Web举例：防火墙二层，上下行连接交换机的主备备份组网

安全区域	untrust
模式	交换
连接类型	Trunk
Trunk VLAN ID	10,20

安全区域	trust
模式	交换
连接类型	Trunk
Trunk VLAN ID	10,20

安全区域	dmz
IPv4
IP地址	10.10.0.1/24

介绍了业务接口工作在二层，上下行连接交换机的主备备份组网的Web举例。

组网需求

如图1所示，两台FW的业务接口都工作在二层，上下行分别连接交换机。FW的上下行业务接口都加入到VLAN10和VLAN20中。

现在希望两台FW以主备备份方式工作。正常情况下，流量通过FW_A转发。当FW_A出现故障时，流量通过FW_B转发，保证业务不中断。

图1 业务接口工作在二层，上下行连接交换机的主备备份组网

操作步骤

配置接口，完成网络基本配置。
1. 在FW_A上配置接口。
  
  选择“网络 > 接口”。
  
  单击GE1/0/3，按如下参数配置，单击“确定”。
  
  安全区域
  
  untrust
  
  模式
  
  交换
  
  连接类型
  
  Trunk
  
  Trunk VLAN ID
  
  10,20
  
  参考上述步骤按如下参数配置GE1/0/7接口。
  
  安全区域
  
  trust
  
  模式
  
  交换
  
  连接类型
  
  Trunk
  
  Trunk VLAN ID
  
  10,20
  
  参考上述步骤按如下参数配置GE1/0/2接口。
  
  安全区域
  
  dmz
  
  IPv4
  
  IP地址
  
  10.10.0.1/24
2. 在FW_B上配置接口。
  1. 选择“网络 > 接口”。
  2. 单击GE1/0/3，按如下参数配置，单击“确定”。
    
    安全区域
    
    untrust
    
    模式
    
    交换
    
    连接类型
    
    Trunk
    
    Trunk VLAN ID
    
    10,20
  3. 参考上述步骤按如下参数配置GE1/0/7接口。
    
    安全区域
    
    trust
    
    模式
    
    交换
    
    连接类型
    
    Trunk
    
    Trunk VLAN ID
    
    10,20
  4. 参考上述步骤按如下参数配置GE1/0/2接口。
    
    安全区域
    
    dmz
    
    IPv4
    
    IP地址
    
    10.10.0.2/24
配置双机热备功能。
1. 在FW_A上配置双机热备功能。
  1. 选择“系统 > 高可靠性 > 双机热备”，单击“配置”。
  2. 开启“双机热备”后，按如下参数配置，单击“确定”。
2. 在FW_B上配置双机热备功能。
  1. 选择“系统 > 高可靠性 > 双机热备”，单击“配置”。
  2. 开启“双机热备”后，按如下参数配置，单击“确定”。
配置安全策略。

双机热备状态成功建立后，FW_A的安全策略配置会自动备份到FW_B上。
1. 选择“策略 > 安全策略 > 安全策略”。
2. 单击“新建安全策略”，按照如下参数配置安全策略，单击“确定”。
  
  名称
  
  policy_sec1
  
  源安全区域
  
  trust
  
  目的安全区域
  
  untrust
  
  动作
  
  允许
配置Switch。

分别将两台Switch的三个接口加入同一个VLAN，具体配置命令请参考交换机的相关文档。

安全区域	untrust
模式	交换
连接类型	Trunk
Trunk VLAN ID	10,20

安全区域	trust
模式	交换
连接类型	Trunk
Trunk VLAN ID	10,20

安全区域	dmz
IPv4
IP地址	10.10.0.2/24

名称	policy_sec1
源安全区域	trust
目的安全区域	untrust
动作	允许

结果验证

选择“系统 > 高可靠性 > 双机热备”，查看双机热备的运行情况。

正常情况下，FW_A的“当前运行模式”为“主备备份”，“当前运行角色”为“主用”；FW_B的“当前运行模式”为“主备备份”，“当前运行角色”为“备用”。这说明流量FW_A转发。
当FW_A出现故障时，FW_A的“当前运行模式”为“主备备份”，“当前运行角色”为“备用”；FW_B的“当前运行模式”为“主备备份”，“当前运行角色”为“主用”。这说明流量通过FW_B转发。

配置脚本

FW_A	FW_B
# sysname FW_A # vlan batch 10 20 #hrp enablehrp interface GigabitEthernet1/0/2 remote 10.10.0.2 hrp track vlan 10hrp track vlan 20 # interface GigabitEthernet1/0/3portswitchport link-type trunkport trunk allow-pass vlan 10 20undo port trunk allow-pass vlan 1 # interface GigabitEthernet1/0/7portswitchport link-type trunkport trunk allow-pass vlan 10 20undo port trunk allow-pass vlan 1 # interface GigabitEthernet1/0/2ip address 10.10.0.1 255.255.255.0 # firewall zone trustset priority 85add interface GigabitEthernet1/0/7 # firewall zone untrustset priority 5 add interface GigabitEthernet1/0/3 # firewall zone dmzset priority 50add interface GigabitEthernet1/0/2 # security-policyrule name policy_secsource-zone trustdestination-zone untrustaction permit	# sysname FW_B # vlan batch 10 20 #hrp enablehrp interface GigabitEthernet1/0/2 remote 10.10.0.1 hrp track vlan 10hrp track vlan 20hrp standby-device # interface GigabitEthernet1/0/3portswitchport link-type trunkport trunk allow-pass vlan 10 20undo port trunk allow-pass vlan 1 # interface GigabitEthernet1/0/7portswitchport link-type trunkport trunk allow-pass vlan 10 20undo port trunk allow-pass vlan 1 # interface GigabitEthernet1/0/2ip address 10.10.0.2 255.255.255.0 # firewall zone trustset priority 85add interface GigabitEthernet1/0/7 # firewall zone untrustset priority 5add interface GigabitEthernet1/0/3 # firewall zone dmzset priority 50add interface GigabitEthernet1/0/2 # security-policyrule name policy_secsource-zone trustdestination-zone untrustaction permit

FW_A

FW_B

#
sysname FW_A
# 
vlan batch 10 20
#hrp enablehrp interface GigabitEthernet1/0/2 remote 10.10.0.2 hrp track vlan 10hrp track vlan 20
#
interface GigabitEthernet1/0/3portswitchport link-type trunkport trunk allow-pass vlan 10 20undo port trunk allow-pass vlan 1
#
interface GigabitEthernet1/0/7portswitchport link-type trunkport trunk allow-pass vlan 10 20undo port trunk allow-pass vlan 1
#
interface GigabitEthernet1/0/2ip address 10.10.0.1 255.255.255.0
#
firewall zone trustset priority 85add interface GigabitEthernet1/0/7
#
firewall zone untrustset priority 5   add interface GigabitEthernet1/0/3
#
firewall zone dmzset priority 50add interface GigabitEthernet1/0/2
#    
security-policyrule name policy_secsource-zone trustdestination-zone untrustaction permit

#
sysname FW_B
# 
vlan batch 10 20
#hrp enablehrp interface GigabitEthernet1/0/2 remote 10.10.0.1 hrp track vlan 10hrp track vlan 20hrp standby-device
#
interface GigabitEthernet1/0/3portswitchport link-type trunkport trunk allow-pass vlan 10 20undo port trunk allow-pass vlan 1
#
interface GigabitEthernet1/0/7portswitchport link-type trunkport trunk allow-pass vlan 10 20undo port trunk allow-pass vlan 1
#
interface GigabitEthernet1/0/2ip address 10.10.0.2 255.255.255.0
#
firewall zone trustset priority 85add interface GigabitEthernet1/0/7
#
firewall zone untrustset priority 5add interface GigabitEthernet1/0/3
#
firewall zone dmzset priority 50add interface GigabitEthernet1/0/2
#    
security-policyrule name policy_secsource-zone trustdestination-zone untrustaction permit