt delay <秒数>。
在模拟器上做实验的时候，双机切换比较慢，估计会有一分钟的延迟。
VRRP查看命令：dis vrrp brief、dis vrrp verbose