某用户网络拓扑如下,用户想实现的需求是:内网用户 A 走电信线路上网,内网用户 B 走网通线路上网。两台防火墙同时工作,以减轻防火墙压力,任何一台防火墙出现问题,所 有数据走一台防火墙,不影响网络。
配置实现思路如下:
将防火墙 A 的 ETH5 和 ETH2 定义成虚拟组 50,优先级设置为 50。ETH1 和 ETH3定义成虚拟组 20,优先级设置为 20。
防火墙 B 的 ETH5 和 ETH2 定义成虚拟组 50,优先级设置为 40。ETH1 和 ETH3 定义成虚拟组 20,优先级 30 。
这样定义后,正常情况下,内网用户 A 上网会走防火墙 A 的 ETH2 和 ETH5 口上网。防火墙 B 上网会走防火墙 B 的 ETH3 和 ETH1 口。任何一个接口出现问题,均切换到另外一台防火墙的对应接口。
三层交换机 A 接两个防火墙的接口划分在同一个 VLAN,如图所示。192.168.2.1/24为防火墙 ETH2 接口的地址。三层交换机 A 下一跳指向 192.168.2.1/24 即可,防火墙 A 设置两条路由,到达 172.16.1.0/24 下一跳交给三层交换机 A,到达 172.16.2.0/24 下一跳交给三层交换机 B。三层交换机 B 和防火墙 B 的实现方法和设置方法一样。
第一步:防火墙 A:首先配置接口 IP 地址信息,源地址转换,回包路由,策略路由等信息。具体请参考前面章节。
第二步:防火墙 A:进入『高可用性』-『基本信息』配置接口。选择 ETH4 作为本机地址,对端通信地址填写好。该设置主要是两台防火墙同步配置以及协商 VRRP 使用。
第三步:防火墙 A:进入『高可用性』-『双机热备』配置接口。将 ETH5 和 ETH2 定义成虚拟组 50,优先级 50,抢占。ETH1 和 ETH3 定义成虚拟组 20,优先级 20 ,非抢占。
第四步:防火墙 A:进入『高可用性』-『配置同步』配置接口。将三种同步对象都选取即可。
第五步:防火墙 B:网络配置只需要配置双机 HA 接口即可。
第六步:防火墙 B:进入『高可用性』-『基本信息』配置接口。选择 ETH4 作为本机地址,对端通信地址填写好。该设置主要是两台防火墙同步配置以及协商 VRRP 使用。
第七步:防火墙 B:进入『高可用性』-『双机热备』配置接口。将 ETH5 和 ETH2 定义成虚拟组 50,优先级 40,非抢占。ETH1 和 ETH3 定义成虚拟组 20,优先级 30,抢占 。
第八步:防火墙 B:进入『高可用性』-『配置同步』配置接口。将三种同步对象都选取即可。
第九步:将防火墙 A 和防火墙 B 都断电,并且接好在线架。防火墙 A 先开机,待防火墙 A 开机后,再开启防火墙 B。防火墙 B 起来后会向防火墙 A 索取配置信息。注意开机顺序不能反。
建议使用Chrome浏览器访问!
