华为防火墙USG6000V：防火墙直路部署，上下行连接交换机（华为防火墙usg6000和三层交换机配置）

华为防火墙USG6000V：防火墙直路部署，上下行连接交换机（华为防火墙usg6000和三层交换机配置）

介绍了业务接口工作在三层，上下行连接交换机的主备备份组网的CLI举例。

企业的两台FW的业务接口都工作在三层，上下行分别连接二层交换机。上行交换机连接运营商的接入点，运营商为企业分配的IP地址为1.1.1.1。现在希望两台FW以主备备份方式工作。正常情况下，流量通过FW1转发。当FW1出现故障时，流量通过FW2转发，保证业务不中断。

操作步骤

完成网络基本配置

*FW1配置IP地址和加入相对应的安全区域

system-view[FW1] interface GigabitEthernet 1/0/1[FW1-GigabitEthernet1/0/1] ip address 10.2.0.1 24[FW1-GigabitEthernet1/0/1] quit [FW1] interface GigabitEthernet 1/0/3[FW1-GigabitEthernet1/0/3] ip address 10.3.0.1 24[FW1-GigabitEthernet1/0/3] quit [FW1] interface GigabitEthernet 1/0/7[FW1-GigabitEthernet1/0/7] ip address 10.10.0.1 24[FW1-GigabitEthernet1/0/7] quit

[FW1] firewall zone trust[FW1-zone-trust] add interface GigabitEthernet 1/0/3[FW1-zone-trust] quit [FW1] firewall zone dmz[FW1-zone-dmz] add interface GigabitEthernet 1/0/7[FW1-zone-dmz] quit [FW1] firewall zone untrust[FW1-zone-untrust] add interface GigabitEthernet 1/0/1[FW1-zone-untrust] quit

*FW2配置IP地址和加入相对应的安全区域

system-view[FW2] interface GigabitEthernet 1/0/1[FW2-GigabitEthernet1/0/1] ip address 10.2.0.2 24[FW2-GigabitEthernet1/0/1] quit [FW2] interface GigabitEthernet 1/0/3[FW2-GigabitEthernet1/0/3] ip address 10.3.0.2 24[FW2-GigabitEthernet1/0/3] quit [FW2] interface GigabitEthernet 1/0/7[FW2-GigabitEthernet1/0/7] ip address 10.10.0.2 24[FW2-GigabitEthernet1/0/7] quit

[FW2] firewall zone trust[FW2-zone-trust] add interface GigabitEthernet 1/0/3[FW2-zone-trust] quit [FW2] firewall zone dmz[FW2-zone-dmz] add interface GigabitEthernet 1/0/7[FW2-zone-dmz] quit [FW2] firewall zone untrust[FW2-zone-untrust] add interface GigabitEthernet 1/0/1[FW2-zone-untrust] quit

# 在FW上配置缺省路由，下一跳为1.1.1.10，使内网用户的流量可以正常转发至Router。

[FW1] ip route-static 0.0.0.0 0.0.0.0 1.1.1.10

[FW2] ip route-static 0.0.0.0 0.0.0.0 1.1.1.10

配置VRRP备份组。

# 在FW1上行业务接口GE1/0/1上配置VRRP备份组1，并设置其状态为Active。在FW2上行业务接口GE1/0/1上配置VRRP备份组1，并设置其状态为Standby。需要注意的是如果接口的IP地址与VRRP备份组地址不在同一网段，则配置VRRP备份组地址时需要指定掩码。

[FW1] interface GigabitEthernet 1/0/1[FW1-GigabitEthernet1/0/1] vrrp vrid 1 virtual-ip 1.1.1.1 24 active[FW1-GigabitEthernet1/0/1] quit

[FW2] interface GigabitEthernet 1/0/1[FW2-GigabitEthernet1/0/1] vrrp vrid 1 virtual-ip 1.1.1.1 24 standby[FW2-GigabitEthernet1/0/1] quit

# 在FW1下行业务接口GE1/0/3上配置VRRP备份组2，并设置其状态为Active。在FW2下行业务接口GE1/0/3上配置VRRP备份组2，并设置其状态为Standby。

[FW1] interface GigabitEthernet 1/0/3[FW1-GigabitEthernet1/0/3] vrrp vrid 2 virtual-ip 10.3.0.3 active[FW1-GigabitEthernet1/0/3] quit

[FW2] interface GigabitEthernet 1/0/3[FW2-GigabitEthernet1/0/3] vrrp vrid 2 virtual-ip 10.3.0.3 standby[FW2-GigabitEthernet1/0/3] quit

​

​

指定心跳口并启用双机热备功能。

*FW1

[FW1] hrp interface GigabitEthernet 1/0/6 remote 10.10.0.2 [FW1] hrp enable

*FW2

[FW2] hrp interface GigabitEthernet 1/0/6 remote 10.10.0.1 [FW] hrp enable

在FW1上配置安全策略。双机热备状态成功建立后，FW1的安全策略配置会自动备份到FW2上。

配置安全策略，允许内网用户访问Internet。

HRP_M[FW1] security-policyHRP_M[FW1-policy-security] rule name trust_to_untrust HRP_M[FW1-policy-security-rule-trust_to_untrust] source-zone trustHRP_M[FW1-policy-security-rule-trust_to_untrust] destination-zone untrustHRP_M[FW1-policy-security-rule-trust_to_untrust] source-address 10.3.0.0 24HRP_M[FW1-policy-security-rule-trust_to_untrust] action permitHRP_M[FW1-policy-security-rule-trust_to_untrust] quitHRP_M[FW1-policy-security] quit

在FW1上配置NAT策略。双机热备状态成功建立后，FW1的NAT策略配置会自动备份到FW2上。

* 配置NAT策略，当内网用户访问Internet时，将源地址由10.3.0.0/16网段转换为地址池中的地址（1.1.1.2-1.1.1.5）。

HRP_M[FW1] nat address-group group1HRP_M[FW1-address-group-group1] section 0 1.1.1.2 1.1.1.5HRP_M[FW1-address-group-group1] quitHRP_M[FW1] nat-policyHRP_M[FW1-policy-nat] rule name policy_nat1 HRP_M[FW1-policy-nat-rule-policy_nat1] source-zone trustHRP_M[FW1-policy-nat-rule-policy_nat1] destination-zone untrustHRP_M[FW1-policy-nat-rule-policy_nat1] source-address 10.3.0.0 16 HRP_M[FW1-policy-nat-rule-policy_nat1] action source-nat address-group group1

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。