ensp中防火墙双机热备配置实验_ensp防火墙双机热备实验

一：实验要求

1. 配置基本环境
2. 配置VRRP 、HRP
3. 配置安全策略，NAT配置
4. 主备设备切换

二：实验拓扑图

 

三：实验过程

1.路由器的配置

2.防火墙1的基本配置

 

 

 

 

开启默认的安全策略

 

防火墙2的基本配置

 

 

开启untrust区域的主机

 

 

之后将两个防火墙的默认安全策略关闭

 

防火墙VRRP配置

 

 

查看配置的VRRP

 

 

 

 

双机热备（HRP）

 

 

查看所配置的HRP

 

 

 

 

在主active设备上配置trust到untrust区域的安全策略，会发现standby设备自动学习

 

 

配置从trust区域到untrust区域的NAPT配置，同样会备份设备会学习到

 

 

 

 

内网主机向外网发包测试

 

此时进行双机热备状态检测

1. 关闭防火墙1的g1/0/1接口，观察热备状态以及网络通信状态

 

网络通信无终断，两个防火墙之间的主备可以完成切换

 

 

1. 恢复接口，默认60s后抢占，可进行抢占延迟修改

可以迅速完成抢占，网络通信会少丢包

 

 

四：实验总结

配置VRRP来设置哪个防火墙是主备（active），另一个就是备份（standby）

配置HRP（心跳线）用来当主备设备突然坏掉后，可以把储存的记录，传递给备份的设备

配置安全策略，实现trust到untrust区域的访问

当规定其中一个防火墙为主备设备后，另一个则为备份设备，当在主备设备上配置安全策略、地址池，备份设备都可以学习到