去年給某銀行部署過華為防火墻雙出口冗余，主備模式，但是規定只能用他們的電腦調試，更不可能截圖或者帶備份配置文件出來，所以寫這篇文章完全沒有素材，只能用模擬器搭一下，實物照片，也是沒有的，手機都不得帶入機房。

進機房的時候還被告知，如果發生火情，務必在30秒內離開機房，因為30秒后，機房門窗會自動鎖死，空氣將被抽空，人在里面的話可相而知……

言歸正傳，先看今天的拓撲圖。

AR1代表運營商雙出口網絡，事實上并不存在這臺設備；并且，銀行也并沒有采用PPPOE鏈路，此處只是為了順便展示一下PPPOE的配置而已，這個必須事先聲明，不然評論區肯定是一片質疑聲；就算我現在聲明了，還有很多人根本沒看到，然后就會吐槽，哪個銀行會用PPPOE鏈路？編故事也要像一點啊！

算了隨他去吧，簡單說說配置過程吧，當然其實上的鏈路遠不止兩條，畢竟銀行都有內外網。

兩臺華為的防火墻，fw1為主，fw2為備；兩臺華為核心交換機，沒有采用堆疊技術，而是采用VRRP技術進行配置。

準備工作：先讓外網鏈路就位吧，在模擬器里面配置一下AR1，實際環境中是沒有這一步的；

aaa

local-user test password cipher huawei //創建一個寬帶賬戶密碼

local-user test service-type ppp

ip pool pppoe //創建PPPOE地址池，并且保留1-10不分配；

network 202.1.1.0 mask 255.255.255.0

excluded-ip-address 202.1.1.1 202.1.1.10

interface Virtual-Template1 //創建模板，設定用戶鑒權模式、指明IP地址池

ppp authentication-mode chap

remote address pool pppoe

ip address 202.1.1.1 255.255.255.0

interface GigabitEthernet0/0/0 //pppoe-server應用到接口

pppoe-server bind Virtual-Template 1

#

interface GigabitEthernet0/0/1 //與FW2連接的接口，配置IP地址即可

ip address 202.2.2.1 255.255.255.0

以下才是真正的配置工作：

一、兩臺防火墻配置VRRP，主備模式

[FW1]vlan 100

[FW1]int g1/0/3

[FW1-GigabitEthernet1/0/3]portswitch //默認是L3接口，開啟L2功能

[FW1-GigabitEthernet1/0/3]p l t //端口配置為trunk模式

[FW1-GigabitEthernet1/0/3]p t a v a //放行所有VLAN

[FW1-GigabitEthernet1/0/3]q

[FW1]int vlan 100

[FW1-Vlanif100]ip ad 192.168.100.11 24

[FW1-Vlanif100]vrrp vrid 1 virtual-ip 192.168.100.254 active //加入VGMP組，FW1為主

[FW1]firewall zone dmz //vlan100是放服務器的，所以劃到dmz區域

[FW1-zone-dmz]add int vlan 100

[FW1-zone-dmz]q

FW2的配置就兩處不同：

[FW2-Vlanif100]ip add 192.168.100.12 24

[FW2-Vlanif100]vrrp vrid 1 virtual-ip 192.168.100.254 standby //加入VGMP組，FW2為備

Display vrrp，查看vrrp配置是否正確：

二、防火墻配置上行鏈路

1、FW1配置PPPOE撥號：

interface Dialer0

link-protocol ppp

ppp chap user test

ppp chap password cipher huawei

mtu 1400

ip address ppp-negotiate

dialer user test

dialer bundle 1

dialer-group 1

firewall zone untrust

add interface Dialer 0

dialer-rule 1 ip permit

ip route-static 0.0.0.0 0 Dialer 0 //配置默認路由，PPPOE撥號的，沒有固定的下一跳地址

2、FW2配置固定IP：

[FW2]int g1/0/2

[FW2-GigabitEthernet1/0/0]ip add 202.2.2.2 24

[FW2-GigabitEthernet1/0/0]q

[FW2]firewall zone untrust

[FW2-zone-untrust]add int g1/0/2

[FW2-zone-untrust]q

[FW2]ip route-static 0.0.0.0 0 202.2.2.1 //配置默認路由，下一跳是路由器接口IP

外部鏈路雖然配置好了，但是沒有安全策略放行，是不能上網的。

三、防火墻配置下行鏈路

1、FW1的配置：

[FW1]vlan 111

[FW1]int vlan 111

[FW1-Vlanif111]ip add 172.16.111.11 24

[FW1-Vlanif111]ser ping permit

[FW1-Vlanif111]q

[FW1]firewall zone trust

[FW1-zone-trust]add int vlan 111

[FW1-zone-trust]q

[FW1]ospf router-id 172.1.1.11

[FW1-ospf-1]area 0

[FW1-ospf-1-area-0.0.0.0]net 192.168.100.11 0.0.0.0

[FW1-ospf-1-area-0.0.0.0]net 172.16.111.11 0.0.0.0

[FW1-ospf-1-area-0.0.0.0]q

2、FW2的配置：

[FW2]vlan 112

[FW2]int vlan 112

[FW2-Vlanif112]ip add 172.16.112.12 24

[FW2-Vlanif112]ser ping permit

[FW2-Vlanif112]q

[FW2]firewall zone trust

[FW2-zone-trust]add int vlan 112

[FW2-zone-trust]q

[FW2]ospf router-id 172.1.1.12

[FW2-ospf-1]area 0

[FW2-ospf-1-area-0.0.0.0]net 192.168.100.12 0.0.0.0

[FW2-ospf-1-area-0.0.0.0]net 172.16.112.12 0.0.0.0

[FW2-ospf-1-area-0.0.0.0]q

下面的核心交換機還沒配置，這個時候，OSFP是起不來的，不急于查看。現在可以配置兩臺防火墻的心跳線了：

[FW1]int g1/0/0

[FW1-GigabitEthernet1/0/0]ip add 10.1.12.1 24

[FW1-GigabitEthernet1/0/0]q

[FW1]firewall zone trust

[FW1-zone-trust]undo add int g1/0/0

[FW1-zone-trust]q

[FW1]firewall zone dmz

[FW1-zone-dmz]add int g1/0/0

[FW1-zone-dmz]q

其實心跳線接口可以放在trunst區域，當然要放在DMZ區域也無可厚非。

[FW2]int g1/0/0

[FW2-GigabitEthernet1/0/0]ip add 10.1.12.2 24

[FW2-GigabitEthernet1/0/0]q

[FW2]firewall zone trust

[FW2-zone-trust]undo add interface g1/0/0

[FW2-zone-trust]q

[FW2]firewall zone dmz

[FW2-zone-dmz]add int g1/0/0

[FW2-zone-dmz]q

指定hrp鏈路，設置參數heartbeat-only，指定該備份通道只用于傳輸HRP控制協商報文，不備份連接狀態，保證雙機狀態的穩定。

[FW1]hrp interface g1/0/0 remote 10.1.12.2 heartbeat-only

[FW2]hrp interface g1/0/0 remote 10.1.12.1 heartbeat-only

[FW2]hrp standby-device //設置FW2為備份設備

在hrp主設備上定義相關參數：

[FW1]hrp standby config enable //備用設備也可以參與配置。 默認standy設備不可以自行管理，必須從master設備同步配置

[FW1]hrp auto-sync config //開啟配置命令和會話的自動同步，這個同步是相互的

[FW1]hrp mirror session enable //設置session的快速備份

[FW1]hrp timer hello 1000 //心跳線keepalive周期1sec，單位msec，默認就是1s一次

[FW1]hrp preempt delay 60 //如果Master設備故障恢復，需要保持60sec才可以恢復成Master身份，防止頻繁震蕩

[FW1]hrp preempt //開啟恢復搶占

參數定義完成后，兩端開啟HRP

[FW1]hrp enable

[FW2]hrp enable