首页，鸿运娱乐注册上一篇文章中，我们讲述了双防火墙的基础配置，也就是利用心跳线配置防火墙的HRP，发生故障的时候，自动切换。

　　由于核心交换机还没配置完成，所以也不便测试，今天这篇文章会完结，所以后面会有故障测试的截图。

　　重申一下，上图中，AR1代表运营商双出口网络，事实上并不存在这台设备；并且，银行也并没有采用PPPOE链路，只是为了顺便展示一下PPPOE的配置而已。

　　两台华为的防火墙，fw1为主，fw2为备；两台华为核心交换机，没有采用堆叠技术，而是采用VRRP技术进行配置。

　　核心2的配置，基本上差不多，就不再重复了，下面两台接入层的交换机，也很简单

　　[SW1]int g0/0/6 //6和7接口是连接电脑和服务器，所以设置为边缘端口，加快STP收敛

　　两台核心交换机上都配置了DHCP，你们猜会不会有地址池冲突？会不会有DHCP服务冲突？

　　因为，服务器更需要安全防护，所以访问服务器必须经过防火墙先生的同意和监管，嘿嘿。

　　这条安全策略的意思是：允许trust区域内的电脑访问DMZ区域内的服务器，但仅限于http、ftp，ping只是为了测试而已，加不加无所谓，先测试一下吧。

　　Client1能够访问Server1上面的HTTP服务了，紧接着再来一条上网的策略吧：

　　配置完成，来模拟一下防火墙故障，看看VRRP是否会自动切换，直接在模拟器中“停止”FW1，PC1上tracert检查出路径：

　　从上图中可以看到，FW1故障之前，PC1是走PPPOE拨号的宽带出去的，FW1故障掉线就从固定IP的链路出去了。

　　FW2已经接替FW1，成为VLAN100的Master设备，说明防火墙VRRP配置正确，及时响应，没有影响PC上网；

　　再看一下交换机的VRRP，因为FW1的故障，核心交换机的VRRP也会感知，从而切换Master角色：

　　虽然只是FW1挂了，核心1在正常工作中，但是由于链路down了，所以，此刻的核心2还是独自承担了所有，VLAN10和VLAN20的数量流量全部走核心2了。

　　至此，双防火墙+双核心交换机的配置基本上完成，后面就是一些细节上的调整和完善了。