防火墙实验-02
目录
实验拓扑
- Cloud1 模拟 PC,绑定物理机虚拟网卡实现物理机接入网络,IP 地址为
192.168.1.100
- Server1 提供 Http 服务,使用默认端口 80,IP 地址为
192.168.2.100
- FW1 是主用防火墙。GE1/0/0 口作为内网侧业务口和管理口,实际 IP 为
192.168.1.1
,虚拟 IP 为192.168.1.254
;GE1/0/1外网侧业务口,实际 IP 为192.168.2.1
,虚拟 IP 为192.168.2.254
;GE1/0/6 作为双机热备心跳接口,IP地址为192.168.3.1
- FW2 是备用防火墙。GE1/0/0 口作为内网侧业务口和管理口,实际 IP 为
192.168.1.2
,虚拟 IP 为192.168.1.254
;GE1/0/1外网侧业务口,实际 IP 为192.168.2.2
,虚拟 IP 为192.168.2.254
;GE1/0/6 作为双机热备心跳接口,IP地址为192.168.3.2
实验目的
两台防火墙实现双机热备,当一台防火墙网络故障时,Could1 依旧能够访问 Server1 的 Http 服务。当故障恢复时,防火墙的主备状态不切换。
实验步骤
Cloud1 配置
- 绑定物理机虚拟网卡实现物理机接入网络,IP 地址为
192.168.1.100
Server1 配置
- 配置服务器地址,子网掩码以及网关等相关信息
- 配置并开启服务器 Http 服务
Fw1 配置
初始配置
- 登录设备,并修改密码。华为防火墙默认账号密码为
admin/Admin@123
,我设置的新密码为Admin@1234
- 配置管理口 GE1/0/0 的 IP 地址为
192.168.1.1
- 开启 https 管理方式并将管理口加入 trust 安全域
接口配置
- 禁用默认管理口 GE0/0/0
- 配置内网侧业务口 GE1/0/0 的实际 IP 地址为
192.168.1.1/24
并加入 trust 安全域 - 配置外网侧业务口 GE1/0/1 的实际 IP 地址为
192.168.2.1/24
并加入 untrust 安全域 - 配置心跳口 GE1/0/6 的 IP 地址为
192.168.3.1/24
并加入 trust 安全域
地址对象配置
- 将内网地址段
192.168.1.0/24
配置成内网 IP 地址对象
安全策略配置
- 配置安全策略允许 trust 安全域的内网 IP 地址访问任意安全域
高可靠性配置
- 开启双机热备
- 设置运行模式为主备模式,选择运行角色为主用
- 设置心跳接口为 GE1/0/6 并设置对端接口的 IP
- 关闭主动抢占模式,开启静态路由自动备份
- 配置接口监控,监控业务口 GE1/0/0 和 GE1/0/1
- 配置内网业务口 GE1/0/0 的虚拟 IP 为
192.168.1.254/24
,外网业务口 GE1/0/1 的虚拟 IP 为192.168.2.254/24
备注:此时防火墙当前运行角色为备用是因为还未配置备用防火墙
FW2 配置
初始配置
采用和 FW1 相同的方式进行初始配置,管理口 IP 设置为 192.168.1.2
接口配置
- 禁用默认管理口 GE0/0/0
- 配置内网侧业务口 GE1/0/0 的实际 IP 地址为
192.168.1.2/24
并加入 trust 安全域 - 配置外网侧业务口 GE1/0/1 的实际 IP 地址为
192.168.2.2/24
并加入 untrust 安全域 - 配置心跳口 GE1/0/6 的 IP 地址为
192.168.3.2/24
并加入 trust 安全域
高可靠性配置
- 开启双机热备
- 设置运行模式为主备模式,选择运行角色为备用
- 设置心跳接口为 GE1/0/6 并设置对端接口的 IP
- 关闭主动抢占模式,开启静态路由自动备份
- 配置接口监控,监控业务口 GE1/0/0 和 GE1/0/1
- 配置内网业务口 GE1/0/0 的虚拟 IP 为
192.168.1.254/24
,外网业务口 GE1/0/1 的虚拟 IP 为192.168.2.254/24
其余配置
- 在主用防火墙配置一致性详情页进行同步配置可将主用墙配置同步到备用墙
- 对于未同步成功的配置进行手动设置,确保一致性检查结果为
检查内容相同
结果验证
结果验证一
在网络正常的情况下进行结果验证如下
- 物理机访问 Server1 的 Http 服务成功
- 在主用防火墙 GE1/0/1 口抓包可以看到 Http 服务的 TCP 数据包
- 在备用防火墙 GE1/0/1 口抓包未看到 Http 服务的 TCP 数据包
结果验证二
断开主用防火墙 GE1/0/1 口连接后结果验证如下
- 物理机访问 Server1 的 Http 服务成功
- 在备用防火墙 GE1/0/1 口抓包可以看到在同步主备信息的 VRRP 数据包和一系列 ARP 数据包后有 Http 服务的 TCP 数据包
- 防火墙当前运行角色发生改变
结果验证三
重新连接主用防火墙 GE1/0/1 口后结果验证如下
- 物理机访问 Server1 的 Http 服务成功
- 在备用防火墙 GE1/0/1 口抓包可以看到在同步主备信息的 VRRP 数据包和一系列 ARP 数据包后有 Http 服务的 TCP 数据包
- 在主用防火墙 GE1/0/1 口抓包未看到 Http 服务的 TCP 数据包
- 防火墙当前运行角色未发生改变
总结与收获
- 实验中配置不当将两台防火墙业务口实际地址配置成了相同 IP,然后抓包观察到持续的大量 ARP 数据包,应该是造成环路了。了解到环路会造成持续大量的 ARP 包。
- 掌握防火墙双机热备配置方式