目录

一、实验拓扑

二、配置云

三、配置防火墙

四、分配FW的接口地址与安全区域

五、按图示进行配置

六、双机热备的配置

七、配置NAT

八、模拟双机热备的切换

---

一、实验拓扑

看上去挺复杂的其实这个实验还是比较简单的，Client1配置为IP 10.3.0.10 网关10.3.0.254

Server1 ip为12.1.1.2 网关12.1.1.1，其他的直接如图连线就行，如果懒得搞可以直接下载我的拓扑

百度网盘：

链接：https://pan.baidu.com/s/17UEHAk6ek1Tn2El9y4hjAQ?pwd=Chen
提取码：Chen

二、配置云

到这里，下载或者自己搞的同学都要做一件事，配置云，因为双机热备需要两台防火墙，所以需要配置两个云，并且，一个云配置为VMent1，一个云配置为VMent8，不会配置云的请看前面的基础配置实验==-==，同时修改本地网络适配器中VMent1和8的IP为手动获取，192.168.0.2和192.168.1.2

这里需要注意一个问题：再配置之前先ping一下192.168.0.1/192.168.1.1，如果ping不通则可以使用，如果配置之前就ping通了说明被占用了，需要换一个，如192.168.3.2 192.168.4.2 依次顺延，直到找到一个未被占用的

云配置好了接下来启动所有设备，并进入防火墙配置一下网络管理页面

三、配置防火墙

账号密码：admin Admin@123

修改密码为：Admin@1234

sy进入配置页面

int g0/0/0 进入0/0/0接口

ip address 192.168.1.1 24   

(这里要注意！配置哪台防火墙这个ip需要和与它相连的云的ip保持一致，比如V1网卡配置的是192.168.1.2，FW1连接的云配置的是V1网卡，那在配置FW1时 输入 ip address 192.168.1.1 24)

前面是实验没配过ip是因为防火墙默认的管理页面ip为192.168.0.1 前面用的就是0网段所以不用配

service-manage enable

service-manage all permit

到这基本上防火墙网路管理页面就配置完了，注意这是一台防火墙的配置，别忘了两台都需要配置！

接下来就是从网页访问一下，https://192.168.0.1:8443 和https://192.168.1.1:8443

注意这里的ip为配置的ip，我配置的是0网段和1网段

两个网址都访问到该页面，则说明配置成功

四、分配FW的接口地址与安全区域

如图Client1为trust区域 Sever1为Untrust区域，防火墙接口的ip为图示ip，防火墙心跳接口自定义安全区域为VGMP

五、按图示进行配置

防火墙一：

登陆防火墙，选择网络-》安全区域-》新建安全区域VGMP-》优先级90（大于85trust的优先级即可）-》将0/0/6选中

配置接口1/0/0和1/0/1

1/0/1同理

 1/0/6同理

配置防火墙二，重复上述步骤注意不是一模一样ip不一样哈

六、双机热备的配置

先配置FW1！！！

找到双机热备-》配置-》启用-》主备备份-》主用-》心跳接口选1/0/6，对端IP为172.16.1.2

配置接口监控，类别为接口，添加0/0/1和1/0/1

往下，配置虚拟地址，如图配置第一个VRMP组

配置到这就可以直接点确定了，去配置备份防火墙FW2

防火墙二，运行角色选择备用，其他的配置与防火墙一相同

回到防火墙一可以看到，已经配置成功

 在命令行中

可以看到HRP_M，意思是主用，而防火墙二中为HRP_S意思为备用，这里就不放图片啦，大家自己尝试去看看

七、配置NAT

 这一块不会整的请看前面的文章NAT配置实验

因为实验目的是使内部Client可以访问外网服务器，所以还需要做NAT的配置，但是此时为双机热备，可以自动同步配置，所以只需要在FW1上进行NAT的配置即可

新建地址池

配置NAT策略

 配置安全策略

测试连通性

Sever1中开启一个Ftp服务，用Client连接

 

登陆成功

八、模拟双机热备的切换

将client1换成一台PC

ping一下12.1.1.2

 一开始可能会卡一下，再ping就通了，接下来在交换机1连接防火墙的两个接口处开启抓包

开启后用PC1 ping 12.1.1.2 -t 持续ping

 可以看到连接FW1的接口处出现了ICMP报文，而连接备机的接口没有

接下来我们删掉FW1GE1/0/1的线路，模拟线路断开

PC1中间丢了4个包后又通了

再看抓包，连接FW2的接口开始工作

再看防火墙一，变成了备机，而防火墙二变成了主用

我们再把线连回来，稍等一会

看PC1，丢了一个包，这时候防火墙1已经切回来了

上面变的东西又都变回去了，大家可以自己做实验自己看，就不放图片啦

到这里整个实验就做完啦！可喜可贺