Web举例：防火墙直路部署，上下行连接交换机的主备备份组网

2026年 3月 27日网络安全 SE_YT

介绍了业务接口工作在三层，上下行连接交换机的主备备份组网的Web举例。

组网需求

如图1所示，企业的两台FW的业务接口都工作在三层，上下行分别连接二层交换机。上行交换机连接运营商的接入点，运营商为企业分配的IP地址为1.1.1.1。现在希望两台FW以主备备份方式工作。正常情况下，流量通过FW_A转发。当FW_A出现故障时，流量通过FW_B转发，保证业务不中断。

图1 业务接口工作在三层，上下行连接交换机的主备备份组网
Web举例：防火墙直路部署，上下行连接交换机的主备备份组网

操作步骤

配置接口，完成网络基本配置。
1. 在FW_A上配置接口。
  1. 选择“网络 > 接口”。
  2. 单击GE1/0/1，按如下参数配置，单击“确定”。
    
    安全区域
    
    untrust
    
    IPv4
    
    IP地址
    
    10.2.0.1/24
  3. 参考上述步骤按如下参数配置GE1/0/3接口。
    
    安全区域
    
    trust
    
    IPv4
    
    IP地址
    
    10.3.0.1/24
  4. 参考上述步骤按如下参数配置GE1/0/7接口。
    
    安全区域
    
    dmz
    
    IPv4
    
    IP地址
    
    10.10.0.1/24
2. 在FW_B上配置接口。
  1. 选择“网络 > 接口”。
  2. 单击GE1/0/1，按如下参数配置，单击“确定”。
    
    安全区域
    
    untrust
    
    IPv4
    
    IP地址
    
    10.2.0.2/24
  3. 参考上述步骤按如下参数配置GE1/0/3接口。
    
    安全区域
    
    trust
    
    IPv4
    
    IP地址
    
    10.3.0.2/24
  4. 参考上述步骤按如下参数配置GE1/0/7接口。
    
    安全区域
    
    dmz
    
    IPv4
    
    IP地址
    
    10.10.0.2/24
配置缺省路由。
1. 在FW_A上配置缺省路由。
  1. 选择“网络 > 路由 > 静态路由”。
  2. 在“静态路由列表”中，单击“新建”，按如下参数配置缺省路由，单击“确定”。
    
    协议类型
    
    IPv4
    
    目的地址/掩码
    
    0.0.0.0/0.0.0.0
    
    出接口
    
    GigabitEthernet1/0/1
    
    下一跳
    
    1.1.1.10
2. 在FW_B上配置缺省路由。
  1. 选择“网络 > 路由 > 静态路由”。
  2. 在“静态路由列表”中，单击“新建”，按如下参数配置缺省路由，单击“确定”。
    
    协议类型
    
    IPv4
    
    目的地址/掩码
    
    0.0.0.0/0.0.0.0
    
    出接口
    
    GigabitEthernet1/0/1
    
    下一跳
    
    1.1.1.10
配置双机热备功能。
1. 在FW_A上配置双机热备功能。
  1. 选择“系统 > 高可靠性 > 双机热备”，单击“配置”。
  2. 开启“双机热备”后，按如下参数配置，单击“确定”。
2. 在FW_B上配置双机热备功能。
  1. 选择“系统 > 高可靠性 > 双机热备”，单击“配置”。
  2. 开启“双机热备”后，按如下参数配置，单击“确定”。
配置安全策略。
在FW_A上配置的安全策略会自动备份到FW_B上。
1. 选择“策略 > 安全策略 > 安全策略”。
2. 单击“新建安全策略”，按照如下参数配置安全策略，单击“确定”。
  
  名称
  
  policy_sec
  
  源安全区域
  
  trust
  
  目的安全区域
  
  untrust
  
  源地址/地区
  
  10.3.0.0/24
  
  动作
  
  允许

安全区域	untrust
IPv4
IP地址	10.2.0.1/24

安全区域	trust
IPv4
IP地址	10.3.0.1/24

安全区域	dmz
IPv4
IP地址	10.10.0.1/24

安全区域	untrust
IPv4
IP地址	10.2.0.2/24

安全区域	trust
IPv4
IP地址	10.3.0.2/24

安全区域	dmz
IPv4
IP地址	10.10.0.2/24

协议类型	IPv4
目的地址/掩码	0.0.0.0/0.0.0.0
出接口	GigabitEthernet1/0/1
下一跳	1.1.1.10

协议类型	IPv4
目的地址/掩码	0.0.0.0/0.0.0.0
出接口	GigabitEthernet1/0/1
下一跳	1.1.1.10

名称	policy_sec
源安全区域	trust
目的安全区域	untrust
源地址/地区	10.3.0.0/24
动作	允许

配置NAT策略，使内网用户通过转换后的公网IP地址访问Internet。

在FW_A上配置的NAT策略会自动备份到FW_B上。

选择“策略 > NAT策略 > NAT策略”。
选择“源转换地址池”页签，单击“新建”，按照如下参数配置NAT地址池，单击“确定”。

名称

addressgroup1

IP地址范围

1.1.1.1-1.1.1.1

名称	addressgroup1
IP地址范围	1.1.1.1-1.1.1.1

选择“NAT策略”页签，单击“新建”，按照如下参数配置NAT策略，单击“确定”。

名称	policy_nat
NAT类型	NAT
转换模式	仅转换源地址
源安全区域	trust
目的类型	目的安全区域：untrust
源地址转换为	地址池中的地址
源转换地址池	addressgroup1

配置Switch和内网PC。
1. 分别将两台Switch的三个接口加入同一个VLAN，具体配置命令请参考交换机的相关文档。
2. 将内网PC的默认网关设置为VRRP备份组2的虚拟IP地址，具体步骤略。
配置Router。
在Router上配置到FW的等价路由，路由下一跳指向VRRP备份组1的虚拟IP地址。

结果验证

选择“系统 > 高可靠性 > 双机热备”，查看双机热备的运行情况。

正常情况下，FW_A的“当前运行模式”为“主备备份”，“当前运行角色”为“主用”；FW_B的“当前运行模式”为“主备备份”，“当前运行角色”为“备用”。这说明流量通过FW_A转发。
当FW_A出现故障时，FW_A的“当前运行模式”为“主备备份”，“当前运行角色”为“备用”；FW_B的“当前运行模式”为“主备备份”，“当前运行角色”为“主用”。这说明流量通过FW_B转发。

配置脚本

FW_A	FW_B
# hrp enable hrp interface GigabitEthernet 1/0/7 remote 10.10.0.2 # interface GigabitEthernet 1/0/1 ip address 10.2.0.1 255.255.255.0 vrrp vrid 1 virtual-ip 1.1.1.1 255.255.255.0 active # interface GigabitEthernet 1/0/3 ip address 10.3.0.1 255.255.255.0 vrrp vrid 2 virtual-ip 10.3.0.3 active # interface GigabitEthernet 1/0/7 ip address 10.10.0.1 255.255.255.0 # firewall zone trust set priority 85 add interface GigabitEthernet 1/0/3 # firewall zone untrust set priority 5 add interface GigabitEthernet 1/0/1 # firewall zone dmz set priority 50 add interface GigabitEthernet 1/0/7 # ip route-static 0.0.0.0 0.0.0.0 GigabitEthernet1/0/1 1.1.1.10 # nat address-group addressgroup1 0 section 0 1.1.1.1 1.1.1.1 # security-policy rule name policy_sec source-zone trust destination-zone untrust source-address 10.3.0.0 24 action permit # nat-policy rule name policy_nat source-zone trust destination-zone untrust action source-nat address-group addressgroup1	# hrp enable hrp interface GigabitEthernet 1/0/7 remote 10.10.0.1 # interface GigabitEthernet 1/0/1 ip address 10.2.0.2 255.255.255.0 vrrp vrid 1 virtual-ip 1.1.1.1 255.255.255.0 standby # interface GigabitEthernet 1/0/3 ip address 10.3.0.2 255.255.255.0 vrrp vrid 2 virtual-ip 10.3.0.3 standby # interface GigabitEthernet 1/0/7 ip address 10.10.0.2 255.255.255.0 # firewall zone trust set priority 85 add interface GigabitEthernet 1/0/3 # firewall zone untrust set priority 5 add interface GigabitEthernet 1/0/1 # firewall zone dmz set priority 50 add interface GigabitEthernet1/0/7 # ip route-static 0.0.0.0 0.0.0.0 GigabitEthernet1/0/1 1.1.1.10 # nat address-group addressgroup1 0 section 0 1.1.1.1 1.1.1.1 # security-policy rule name policy_sec source-zone trust destination-zone untrust source-address 10.3.0.0 24 action permit # nat-policy rule name policy_nat source-zone trust destination-zone untrust action source-nat address-group addressgroup1

FW_A

FW_B

#
 hrp enable
 hrp interface GigabitEthernet 1/0/7 remote 10.10.0.2
#
interface GigabitEthernet 1/0/1
 ip address 10.2.0.1 255.255.255.0
 vrrp vrid 1 virtual-ip 1.1.1.1 255.255.255.0 active
#
interface GigabitEthernet 1/0/3
 ip address 10.3.0.1 255.255.255.0
 vrrp vrid 2 virtual-ip 10.3.0.3 active
#
interface GigabitEthernet 1/0/7
 ip address 10.10.0.1 255.255.255.0
#
firewall zone trust
 set priority 85
 add interface GigabitEthernet 1/0/3
#
firewall zone untrust
 set priority 5
 add interface GigabitEthernet 1/0/1
#
firewall zone dmz
 set priority 50
 add interface GigabitEthernet 1/0/7
#
 ip route-static 0.0.0.0 0.0.0.0 GigabitEthernet1/0/1 1.1.1.10
#    
 nat address-group addressgroup1 0 
 section 0 1.1.1.1 1.1.1.1
#    
security-policy  
 rule name policy_sec
  source-zone trust  
  destination-zone untrust
  source-address 10.3.0.0 24
  action permit    
#    
nat-policy  
 rule name policy_nat
  source-zone trust
  destination-zone untrust
  action source-nat address-group addressgroup1

#
 hrp enable
 hrp interface GigabitEthernet 1/0/7 remote 10.10.0.1
#
interface GigabitEthernet 1/0/1
 ip address 10.2.0.2 255.255.255.0
 vrrp vrid 1 virtual-ip 1.1.1.1 255.255.255.0 standby
#
interface GigabitEthernet 1/0/3
 ip address 10.3.0.2 255.255.255.0
 vrrp vrid 2 virtual-ip 10.3.0.3 standby
#
interface GigabitEthernet 1/0/7
 ip address 10.10.0.2 255.255.255.0
#    
firewall zone trust
 set priority 85
 add interface GigabitEthernet 1/0/3
#    
firewall zone untrust
 set priority 5
 add interface GigabitEthernet 1/0/1
#    
firewall zone dmz    
 set priority 50     
 add interface GigabitEthernet1/0/7
#
 ip route-static 0.0.0.0 0.0.0.0 GigabitEthernet1/0/1 1.1.1.10
#    
 nat address-group addressgroup1 0 
 section 0 1.1.1.1 1.1.1.1
#    
security-policy  
 rule name policy_sec  
  source-zone trust  
  destination-zone untrust 
  source-address 10.3.0.0 24
  action permit    
#    
nat-policy  
 rule name policy_nat
  source-zone trust
  destination-zone untrust
  action source-nat address-group addressgroup1

作者：SE_YT

链接：https://www.cnesa.cn/10875.html

文章版权归作者所有，未经允许请勿转载。