Web举例：防火墙二层，上下行连接交换机的主备备份组网

2026年 3月 9日中间件 SE_YT

介绍了业务接口工作在二层，上下行连接交换机的主备备份组网的Web举例。

组网需求

如图1所示，两台FW的业务接口都工作在二层，上下行分别连接交换机。FW的上下行业务接口都加入到VLAN10和VLAN20中。

现在希望两台FW以主备备份方式工作。正常情况下，流量通过FW_A转发。当FW_A出现故障时，流量通过FW_B转发，保证业务不中断。

图1 业务接口工作在二层，上下行连接交换机的主备备份组网
Web举例：防火墙二层，上下行连接交换机的主备备份组网

操作步骤

配置接口，完成网络基本配置。
1. 在FW_A上配置接口。
  1. 选择“网络 > 接口”。
  2. 单击GE1/0/3，按如下参数配置，单击“确定”。
    
    安全区域
    
    untrust
    
    模式
    
    交换
    
    连接类型
    
    Trunk
    
    Trunk VLAN ID
    
    10,20
  3. 参考上述步骤按如下参数配置GE1/0/7接口。
    
    安全区域
    
    trust
    
    模式
    
    交换
    
    连接类型
    
    Trunk
    
    Trunk VLAN ID
    
    10,20
  4. 参考上述步骤按如下参数配置GE1/0/2接口。
    
    安全区域
    
    dmz
    
    IPv4
    
    IP地址
    
    10.10.0.1/24
2. 在FW_B上配置接口。
  1. 选择“网络 > 接口”。
  2. 单击GE1/0/3，按如下参数配置，单击“确定”。
    
    安全区域
    
    untrust
    
    模式
    
    交换
    
    连接类型
    
    Trunk
    
    Trunk VLAN ID
    
    10,20
  3. 参考上述步骤按如下参数配置GE1/0/7接口。
    
    安全区域
    
    trust
    
    模式
    
    交换
    
    连接类型
    
    Trunk
    
    Trunk VLAN ID
    
    10,20
  4. 参考上述步骤按如下参数配置GE1/0/2接口。
    
    安全区域
    
    dmz
    
    IPv4
    
    IP地址
    
    10.10.0.2/24
配置双机热备功能。
1. 在FW_A上配置双机热备功能。
  1. 选择“系统 > 高可靠性 > 双机热备”，单击“配置”。
  2. 开启“双机热备”后，按如下参数配置，单击“确定”。
2. 在FW_B上配置双机热备功能。
  1. 选择“系统 > 高可靠性 > 双机热备”，单击“配置”。
  2. 开启“双机热备”后，按如下参数配置，单击“确定”。
配置安全策略。
双机热备状态成功建立后，FW_A的安全策略配置会自动备份到FW_B上。
1. 选择“策略 > 安全策略 > 安全策略”。
2. 单击“新建安全策略”，按照如下参数配置安全策略，单击“确定”。
  
  名称
  
  policy_sec1
  
  源安全区域
  
  trust
  
  目的安全区域
  
  untrust
  
  动作
  
  允许
配置Switch。
分别将两台Switch的三个接口加入同一个VLAN，具体配置命令请参考交换机的相关文档。

安全区域	untrust
模式	交换
连接类型	Trunk
Trunk VLAN ID	10,20

安全区域	trust
模式	交换
连接类型	Trunk
Trunk VLAN ID	10,20

安全区域	dmz
IPv4
IP地址	10.10.0.1/24

安全区域	untrust
模式	交换
连接类型	Trunk
Trunk VLAN ID	10,20

安全区域	trust
模式	交换
连接类型	Trunk
Trunk VLAN ID	10,20

安全区域	dmz
IPv4
IP地址	10.10.0.2/24

名称	policy_sec1
源安全区域	trust
目的安全区域	untrust
动作	允许

结果验证

选择“系统 > 高可靠性 > 双机热备”，查看双机热备的运行情况。

正常情况下，FW_A的“当前运行模式”为“主备备份”，“当前运行角色”为“主用”；FW_B的“当前运行模式”为“主备备份”，“当前运行角色”为“备用”。这说明流量FW_A转发。
当FW_A出现故障时，FW_A的“当前运行模式”为“主备备份”，“当前运行角色”为“备用”；FW_B的“当前运行模式”为“主备备份”，“当前运行角色”为“主用”。这说明流量通过FW_B转发。

配置脚本

FW_A	FW_B
# sysname FW_A # vlan batch 10 20 # hrp enable hrp interface GigabitEthernet1/0/2 remote 10.10.0.2 hrp track vlan 10 hrp track vlan 20 # interface GigabitEthernet1/0/3 portswitch port link-type trunk port trunk allow-pass vlan 10 20 undo port trunk allow-pass vlan 1 # interface GigabitEthernet1/0/7 portswitch port link-type trunk port trunk allow-pass vlan 10 20 undo port trunk allow-pass vlan 1 # interface GigabitEthernet1/0/2 ip address 10.10.0.1 255.255.255.0 # firewall zone trust set priority 85 add interface GigabitEthernet1/0/7 # firewall zone untrust set priority 5 add interface GigabitEthernet1/0/3 # firewall zone dmz set priority 50 add interface GigabitEthernet1/0/2 # security-policy rule name policy_sec source-zone trust destination-zone untrust action permit	# sysname FW_B # vlan batch 10 20 # hrp enable hrp interface GigabitEthernet1/0/2 remote 10.10.0.1 hrp track vlan 10 hrp track vlan 20 hrp standby-device # interface GigabitEthernet1/0/3 portswitch port link-type trunk port trunk allow-pass vlan 10 20 undo port trunk allow-pass vlan 1 # interface GigabitEthernet1/0/7 portswitch port link-type trunk port trunk allow-pass vlan 10 20 undo port trunk allow-pass vlan 1 # interface GigabitEthernet1/0/2 ip address 10.10.0.2 255.255.255.0 # firewall zone trust set priority 85 add interface GigabitEthernet1/0/7 # firewall zone untrust set priority 5 add interface GigabitEthernet1/0/3 # firewall zone dmz set priority 50 add interface GigabitEthernet1/0/2 # security-policy rule name policy_sec source-zone trust destination-zone untrust action permit

FW_A

FW_B

#
sysname FW_A
# 
vlan batch 10 20
#
 hrp enable
 hrp interface GigabitEthernet1/0/2 remote 10.10.0.2 
 hrp track vlan 10
 hrp track vlan 20
#
interface GigabitEthernet1/0/3
 portswitch
 port link-type trunk
 port trunk allow-pass vlan 10 20
 undo port trunk allow-pass vlan 1
#
interface GigabitEthernet1/0/7
 portswitch
 port link-type trunk
 port trunk allow-pass vlan 10 20
 undo port trunk allow-pass vlan 1
#
interface GigabitEthernet1/0/2
 ip address 10.10.0.1 255.255.255.0
#
firewall zone trust
 set priority 85
 add interface GigabitEthernet1/0/7
#
firewall zone untrust
 set priority 5   
 add interface GigabitEthernet1/0/3
#
firewall zone dmz
 set priority 50
 add interface GigabitEthernet1/0/2
#    
security-policy
 rule name policy_sec
  source-zone trust
  destination-zone untrust
  action permit

#
sysname FW_B
# 
vlan batch 10 20
#
 hrp enable
 hrp interface GigabitEthernet1/0/2 remote 10.10.0.1 
 hrp track vlan 10
 hrp track vlan 20
 hrp standby-device
#
interface GigabitEthernet1/0/3
 portswitch
 port link-type trunk
 port trunk allow-pass vlan 10 20
 undo port trunk allow-pass vlan 1
#
interface GigabitEthernet1/0/7
 portswitch
 port link-type trunk
 port trunk allow-pass vlan 10 20
 undo port trunk allow-pass vlan 1
#
interface GigabitEthernet1/0/2
 ip address 10.10.0.2 255.255.255.0
#
firewall zone trust
 set priority 85
 add interface GigabitEthernet1/0/7
#
firewall zone untrust
 set priority 5
 add interface GigabitEthernet1/0/3
#
firewall zone dmz
 set priority 50
 add interface GigabitEthernet1/0/2
#    
security-policy
 rule name policy_sec
  source-zone trust
  destination-zone untrust
  action permit

作者：SE_YT

链接：https://www.cnesa.cn/10885.html

文章版权归作者所有，未经允许请勿转载。