Web举例：防火墙直路部署，上行连接路由器（OSPF），下行连接交换机的负载分担组网

2026年 3月 25日网络安全 SE_YT

Web举例：防火墙直路部署，上行连接路由器（OSPF），下行连接交换机的负载分担组网

介绍了业务接口工作在三层，上行连接路由器，下行连接交换机的负载分担组网的Web举例。

组网需求

如图1所示，两台FW的业务接口都工作在三层，上行连接路由器，下行连接二层交换机。FW与路由器之间运行OSPF协议。

现在希望两台FW以负载分担方式工作。正常情况下，FW_A和FW_B共同转发流量。当其中一台FW出现故障时，另外一台FW转发全部业务，保证业务不中断。

图1 业务接口工作在三层，上行连接路由器，下行连接交换机的负载分担组网
Web举例：防火墙直路部署，上行连接路由器（OSPF），下行连接交换机的负载分担组网

操作步骤

配置接口，完成网络基本配置。
1. 在FW_A上配置接口。
  1. 选择“网络 > 接口”。
  2. 单击GE1/0/1，按如下参数配置，单击“确定”。
    
    安全区域
    
    untrust
    
    IPv4
    
    IP地址
    
    10.2.0.1/24
  3. 参考上述步骤按如下参数配置GE1/0/3接口。
    
    安全区域
    
    trust
    
    IPv4
    
    IP地址
    
    10.3.0.1/24
  4. 参考上述步骤按如下参数配置GE1/0/7接口。
    
    安全区域
    
    dmz
    
    IPv4
    
    IP地址
    
    10.10.0.1/24
2. 在FW_B上配置接口。
  1. 选择“网络 > 接口”。
  2. 单击GE1/0/1，按如下参数配置，单击“确定”。
    
    安全区域
    
    untrust
    
    IPv4
    
    IP地址
    
    10.2.1.1/24
  3. 参考上述步骤按如下参数配置GE1/0/3接口。
    
    安全区域
    
    trust
    
    IPv4
    
    IP地址
    
    10.3.0.2/24
  4. 参考上述步骤按如下参数配置GE1/0/7接口。
    
    安全区域
    
    dmz
    
    IPv4
    
    IP地址
    
    10.10.0.2/24
配置OSPF，保证路由可达。
1. 在FW_A上配置OSPF。
  1. 选择“网络 > 路由 > OSPF”。
  2. 单击“新建”，按如下参数新建OSPF，单击“确定”。
    
    类型
    
    OSPFv2
    
    进程ID
    
    10
  3. 单击，单击“新建”，按如下参数新建区域，单击“确定”。
    
    区域
    
    0.0.0.0
    
    网段IP
    
    10.2.0.0
    
    正/反掩码
    
    255.255.255.0
  4. 选择“基本配置 > 网络配置”，单击“新建”，按如下参数新建网络，单击“确定”。
    
    区域
    
    0.0.0.0
    
    网段IP
    
    10.3.0.0
    
    正/反掩码
    
    255.255.255.0
2. 在FW_B上配置OSPF。
  1. 选择“网络 > 路由 > OSPF”。
  2. 单击“新建”，按如下参数新建OSPF，单击“确定”。
    
    类型
    
    OSPFv2
    
    进程ID
    
    10
  3. 单击，单击“新建”，按如下参数新建区域，单击“确定”。
    
    区域
    
    0.0.0.0
    
    网段IP
    
    10.2.1.0
    
    正/反掩码
    
    255.255.255.0
  4. 选择“基本配置 > 网络配置”，单击“新建”，按如下参数新建网络，单击“确定”。
    
    区域
    
    0.0.0.0
    
    网段IP
    
    10.3.0.0
    
    正/反掩码
    
    255.255.255.0
配置双机热备。
1. 在FW_A上配置双机热备功能。
  1. 选择“系统 > 高可靠性 > 双机热备”，单击“配置”。
  2. 开启“双机热备”后，按如下参数配置，单击“确定”。
2. 在FW_B上配置双机热备功能。
  1. 选择“系统 > 高可靠性 > 双机热备”，单击“配置”。
  2. 开启“双机热备”后，按如下参数配置，单击“确定”。
在内网的设备上配置缺省路由，将部分设备的下一跳设置为VRRP备份组3的虚拟IP地址10.3.0.3，另一部分设备的下一跳设置为VRRP备份组4的虚拟IP地址10.3.0.4。
配置安全策略。
在FW_A上配置的安全策略会自动备份到FW_B上。
1. 选择“策略 > 安全策略 > 安全策略”。
2. 单击“新建安全策略”，按照如下参数配置安全策略，单击“确定”。
  
  名称
  
  policy_ospf_1
  
  源安全区域
  
  local
  
  目的安全区域
  
  untrust
  
  动作
  
  允许
  
  名称
  
  policy_ospf_2
  
  源安全区域
  
  untrust
  
  目的安全区域
  
  local
  
  动作
  
  允许
  
  名称
  
  policy_sec
  
  源安全区域
  
  trust
  
  目的安全区域
  
  untrust
  
  源地址/地区
  
  10.3.2.0/24,10.3.3.0/24
  
  动作
  
  允许

安全区域	untrust
IPv4
IP地址	10.2.0.1/24

安全区域	trust
IPv4
IP地址	10.3.0.1/24

安全区域	dmz
IPv4
IP地址	10.10.0.1/24

安全区域	untrust
IPv4
IP地址	10.2.1.1/24

安全区域	trust
IPv4
IP地址	10.3.0.2/24

安全区域	dmz
IPv4
IP地址	10.10.0.2/24

类型	OSPFv2
进程ID	10

区域	0.0.0.0
网段IP	10.2.0.0
正/反掩码	255.255.255.0

区域	0.0.0.0
网段IP	10.3.0.0
正/反掩码	255.255.255.0

类型	OSPFv2
进程ID	10

区域	0.0.0.0
网段IP	10.2.1.0
正/反掩码	255.255.255.0

区域	0.0.0.0
网段IP	10.3.0.0
正/反掩码	255.255.255.0

名称	policy_ospf_1
源安全区域	local
目的安全区域	untrust
动作	允许

名称	policy_ospf_2
源安全区域	untrust
目的安全区域	local
动作	允许

名称	policy_sec
源安全区域	trust
目的安全区域	untrust
源地址/地区	10.3.2.0/24,10.3.3.0/24
动作	允许

结果验证

选择“系统 > 高可靠性 > 双机热备”，查看双机热备的运行情况。

正常情况下，FW_A的“当前运行模式”为“负载分担”，“当前运行角色”为“主用”；FW_B的“当前运行模式”为“负载分担”，“当前运行角色”为“主用”。这说明流量通过两台FW共同转发。
当FW_A出现故障时，FW_A的“当前运行模式”为“主备备份”，“当前运行角色”为“备用”；FW_B的“当前运行模式”为“主备备份”，“当前运行角色”为“主用”。这说明流量通过FW_B转发。

配置脚本

FW_A	FW_B
# hrp enable hrp interface GigabitEthernet 1/0/7 remote 10.10.0.2 hrp mirror session enable hrp track interface GigabitEthernet 1/0/1 # interface GigabitEthernet 1/0/1 ip address 10.2.0.1 255.255.255.0 # interface GigabitEthernet 1/0/3 ip address 10.3.0.1 255.255.255.0 vrrp vrid 1 virtual-ip 10.3.0.3 active vrrp vrid 2 virtual-ip 10.3.0.4 standby # interface GigabitEthernet 1/0/7 ip address 10.10.0.1 255.255.255.0 # firewall zone trust set priority 85 add interface GigabitEthernet 1/0/3 # firewall zone untrust set priority 5 add interface GigabitEthernet 1/0/1 # firewall zone dmz set priority 50 add interface GigabitEthernet 1/0/7 # ospf 10 area 0.0.0.0 network 10.2.0.0 0.0.0.255 network 10.3.0.0 0.0.0.255 # security-policy rule name policy_ospf_1 source-zone local destination-zone untrust action permit rule name policy_ospf_2 source-zone untrust destination-zone local action permit rule name policy_sec source-zone trust destination-zone untrust source-address 10.3.0.0 24 action permit	# hrp enable hrp interface GigabitEthernet 1/0/7 remote 10.10.0.1 hrp mirror session enable hrp track interface GigabitEthernet 1/0/1 # interface GigabitEthernet 1/0/1 ip address 10.2.1.1 255.255.255.0 # interface GigabitEthernet 1/0/3 ip address 10.3.0.2 255.255.255.0 vrrp vrid 1 virtual-ip 10.3.0.3 standby vrrp vrid 2 virtual-ip 10.3.0.4 active # interface GigabitEthernet 1/0/7 ip address 10.10.0.2 255.255.255.0 # firewall zone trust set priority 85 add interface GigabitEthernet 1/0/3 # firewall zone untrust set priority 5 add interface GigabitEthernet 1/0/1 # firewall zone dmz set priority 50 add interface GigabitEthernet 1/0/7 # ospf 10 area 0.0.0.0 network 10.2.1.0 0.0.0.255 network 10.3.0.0 0.0.0.255 # security-policy rule name policy_ospf_1 source-zone local destination-zone untrust action permit rule name policy_ospf_2 source-zone untrust destination-zone local action permit rule name policy_sec source-zone trust destination-zone untrust source-address 10.3.0.0 24 action permit

FW_A

FW_B

#
 hrp enable
 hrp interface GigabitEthernet 1/0/7 remote 10.10.0.2
 hrp mirror session enable
 hrp track interface GigabitEthernet 1/0/1
 #
interface GigabitEthernet 1/0/1
 ip address 10.2.0.1 255.255.255.0
#
interface GigabitEthernet 1/0/3
 ip address 10.3.0.1 255.255.255.0 
 vrrp vrid 1 virtual-ip 10.3.0.3 active
 vrrp vrid 2 virtual-ip 10.3.0.4 standby
#
interface GigabitEthernet 1/0/7
 ip address 10.10.0.1 255.255.255.0
#
firewall zone trust 
 set priority 85
 add interface GigabitEthernet 1/0/3
#
firewall zone untrust 
 set priority 5 
 add interface GigabitEthernet 1/0/1
#
firewall zone dmz
 set priority 50
 add interface GigabitEthernet 1/0/7
#
ospf 10   
 area 0.0.0.0 
  network 10.2.0.0 0.0.0.255
  network 10.3.0.0 0.0.0.255
#
security-policy  
 rule name policy_ospf_1
  source-zone local
  destination-zone untrust
  action permit
 rule name policy_ospf_2
  source-zone untrust
  destination-zone local
  action permit
 rule name policy_sec
  source-zone trust
  destination-zone untrust
  source-address 10.3.0.0 24
  action permit

#
 hrp enable
 hrp interface GigabitEthernet 1/0/7 remote 10.10.0.1
 hrp mirror session enable
 hrp track interface GigabitEthernet 1/0/1
#
interface GigabitEthernet 1/0/1
 ip address 10.2.1.1 255.255.255.0
#
interface GigabitEthernet 1/0/3
 ip address 10.3.0.2 255.255.255.0 
 vrrp vrid 1 virtual-ip 10.3.0.3 standby
 vrrp vrid 2 virtual-ip 10.3.0.4 active
#
interface GigabitEthernet 1/0/7
 ip address 10.10.0.2 255.255.255.0
#
firewall zone trust 
 set priority 85
 add interface GigabitEthernet 1/0/3
#
firewall zone untrust 
 set priority 5 
 add interface GigabitEthernet 1/0/1
#
firewall zone dmz
 set priority 50
 add interface GigabitEthernet 1/0/7
#
ospf 10   
 area 0.0.0.0 
  network 10.2.1.0 0.0.0.255
  network 10.3.0.0 0.0.0.255
#
security-policy  
 rule name policy_ospf_1
  source-zone local
  destination-zone untrust
  action permit
 rule name policy_ospf_2
  source-zone untrust
  destination-zone local
  action permit
 rule name policy_sec
  source-zone trust
  destination-zone untrust
  source-address 10.3.0.0 24
  action permit

作者：SE_YT

链接：https://www.cnesa.cn/10897.html

文章版权归作者所有，未经允许请勿转载。