华为防火墙双机热备实验系列二:配置上下行连接交换机(负载分担)
https://editor-material.365editor.com/style/20230220167686474063f2ece47a929material.gif实验需求
配置上下行连接交换机(负载分担)。
在内网的设备上配置缺省路由,将部分设备的下一跳设置为 VRRP 备份组 1 的虚拟 IP 地址 10.1.1.254,另一部分设备的下一跳设置为 VRRP 备份组 3 的虚拟 IP 地址 10.1.1.253。
https://editor-user.365editor.com/98/85/4933185/1695631710400559.png
设备配置:
2.1配置上下行交换机的负载分担双机热备,一个区域中一部分的设备网关是253,一部分是254。然后每个接口配置一个253和254的主或备角色,就可以达到负载分担的目的。
2.1.1进入接口视图,配置一个主一个备的网关,启用虚拟MAC,并配置心跳接口启用HRP
#FW1
①进入g0/0/1接口视图
https://editor-user.365editor.com/98/85/4933185/1695631823575118.png
②配置vrrp虚拟网关地址并指定为下行网关254的主,253的备
https://editor-user.365editor.com/98/85/4933185/1695631850193393.png
③打开虚拟MAC功能
https://editor-user.365editor.com/98/85/4933185/1695631895603173.png
④进入g0/0/2接口视图
https://editor-user.365editor.com/98/85/4933185/1695631927701311.png
⑤配置vrrp虚拟网关地址并指定上行网关254的主,253的备
https://editor-user.365editor.com/98/85/4933185/1695631972777056.png
⑥打开虚拟MAC功能
https://editor-user.365editor.com/98/85/4933185/1695631999974666.png
⑦指定心跳线接口
https://editor-user.365editor.com/98/85/4933185/1695632026798341.png
⑧启用HRP
https://editor-user.365editor.com/98/85/4933185/1695632048564421.png
#FW2
⑨与FW1步骤相同,但FW2的下行接口是254的备,253的主,下行接口是254的备,253的主
https://editor-user.365editor.com/98/85/4933185/169563207766788.png
测试现象:
①查看VRRP,发现FW1的G0/0/1和G0/0/2分别是10.1.1.254和202.100.1.254的主设备,10.1.1.253和202.100.1.253的备设备。FW2与之相反。
https://editor-user.365editor.com/98/85/4933185/1695632123911430.png
https://editor-user.365editor.com/98/85/4933185/1695632268891098.png
②查看FW1和FW2的HRP状态均为active,接口为不同的VRRP虚拟IP的主备状态。
https://editor-user.365editor.com/98/85/4933185/1695632299806197.png
https://editor-user.365editor.com/98/85/4933185/1695632307424077.png
③FW1查看HRP统计,配置信息同步发送了0条,接收0条。
https://editor-user.365editor.com/98/85/4933185/1695632347345710.png
https://editor-user.365editor.com/98/85/4933185/1695632353975185.png
④FW1主设备上配置安全策略,放行trust到untrust的流量,一共五步,有+B的标志说明同步成功。查看HRP统计,发现发送了五条,FW2接收了五条。
https://editor-user.365editor.com/98/85/4933185/1695632376169745.png
https://editor-user.365editor.com/98/85/4933185/1695632386375616.png
⑤配置下行连接的PC1和PC2,10.1.1.1和10.1.1.2,网关分别是10.1.1.254和10.1.1.253.同时使用参数-tping 安全区域untrust的pc
https://editor-user.365editor.com/98/85/4933185/1695632406802262.png
https://editor-user.365editor.com/98/85/4933185/1695632414265378.png
https://editor-user.365editor.com/98/85/4933185/1695632423575245.png
⑥查看会话表,会互相同步远端设备
https://editor-user.365editor.com/98/85/4933185/169563243968341.png
https://editor-user.365editor.com/98/85/4933185/1695632444137735.png
⑦断开FW1和SW1的链路,网络短暂的断开后恢复正常,查看FW2的HRP状态,发现standby状态的虚拟IP变成active状态
https://editor-user.365editor.com/98/85/4933185/1695632464247422.png
https://editor-user.365editor.com/98/85/4933185/169563247065309.png
https://editor-material.365editor.com/style/20230220167686474063f2ece49a3d3material.gifhttps://editor-material.365editor.com/style/20230220167686474063f2ece4b7c43material.gif
页:
[1]