组网需求

如图1所示，企业的两台FW的业务接口都工作在三层，上下行分别连接路由器。FW与上下行路由器之间运行OSPF协议。上行接口连接同一个ISP。

现在希望两台FW以负载分担方式工作。正常情况下，部门A的用户发出的流量通过FW_A转发，部门B的用户发出的流量通过FW_B转发。当其中一台FW出现故障时，流量全部通过另一台FW转发，保证业务不中断。

本例以上下行均连接路由器的负载分担组网为例，实际上下行设备和接口根据实际场景判断是否需要配置OSPF，源NAT配置没有差异。

本例不适用上行接口连接两个不同的ISP的场景。

数据规划

配置思路

1. 分别在FW_A和FW_B上配置接口IP地址和安全区域，完成网络基本参数配置。
2. 分别在FW_A和FW_B上配置OSPF。
3. 由于FW_A和FW_B共用一个NAT地址池，主备设备都正常运行的情况下，两台FW可能会将不同主机发来的流量的源IP地址和源端口转换为同一个公网地址和公网端口。为避免出现端口冲突问题，需要为主备设备分配不同的端口范围。
4. 分别在FW_A和FW_B上配置双机热备功能，包括配置接口监控、指定心跳口、启用快速备份功能等。
5. 在FW_A上配置允许设备间交互OSPF报文及允许内网访问外网的安全策略。FW_A上配置的安全策略会自动备份到FW_B上。
6. 在FW_A上配置NAT地址池。FW_A上配置的NAT地址池会自动备份到FW_B上。
7. 在FW_A上配置源NAT策略，实现内网访问外网时自动进行源地址转换。FW_A上配置的源NAT策略会自动备份到FW_B上。
8. 配置下行设备，使得正常情况下部门A用户发出的流量通过FW_A转发，部门B用户发出的流量通过FW_B转发。
9. 在上行路由器上配置接口地址、指向ISP的静态路路由，同时配置OSPF使得FW和路由之间互相学习对方的路由。在下行路由器上配置接口地址，同时配置OSPF使得FW和路由之间互相学习对方的路由。具体配置请参见路由器的产品文档，本举例不作介绍。

操作步骤

1. 配置接口IP地址和安全区域，完成网络基本参数配置。

   在FW_A上配置接口。
   
   
   # 配置接口IP地址。
   
   <FW_A> system-view
   [FW_A] interface GigabitEthernet 1/0/1
   [FW_A-GigabitEthernet 1/0/1] ip address 10.2.0.1 24
   [FW_A-GigabitEthernet 1/0/1] quit
   [FW_A] interface GigabitEthernet 1/0/3
   [FW_A-GigabitEthernet 1/0/3] ip address 10.3.0.1 24
   [FW_A-GigabitEthernet 1/0/3] quit
   [FW_A] interface GigabitEthernet 1/0/7
   [FW_A-GigabitEthernet 1/0/7] ip address 10.10.0.1 24
   [FW_A-GigabitEthernet 1/0/7] quit
   # 配置接口加入相应安全区域。
   
   [FW_A] firewall zone trust
   [FW_A-zone-trust] add interface GigabitEthernet 1/0/3
   [FW_A-zone-trust] quit
   [FW_A] firewall zone untrust
   [FW_A-zone-untrust] add interface GigabitEthernet 1/0/1 
   [FW_A-zone-untrust] quit
   [FW_A] firewall zone dmz
   [FW_A-zone-dmz] add interface GigabitEthernet 1/0/7 
   [FW_A-zone-dmz] quit
   
   
   在FW_B上配置接口。
   
   
   # 配置接口IP地址。
   
   <FW_B> system-view
   [FW_B] interface GigabitEthernet 1/0/1
   [FW_B-GigabitEthernet 1/0/1] ip address 10.2.1.1 24
   [FW_B-GigabitEthernet 1/0/1] quit
   [FW_B] interface GigabitEthernet 1/0/3
   [FW_B-GigabitEthernet 1/0/3] ip address 10.3.1.1 24
   [FW_B-GigabitEthernet 1/0/3] quit
   [FW_B] interface GigabitEthernet 1/0/7
   [FW_B-GigabitEthernet 1/0/7] ip address 10.10.0.2 24
   [FW_B-GigabitEthernet 1/0/7] quit
   # 配置接口加入相应安全区域。
   
   [FW_B] firewall zone trust
   [FW_B-zone-trust] add interface GigabitEthernet 1/0/3
   [FW_B-zone-trust] quit
   [FW_B] firewall zone untrust
   [FW_B-zone-untrust] add interface GigabitEthernet 1/0/1 
   [FW_B-zone-untrust] quit
   [FW_B] firewall zone dmz
   [FW_B-zone-dmz] add interface GigabitEthernet 1/0/7
   [FW_B-zone-dmz] quit
   
   
   在FW_A和FW_B上配置OSPF。
   
   
   # 在FW_A上配置OSPF。
   
   [FW_A] ospf 10
   [FW_A-ospf-100] import-route unr
   [FW_A-ospf-100] area 0
   [FW_A-ospf-100-area-0.0.0.0] network 10.2.0.0 0.0.0.255
   [FW_A-ospf-100-area-0.0.0.0] network 10.3.0.0 0.0.0.255
   # 在FW_B上配置OSPF。
   
   [FW_B] ospf 10
   [FW_B-ospf-100] import-route unr
   [FW_B-ospf-100] area 0
   [FW_B-ospf-100-area-0.0.0.0] network 10.2.1.0 0.0.0.255
   [FW_B-ospf-100-area-0.0.0.0] network 10.3.1.0 0.0.0.255

2. 配置负载分担场景的NAT地址池端口分配功能。

   双机热备的负载分担场景下，两台FW共用同一个NAT地址池时，在NAPT模式下有可能两台设备分配的公网端口出现冲突。为了避免这种可能存在的冲突，需要在两台设备上分别配置各自可使用的NAT资源（包括公网IP地址和公网端口号）。此时，可以在主设备上配置hrp nat resource primary-group命令，备设备上会自动生成hrp nat resource secondary-group命令（如果主设备上配置的是hrp nat resource secondary-group命令，则备设备上将自动对应生成hrp nat resource primary-group命令）。
   
   [FW_A] hrp nat resource primary-group

3. 配置双机热备功能。

   1. 在FW_A上配置双机热备功能。
      
      
      # 配置接口监控。
      
      [FW_A] hrp track interface GigabitEthernet 1/0/1
      [FW_A] hrp track interface GigabitEthernet 1/0/3
      # 指定心跳接口。
      
      [FW_A] hrp interface GigabitEthernet 1/0/7 remote 10.10.0.2
      # 启用快速备份功能。
      
      [FW_A] hrp mirror session enable
      负载分担场景下，报文的来回路径可能会不一致，务必启用会话快速备份功能，使一台FW的会话信息立即同步至另一台FW，保证内外部用户的业务不中断。
      
      # 启用双机热备。
      
      [FW_A] hrp enable

   2. 在FW_B上配置双机热备功能。

      # 配置接口监控。
      
      [FW_B] hrp track interface GigabitEthernet 1/0/1
      [FW_B] hrp track interface GigabitEthernet 1/0/3
      # 指定心跳接口。
      
      [FW_B] hrp interface GigabitEthernet 1/0/7 remote 10.10.0.1
      # 启用快速备份功能。
      
      [FW_B] hrp mirror session enable
      # 启用双机热备。
      
      [FW_B] hrp enable

4. 在FW_A上配置安全策略允许设备间交互OSPF报文及允许内网用户访问外网。

   在FW_A上配置的安全策略会自动备份到FW_B上。

   HRP_M[FW_A] security-policy
   HRP_M[FW_A-policy-security] rule name policy_sec_1
   HRP_M[FW_A-policy-security-rule-policy_sec_1] source-zone local trust untrust
   HRP_M[FW_A-policy-security-rule-policy_sec_1] destination-zone local trust untrust
   HRP_M[FW_A-policy-security-rule-policy_sec_1] action permit
   HRP_M[FW_A-policy-security-rule-policy_sec_1] quit
   HRP_M[FW_A-policy-security] quit

5. 配置NAT地址池，并允许端口转换，实现公网地址复用。

   在FW_A上配置的地址池会自动备份到FW_B上。

   HRP_M[FW_A] nat address-group addressgroup1
   HRP_M[FW_A-nat-address-group-addressgroup1] section 0 1.1.1.10 1.1.1.10
   HRP_M[FW_A-nat-address-group-addressgroup1] mode pat
   HRP_M[FW_A-nat-address-group-addressgroup1] route enable
   HRP_M[FW_A-nat-address-group-addressgroup1] quit

6. 配置源NAT策略，使内网用户通过转换后的公网IP地址访问Internet。

   在FW_A上配置的NAT策略会自动备份到FW_B上。

   HRP_M[FW_A] nat-policy
   HRP_M[FW_A-policy-nat] rule name policy_nat_1
   HRP_M[FW_A-policy-nat-policy_nat_1] source-zone trust
   HRP_M[FW_A-policy-nat-policy_nat_1] destination-zone untrust
   HRP_M[FW_A-policy-nat-policy_nat_1] action source-nat address-group addressgroup1
   HRP_M[FW_A-policy-nat-policy_nat_1] quit
   HRP_M[FW_A-policy-nat] quit

7. 配置下行设备，使得两台FW都正常运行的情况下，部门A用户发出的流量通过FW_A转发，部门B用户发出的流量通过FW_B转发。
8. 在上行路由器上配置接口地址、指向ISP的静态路路由，同时配置OSPF使得FW和路由之间互相学习对方的路由。在下行路由器上配置接口地址，同时配置OSPF使得FW和路由之间互相学习对方的路由。具体配置请参见路由器的产品文档，本举例不作介绍。

结果验证

配置脚本

#
 hrp mirror session enable
 hrp enable
 hrp interface GigabitEthernet 1/0/7 remote 10.10.0.2
#
hrp nat resource primary-group
#
hrp track interface GigabitEthernet 1/0/1
hrp track interface GigabitEthernet 1/0/3
#
interface GigabitEthernet 1/0/7
 ip address 10.10.0.1 255.255.255.0
#
firewall zone trust
 set priority 85
 add interface GigabitEthernet 1/0/3
#
firewall zone untrust
 set priority 5
 add interface GigabitEthernet 1/0/1
#
firewall zone dmz
 set priority 50
 add interface GigabitEthernet 1/0/7
#  
ospf 10 
 import-route unr
 area 0.0.0.0
  network 10.2.0.0 0.0.0.255
  network 10.3.0.0 0.0.0.255
#    
 nat address-group addressgroup1
 mode pat 
 route enable 
 section 0 1.1.1.10 1.1.1.10
#    
security-policy  
 rule name policy_sec_1
  source-zone local
  source-zone trust
  source-zone untrust
  destination-zone local
  destination-zone trust  
  destination-zone untrust
  action permit    
#    
nat-policy  
 rule name policy_nat_1
  source-zone trust
  destination-zone untrust
  action source-nat address-group addressgroup1

#
 hrp mirror session enable
 hrp enable
 hrp interface GigabitEthernet 1/0/7 remote 10.10.0.1
#
hrp nat resource secondary-group
#
hrp track interface GigabitEthernet 1/0/1
hrp track interface GigabitEthernet 1/0/3
#
interface GigabitEthernet 1/0/7
 ip address 10.10.0.2 255.255.255.0
#
firewall zone trust
 set priority 85
 add interface GigabitEthernet 1/0/3
#
firewall zone untrust
 set priority 5
 add interface GigabitEthernet 1/0/1
#
firewall zone dmz
 set priority 50
 add interface GigabitEthernet 1/0/7
#  
ospf 10 
 import-route unr
 area 0.0.0.0
  network 10.2.1.0.0.0.255
  network 10.3.1.0 0.0.0.255
#    
 nat address-group addressgroup1
 mode pat 
 route enable 
 section 0 1.1.1.10 1.1.1.10
#    
security-policy  
 rule name policy_sec_1
  source-zone local
  source-zone trust
  source-zone untrust
  destination-zone local
  destination-zone trust  
  destination-zone untrust
  action permit    
#    
nat-policy  
 rule name policy_nat_1
  source-zone trust
  destination-zone untrust
  action source-nat address-group addressgroup1