华为防火墙双机热备实验系列二：配置上下行连接交换机（负载分担）

乾颐堂 · 发表于 2023-9-25 17:09:33

登录/注册后可看大图

实验需求

配置上下行连接交换机（负载分担）。

在内网的设备上配置缺省路由，将部分设备的下一跳设置为 VRRP 备份组 1 的虚拟 IP 地址 10.1.1.254，另一部分设备的下一跳设置为 VRRP 备份组 3 的虚拟 IP 地址 10.1.1.253。

登录/注册后可看大图

设备配置：

2.1配置上下行交换机的负载分担双机热备，一个区域中一部分的设备网关是253，一部分是254。然后每个接口配置一个253和254的主或备角色，就可以达到负载分担的目的。

2.1.1进入接口视图，配置一个主一个备的网关，启用虚拟MAC，并配置心跳接口启用HRP

#FW1

①进入g0/0/1接口视图

登录/注册后可看大图

②配置vrrp虚拟网关地址并指定为下行网关254的主，253的备

登录/注册后可看大图

③打开虚拟MAC功能

登录/注册后可看大图

④进入g0/0/2接口视图

登录/注册后可看大图

⑤配置vrrp虚拟网关地址并指定上行网关254的主，253的备

登录/注册后可看大图

⑥打开虚拟MAC功能

登录/注册后可看大图

⑦指定心跳线接口

登录/注册后可看大图

⑧启用HRP

登录/注册后可看大图

#FW2

⑨与FW1步骤相同，但FW2的下行接口是254的备，253的主，下行接口是254的备，253的主

登录/注册后可看大图

测试现象：

①查看VRRP，发现FW1的G0/0/1和G0/0/2分别是10.1.1.254和202.100.1.254的主设备，10.1.1.253和202.100.1.253的备设备。FW2与之相反。

登录/注册后可看大图

②查看FW1和FW2的HRP状态均为active，接口为不同的VRRP虚拟IP的主备状态。

登录/注册后可看大图

③FW1查看HRP统计，配置信息同步发送了0条，接收0条。

登录/注册后可看大图

④FW1主设备上配置安全策略，放行trust到untrust的流量，一共五步，有+B的标志说明同步成功。查看HRP统计，发现发送了五条，FW2接收了五条。

登录/注册后可看大图

⑤配置下行连接的PC1和PC2，10.1.1.1和10.1.1.2，网关分别是10.1.1.254和10.1.1.253.同时使用参数-t ping 安全区域untrust的pc

登录/注册后可看大图

⑥查看会话表，会互相同步远端设备

登录/注册后可看大图

⑦断开FW1和SW1的链路，网络短暂的断开后恢复正常，查看FW2的HRP状态，发现standby状态的虚拟IP变成active状态

登录/注册后可看大图

账号		自动登录	找回密码
密码			论坛注册

华为防火墙双机热备实验系列二：配置上下行连接交换机（负载分担）

相关帖子

客服中心

投诉建议