【正文】 既可以作為二層設(shè)備也可以做三層設(shè)備，此組網(wǎng)防火墻通過VRRP報文來感知鏈路故障，防火墻能快速切換，保證發(fā)生故障的時候業(yè)務(wù)迅速恢復(fù)。此組網(wǎng)一般采用主備模式，防火墻上行交換機可以起VRRP協(xié)議，下行交換機也可以起VRRP協(xié)議，防火墻采用靜態(tài)路由的方式，分別指向上下行的交換機的VRRP的虛地址。由于采用主備模式，交換機之間可能會轉(zhuǎn)發(fā)數(shù)據(jù)報文，所以交換機之間的接口需要保證鏈路的暢通和帶寬滿足需求。組網(wǎng)優(yōu)點：1：防火墻推薦的典型組網(wǎng)，是已經(jīng)應(yīng)用的很成熟的組網(wǎng)方式。2：上下行都是交換機，并且配置的是靜態(tài)路由，發(fā)生故障的時候能能快速切換。3：在防火墻上如果配置多個VGMP組，就能形成負載分擔的組網(wǎng)。4：防火墻上的所有的應(yīng)用類型都能在此種組網(wǎng)上實現(xiàn)。組網(wǎng)缺點：對防火墻上下行設(shè)備都需要是交換機?？煽啃苑治觯哼@里只分析主備組網(wǎng)的可靠性。防火墻對上下行設(shè)備都發(fā)布VRRP的虛地址，上下行設(shè)備通過配置靜態(tài)路由的方式指向防火墻的虛地址，使得數(shù)據(jù)都轉(zhuǎn)發(fā)到VRRP為主的防火墻上。如圖所示，防火墻和路由器組網(wǎng)，鏈路正常的時候，業(yè)務(wù)走向為圖中藍色的路徑。此時防火墻FW2為主防火墻，F(xiàn)W1為備防火墻，加入到VGMP組中的VRRP會和VGMP的狀態(tài)保證一致。1：FW2和SW3之間的鏈路故障當FW2和SW3之間的鏈路故障，此接口上的VRRP變成初始化狀態(tài)，F(xiàn)W2防火墻上的VGMP的優(yōu)先級降低，F(xiàn)W2上的對應(yīng)的VGMP變成備狀態(tài)，防火墻發(fā)生主備倒換，F(xiàn)W1變成主防火墻，F(xiàn)W2變成備防火墻。在防火墻發(fā)生主備倒換之后，F(xiàn)W1變成主防火墻，對外發(fā)布VRRP的免費ARP，同時VRRP發(fā)送hello報文，更新上下行交換機的MAC表，這樣以虛地址為下一跳報文都能轉(zhuǎn)發(fā)到主防火墻FW1上。2：防火墻故障 如果是其中FW2防火墻發(fā)生故障down或者是重啟，此時FW1防火墻立即搶占為主狀態(tài)，對外發(fā)布VRRP的免費ARP，同時VRRP發(fā)送hello報文，使上下行設(shè)備的報文轉(zhuǎn)發(fā)到FW1上。組網(wǎng)配置要點：主備組網(wǎng)配置要點：1：防火墻所有的接口都采用1GE的板卡，保證達到最大的轉(zhuǎn)發(fā)性能，心跳口做會話備份接口，防火墻上下行和心跳口都起VRRP，并加入同一個VGMP組中。2：防火墻的VGMP的優(yōu)先級使用配置的優(yōu)先級，為主狀態(tài)的VGMP優(yōu)先級設(shè)置為105，為備狀態(tài)的優(yōu)先級設(shè)置為默認值100，所有的接口都作為VGMP的數(shù)據(jù)通道，同時心跳口以transferonly的方式加入VGMP組中。3：在配置搶占延時的時候主VGMP搶占設(shè)置為不搶占或者是搶占延時20000ms，備VGMP搶占方式為立即搶占。4：防火墻在對路由器上的出口上起NAT功能，防火墻上的nat地址池或者是nat server配置時加上VRRP的ID，此VRRP所蜀的接口必須保證和收到ARP請求的接口一致，在路由器請求nat地址池或者時nat server的arp的時候，主防火墻回應(yīng)ARP請求而備防火墻不會回應(yīng)ARP請求，使到NAT地址池地址的報文能正確的轉(zhuǎn)發(fā)到主防火墻上，如果不配置VRRP的ID，主備防火墻都直接用接口地址回應(yīng)ARP請求，將會導(dǎo)致上行設(shè)備上的ARP表出錯。5：配置會話快速備份功能，保證發(fā)生故障防火墻倒換之后不影響業(yè)務(wù)。負載分擔組網(wǎng)配置要點：1：防火墻所有的接口都采用1GE的板卡，保證達到最大的轉(zhuǎn)發(fā)性能，心跳口做會話備份接口，防火墻上下行和心跳口都起VRRP，上下行每個業(yè)務(wù)口上配置兩個VRRP，加入不同的VGMP組。2：防火墻的VGMP的優(yōu)先級使用配置的優(yōu)先級，為主狀態(tài)的VGMP優(yōu)先級設(shè)置為105，為備狀態(tài)的優(yōu)先級設(shè)置為默認值100，所有的接口都作為VGMP的數(shù)據(jù)通道。3：在配置搶占延時的時候主VGMP搶占設(shè)置為不搶占或者是搶占延時20000ms，備VGMP搶占方式為立即搶占。4：防火墻在對路由器上的出口上起NAT功能，防火墻上的nat地址池或者是nat server配置時加上VRRP的ID，此VRRP所蜀的接口必須保證和收到ARP請求的接口一致，在路由器請求nat地址池或者時nat server的arp的時候，主防火墻回應(yīng)ARP請求而備防火墻不會回應(yīng)ARP請求，使到NAT地址池地址的報文能正確的轉(zhuǎn)發(fā)到主防火墻上，如果不配置VRRP的ID，主備防火墻都直接用接口地址回應(yīng)ARP請求，將會導(dǎo)致上行設(shè)備上的ARP表出錯。5：配置會話快速備份功能，保證發(fā)生故障防火墻倒換之后不影響業(yè)務(wù)。組網(wǎng)驗證圖及配置：驗證組網(wǎng)配置可以參考下面嵌入的PPT中的配置。驗證組網(wǎng)一：主備模式組網(wǎng)： 防火墻重點配置說明： 驗證組網(wǎng)一：負載分擔組網(wǎng)： 防火墻重點配置說明：  透明模式防火墻和路由器雙機熱備組網(wǎng)防火墻透明模式下的組網(wǎng)主要是防火墻和路由器組網(wǎng)以及防火墻和交換機組網(wǎng)，防火墻以透明模式加入到網(wǎng)絡(luò)中，不參與路由協(xié)議以及STP協(xié)議的計算。其中防火墻和路由器的組網(wǎng)是防火墻透傳路由協(xié)議的報文，防火墻和交換機組網(wǎng)是防火墻透傳STP的報文，防火墻透明接入不影響網(wǎng)絡(luò)的拓撲結(jié)構(gòu)。 ：推薦組網(wǎng)發(fā)生故障防火墻倒換路由器調(diào)整路由后業(yè)務(wù)走向 主防火墻 備防火墻雙機熱備心跳線鏈路正常時的業(yè)務(wù)走向OSPF區(qū)域OSPF區(qū)域故障時此處鏈路down，防火墻主備倒換，路由器重新計算路由R1R2R3R4FW1FW2如上圖所示，防火墻透明模式下，路由器之間插入兩臺防火墻，對業(yè)務(wù)進行保護，路由器之間運行OSPF協(xié)議?？梢栽诼酚善魃险{(diào)整鏈路的COST值，形成主備組網(wǎng)，并使得流量經(jīng)過防火墻的時候來回路徑一致。組網(wǎng)優(yōu)點：1：防火墻透明接入，不改變網(wǎng)絡(luò)的拓撲接口，在防火墻接入的時候如果沒有額外的地址分配給防火墻，可以使防火墻透明模式接入防火墻。2：防火墻支持透明模式下做nat。組網(wǎng)缺點：1：防火墻透明模式接入網(wǎng)絡(luò)，即使是起Vlanif接口，也不支持動態(tài)路由協(xié)議。2：防火墻透明模式下的性能比路由模式下的性能要稍低?？煽啃苑治觯? 這里只分析主備組網(wǎng)的可靠性。防火墻上下行業(yè)務(wù)口都工作在透明模式，加入一個vlan中，所有收到的報文都在vlan內(nèi)轉(zhuǎn)發(fā)。如圖所示，防火墻和路由器組網(wǎng)，鏈路正常的時候，業(yè)務(wù)走向為圖中藍色的路徑。此時防火墻FW2為主防火墻，F(xiàn)W1為備防火墻，防火墻通過心跳線維護雙機狀態(tài)并備份會話。1：FW2和R4之間的鏈路故障當FW2和SW3之間的鏈路故障，此時在vlan內(nèi)綁定的vgmp的優(yōu)先級，防火墻發(fā)生主備倒換，并且上下行業(yè)務(wù)口在一個linkgroup中，F(xiàn)W2和R2之間的鏈路也跟著down。在防火墻發(fā)生主備倒換之后，F(xiàn)W1變成主防火墻，所有的報文能通過FW1轉(zhuǎn)發(fā)，上下行路由器重新計算路由，業(yè)務(wù)充主防火墻FW1轉(zhuǎn)發(fā)。2：防火墻故障 如果是其中FW2防火墻發(fā)生故障down或者是重啟，此時FW1防火墻變成初始化狀態(tài)，所有的報文都能通過FW1進行轉(zhuǎn)發(fā)，上下行路由器重新計算路由，業(yè)務(wù)從FW1上轉(zhuǎn)發(fā)。配置要點：主備模式配置要點：1：防火墻工作在混合模式下，上下行業(yè)務(wù)口工作在透明模式下，心跳口工作在路由模式下。2：防火墻相連的接口采用2GE卡，心跳口形成備份，上面起VRRP協(xié)議，心跳口上的VRRP都加入同一個VGMP組中，配置允許備機轉(zhuǎn)發(fā)的命令，調(diào)整備防火墻上下行路由器的接口的cost值，保證上下行路由器計算動態(tài)路由的時候報文能從主備防火墻上轉(zhuǎn)發(fā)。3：上下行業(yè)務(wù)口都加入一個vlan中，并在vlan下設(shè)置 set vgmp，保證vlan中的一個接口down的時候vgmp的優(yōu)先級進行調(diào)整，防火墻發(fā)生主備倒換，上下行接口配置linkgroup，使得一個接口發(fā)生故障的時候另外一個接口也跟著down，保證上下行路由器上的路由快速收斂。4：如果在防火墻上做nat，需要保證nat地址池地址的報文能轉(zhuǎn)發(fā)到防火墻上，這個可以在路由器上配置黑洞路由或者是添加network實現(xiàn)。5：配置會話快速備份命令，保證發(fā)生主備倒換之后不對業(yè)務(wù)產(chǎn)生影響。負載分擔模式配置要點：1：防火墻工作在混合模式下，上下行業(yè)務(wù)口工作在透明模式下，心跳口工作在路由模式下。2：防火墻相連的接口采用2GE卡，心跳口形成備份，上面起VRRP協(xié)議，心跳口上的VRRP都加入同一個VGMP組中，配置允許備機轉(zhuǎn)發(fā)的命令，保證上下行路由器計算動態(tài)路由的時候報文能從主備防火墻轉(zhuǎn)發(fā)。3：防火墻兩個心跳口上每個心跳口配置兩個VGMP，并使得每個防火墻上都有一個VGMP為主狀態(tài)，vlan下不需要設(shè)置set vgmp的命令，上下行接口配置linkgroup，使得一個接口發(fā)生故障的時候另外一個接口也跟著down，保證上下行路由器上的路由快速收斂。4：如果在防火墻上做nat，需要保證nat地址池地址的報文能轉(zhuǎn)發(fā)到防火墻上，這個可以在路由器上配置黑洞路由或者是添加network實現(xiàn)。5：配置會話快速備份命令，保證發(fā)生主備倒換之后不對業(yè)務(wù)產(chǎn)生影響。組網(wǎng)驗證圖及配置： 驗證組網(wǎng)配置可以參考下面嵌入的PPT中的配置。驗證組網(wǎng)一：主備模式組網(wǎng)： 防火墻重點配置說明： 驗證組網(wǎng)一：負載分擔組網(wǎng)： 防火墻重點配置說明：  透明模式防火墻和交換機雙機熱備組網(wǎng)防火墻透明模式下和交換機組網(wǎng)，主要是防火墻上下行設(shè)備都是交換機，并且接口上都起STP協(xié)議保證不形成環(huán)路，防火墻透傳STP的報文，從而不影響網(wǎng)絡(luò)的拓撲結(jié)構(gòu)。 ：推薦組網(wǎng)防火墻切換為主狀態(tài)，轉(zhuǎn)發(fā)報文 主防火墻 備防火墻雙機熱備心跳線鏈路正常時的業(yè)務(wù)走向故障時此處鏈路down，防火墻切換為備狀態(tài)，不轉(zhuǎn)發(fā)報文SW1SW4SW2SW3FW2FW1如上圖所示，防火墻透明模式下和交換機組網(wǎng)，交換機的接口上起STP協(xié)議，防火墻通過中間的心跳線形成雙機熱備。此種組網(wǎng)是防火墻透明模式在二層網(wǎng)絡(luò)上的應(yīng)用。此種組網(wǎng)只能是主備組網(wǎng)，而無法形成負載分擔的組網(wǎng)，否則就會導(dǎo)致環(huán)路的產(chǎn)生。組網(wǎng)優(yōu)點：1：透明模式下和二層交換機組網(wǎng)，能在沒有IP地址分配給防火墻的情況下使防火墻接入網(wǎng)絡(luò)，同時不影響網(wǎng)絡(luò)的拓撲結(jié)構(gòu)。組網(wǎng)缺點：1：透明模式下防火墻的性能比路由模式下要稍低。2：如果不起vlan if，將無法進行遠程的管理，只能通過串口登陸防火墻。3：防火墻不支持STP協(xié)議，如果上下行交換機起STP協(xié)議，STP協(xié)議的收斂速度比較慢，網(wǎng)絡(luò)故障的時候業(yè)務(wù)中斷的時間較長。并且此組網(wǎng)不支持負載分擔組網(wǎng)。配置要點：1：防火墻工作在混合模式下，上下行業(yè)務(wù)口工作在透明模式下，心跳口工作在路由模式下。2：防火墻相連的接口采用2GE卡，心跳口形成備份，上面起VRRP協(xié)議。3：上下行業(yè)務(wù)口都加入一個vlan中，并在vlan下設(shè)置 set vgmp，保證vlan中的一個接口down的時候vgmp的優(yōu)先級進行調(diào)整，防火墻發(fā)生主備倒換，同時在發(fā)生主備倒換的時候vlan下的所有的接口都會up/down一次，交換機和防火墻重新建立MAC轉(zhuǎn)發(fā)表，保證業(yè)務(wù)不中斷。4：如果配置不允許備機轉(zhuǎn)發(fā)，和防火墻上下行相連的交換機的接口可以不用起STP，這樣發(fā)生故障的時候防火墻發(fā)生主備倒換，業(yè)務(wù)馬上恢復(fù)。5：如果組網(wǎng)需要配置STP，需要配置允許備機轉(zhuǎn)發(fā)，保證STP報文能穿過防火墻，使得STP報文正確進行計算，同時調(diào)整交換機上的接口的STP的cost值，使得報文從主防火墻上經(jīng)過。6：配置會話快速備份。組網(wǎng)驗證圖及配置：驗證組網(wǎng)一：主備模式組網(wǎng)： 防火墻重點配置說明： 2022725華為機密，未經(jīng)許可不得擴散第26頁, 共26頁