实验拓扑如下:
PC1:ip地址为10.1.1.2/24 网关:10.1.1.1/24
PC2:100.1.2.1/24 网关:100.1.1.1/24
1、防火墙FW1配置
(1)创建两个vlan一个vlan2和vlan3,将接口0/0/1划入vlan2,0/0/2和0/0/3划入vlan3.
vlan3中网关地址为10.1.2.1/24。
2、防火墙fw2的配置(1)同理与fw1的配置一样只是地址变了 ,建两个vlan一个vlan2和vlan3,将接口0/0/2划入vlan2,0/0/1和0/0/3划入vlan3。vlan3中网关地址为100.1.1.1/24。
(3)接口配置
fw1:
g1/0/0:
g1/0/1
fw2:
g1/0/0:
g1/01:
(4)静态路由配置
面向trust区域:
面向untrust区域:
防火墙fw2也是一样的配置只是地址不同而已。
2、心跳线的配置
心跳线的作用:就是为了数据同步。
实验拓扑改变如下:
(1)配置心跳线接口
fw1
fw2:将地址配置为1.1.1.2/24
提示:至于这个接口可以写一个trust区域,ip地址只要保证相互能够通信就可以。
(2)配置一条trust到untrust的策略
因为心跳线已经接上了,FW2就不用在单独配置了,自然可以同步过去。
3、双击热备配置
FW1做主用配置:
FW2备用配置:
提示:在这里做备主用的时候要注意VRID配置的时候接口两边都要对应上,trust区域对应trust区域,untrust对untrust。
检查状态:
FW2:
在这里我们可以明显看到之前我们只是在FW1做了策略,并没有在FW2上做策略,显然通过心跳线的作用数据已经同步了。
FW1:
测试:
PC1pingPC2检查整条链路的连通性。
成功。
4、总结
1、当然如果你想看到主备切换的效果你可以配置接口的监控,然后查看数据流的走向情况。
2、我们这里使用的是防火墙的三层接口,你也可以使用二层接口来配置,二层就不适用VRRP了,你可以自己配置OSPF、BGP等监控来实现。
版权归原作者 啥也不懂的小菜鸡 所有, 如有侵权,请联系我们删除。