携手创作,共同成长!这是我参与「掘金日新计划 · 8 月更文挑战」的第21天,点击查看活动详情
前面我们讲解了IPSec vpn配置,今天我们来讲解一下双机热备防火墙的配置,首先我们准备三组设备,分别是防火墙两台,交换机两台,P测试C两台。首先我们配置两台防火墙的接口,IP和安全区域,并把接口加入安全区域:
system-view
inte G 1/0/1
ip add 10.11.0.1 255.255.255.0
quit
int G 1/0/2
ip address 10.12.0.1 255.255.255.0
q
firew zone trust
add int G 1/0/2
q
firew zone untrust
add int G 1/0/1
q
配置的关键在于做双备份,我们用PC和交换机做两个备份组1和2,一号组加入Trust安全区域,二号组加入Untrust安全区域,我们在之前创建了安全区域,选择把接口加入备份,同时设置状态:inter g 1/0/2 ip add 10.10.1.1 255.255.255.0 q 同时,我们加入DMZ区域: firewall zonne DMZ add int g 1/0/7 q hrp int g 1/0/7,这时候我们两个安全区域之间还是不能转发信息的,为了安全区域的通信,还需要配置Trust和Untrust区域之间的转发策略,我们先进入防火墙一:
进入安全区域
security-policy
rule name policy_cez
sou-zone trust
dest-zone untrust
action perm
q
最后开启功能enable,同样,这个配置我们同样需要配置双份,在一号防火墙上配置后还需要在二号防火墙上配置。两个设备的配置基本上相同,只是在数值上由一些变化,接口的IP地址不同,然后我们要加入的备份组不同,二号机的接口我们加入Untrust备份组2,然后我们还需要做一个缺省路由的配置。
完成后我们测试一下双机备份是否成功,在防火墙上执行display vrrp 查看组里面的接口状态,无误后检查hrp的状态,看看是否建立成功,最后查看会话。
好了,今天的讲解就到这里了。
