华为防火墙旁挂交换机配置详解：主备部署与静态路由引流

华为防火墙旁挂交换机配置详解：主备部署与静态路由引流

引用

CSDN

1.

https://blog.csdn.net/weixin_48030849/article/details/138799444

本文详细介绍了华为防火墙旁挂交换机的配置方法，包括组网需求、拓扑结构、配置思路和步骤等内容。文章内容较为专业，主要面向IT技术人员，特别是从事网络安全和网络设备配置的工程师。

一、组网需求

如下图所示，两台FW旁挂在数据中心的核心交换机侧，保证数据中心网络安全。通过核心交换机的流量都会被引流到旁挂的FW上进行安全检测，引流的方式为静态路由方式。企业希望两台FW以主备备份方式工作。正常情况下，流量通过FW1转发。当FW1出现故障时，流量通过FW2转发，保证业务不中断。

可以将上述图片理解成下述组网架构：

实际实验拓扑图以及地址规划如下所示：

二、组网拓扑

双机热备旁挂（静态路由引流）组网图

三、配置思路

1. 完成核心交换机SW1、SW2左侧（即内网）配置，运行OSPF协议；
2. 完成核心交换机SW1、SW2右侧配置，运行OSPF协议；
3. 配置vrrp组（由于FW与上下行交换机（Public和VRF）之间运行静态路由，因此需要在FW和交换机上分别配置VRRP备份组，使他们能够通过VRRP备份组的虚拟地址进行通信。在FW上需要配置静态路由，下一跳分别为VRRP备份组3和VRRP备份组2的地址。在Public上配置静态路由，下一跳为VRRP备份组4的地址。在VRF上配置静态路由，下一跳为VRRP备份组1的地址）
4. 在SW1和SW2上面创建vpn-instance（如果希望通过静态路由方式将经过核心交换机的流量引导到FW，则需要在核心交换机上配置静态路由，下一跳为防火墙接口的地址。但是由于核心交换机与上行路由器和下行汇聚交换机之间运行OSPF，因此流量到达核心交换机后会直接被转发到上行或下行设备，而不会被引流到FW上。
   所以如果希望通过静态路由引流，就必须在核心交换机上配置VRF功能，将一台交换机虚拟成连接上行的交换机（根交换机Public）和连接下行的交换机（虚拟交换机VRF）。由于虚拟出的两个交换机完全隔离开来，流量就会被送到FW上。）

四、具体配置步骤（命令）

1.路由器AR5配置（此处AR5客户换成支持3层功能的交换机）

2.AR6配置（此处AR6客户换成支持3层功能的交换机）

3.R1配置

4.R2配置

5.R3配置

6.SW1配置

7.SW2配置

8.FW1IP地址以及vrrp配置

9.FW2ip地址以及vrrp配置

10.hrp配置以及安全策略配置

五、状态查看

首先查看VGMP状态
查看VRRP状态：

六、PCping测试并抓包查看以及主备切换

1. 首先在FW1为主时ping测试并抓包分析
   在FW1的接口抓包分析
2. 将FW1的g1/0/0接口shutdown后，分别在FW1和FW2的1/0/1接口抓包查看流量是否已经切换
   FW1的抓包结果：（只有vrrp心跳报文）
   FW2的抓包结果：（存在PC访问8.8.8.8的流量）
   从上述抓包结果分析，当FW1出现故障时候，VGMP状态切换，FW2称为主用设备，并且流量也从FW2经过。

本文原文来自CSDN