首页,鸿运娱乐注册上一篇文章中,我们讲述了双防火墙的基础配置,也就是利用心跳线配置防火墙的HRP,发生故障的时候,自动切换。
由于核心交换机还没配置完成,所以也不便测试,今天这篇文章会完结,所以后面会有故障测试的截图。
重申一下,上图中,AR1代表运营商双出口网络,事实上并不存在这台设备;并且,银行也并没有采用PPPOE链路,只是为了顺便展示一下PPPOE的配置而已。
两台华为的防火墙,fw1为主,fw2为备;两台华为核心交换机,没有采用堆叠技术,而是采用VRRP技术进行配置。
核心2的配置,基本上差不多,就不再重复了,下面两台接入层的交换机,也很简单
[SW1]int g0/0/6 //6和7接口是连接电脑和服务器,所以设置为边缘端口,加快STP收敛
两台核心交换机上都配置了DHCP,你们猜会不会有地址池冲突?会不会有DHCP服务冲突?
因为,服务器更需要安全防护,所以访问服务器必须经过防火墙先生的同意和监管,嘿嘿。
这条安全策略的意思是:允许trust区域内的电脑访问DMZ区域内的服务器,但仅限于http、ftp,ping只是为了测试而已,加不加无所谓,先测试一下吧。
Client1能够访问Server1上面的HTTP服务了,紧接着再来一条上网的策略吧:
配置完成,来模拟一下防火墙故障,看看VRRP是否会自动切换,直接在模拟器中“停止”FW1,PC1上tracert检查出路径:
从上图中可以看到,FW1故障之前,PC1是走PPPOE拨号的宽带出去的,FW1故障掉线就从固定IP的链路出去了。
FW2已经接替FW1,成为VLAN100的Master设备,说明防火墙VRRP配置正确,及时响应,没有影响PC上网;
再看一下交换机的VRRP,因为FW1的故障,核心交换机的VRRP也会感知,从而切换Master角色:
虽然只是FW1挂了,核心1在正常工作中,但是由于链路down了,所以,此刻的核心2还是独自承担了所有,VLAN10和VLAN20的数量流量全部走核心2了。
至此,双防火墙+双核心交换机的配置基本上完成,后面就是一些细节上的调整和完善了。