雙機(jī)熱備的配置環(huán)境如下：

需求如下：

LSW1和LSW2是二層交換機(jī)，F(xiàn)W1、FW2、LSW1、LSW2組成雙機(jī)熱備網(wǎng)絡(luò)，正常情況下，PC1發(fā)起的訪問(wèn)R1的流量通過(guò)FW1轉(zhuǎn)發(fā)，當(dāng)FW1出現(xiàn)故障時(shí)，在PC1不做任何調(diào)整的前提下，可以自動(dòng)通過(guò)FW2轉(zhuǎn)發(fā)。推薦步驟：

按照拓?fù)鋱D配置基本網(wǎng)絡(luò)參數(shù)

防火墻接口加入不同區(qū)域

配置安全策略

配置NAT地址轉(zhuǎn)換使用PAPT

配置相互傳輸心跳

配置VRRP

防火墻配置默認(rèn)路由

驗(yàn)證開(kāi)始配置：FW1配置如下：[FW1]intg1/0/0<!--進(jìn)入該接口-->[FW1-GigabitEthernet1/0/0]ipadd10.1.1.124<!--接口配置IP地址-->[FW1-GigabitEthernet1/0/0]quit[FW1]intg1/0/1<!--進(jìn)入該接口-->[FW1-GigabitEthernet1/0/1]ipadd10.2.1.124<!--接口配置IP地址-->[FW1-GigabitEthernet1/0/1]quit[FW1]intg1/0/2<!--進(jìn)入該接口-->[FW1-GigabitEthernet1/0/2]ipadd10.3.1.124<!--接口配置IP地址-->[FW1-GigabitEthernet1/0/2]quit[FW1]iproute-static0.0.0.00.0.0.0GigabitEthernet1/0/01.1.1.2<!--配置去往untrust區(qū)域的默認(rèn)路由-->[FW1]firewallzoneuntrust<!--進(jìn)入untrust區(qū)域-->[FW1-zone-untrust]addintGigabitEthernet1/0/0<!--該接口加入untrust區(qū)域-->[FW1-zone-untrust]quit[FW1]firewallzonedmz<!--進(jìn)入dmz區(qū)域-->[FW1-zone-dmz]addintGigabitEthernet1/0/1<!--該接口加入dmz區(qū)域-->[FW1-zone-dmz]quit[FW1]firewallzonetrust<!--進(jìn)入trust區(qū)域-->[FW1-zone-trust]addintGigabitEthernet1/0/2<!--該接口加入trust區(qū)域-->[FW1-zone-trust]quit[FW1]security-policy<!--配置安全策略-->[FW1-policy-security]rulenameha<!--安全策略名字為ha-->[FW1-policy-security-rule-ha]source-zonelocal<!--指定源區(qū)域-->[FW1-policy-security-rule-ha]source-zonedmz<!--指定源區(qū)域-->[FW1-policy-security-rule-ha]destination-zonelocal<!--指定目標(biāo)區(qū)域-->[FW1-policy-security-rule-ha]destination-zonedmz<!--指定目標(biāo)區(qū)域-->[FW1-policy-security-rule-ha]actionpermit<!--允許dmz區(qū)域和local區(qū)域相互訪問(wèn)-->[FW1-policy-security-rule-ha]quit[FW1-policy-security]quit[FW1]security-policy<!--配置安全策略-->[FW1-policy-security]rulenamenat<!--安全策略名字為nat-->[FW1-policy-security-rule-nat]source-zonetrust<!--指定源區(qū)域-->[FW1-policy-security-rule-nat]destination-zoneuntrust<!--指定目標(biāo)區(qū)域-->[FW1-policy-security-rule-nat]actionpermit<!--允許流量通過(guò)-->[FW1-policy-security-rule-nat]quit[FW1-policy-security]qui[FW1]nataddress-groupNAPAT<!--地址池的名字為NAPAT-->[FW1-address-group-napat]section01.1.1.11.1.1.1<!--地址池范圍-->[FW1-address-group-napat]quit[FW1]nat-policy<!--配置NAT策略-->[FW1-policy-nat]rulenamenatpolicy<!--NAT策略名字為natpolicy-->[FW1-policy-nat-rule-natpolicy]source-zonetrust<!--定義轉(zhuǎn)換源區(qū)域-->[FW1-policy-nat-rule-natpolicy]destination-zoneuntrust<!--定義轉(zhuǎn)換目標(biāo)區(qū)域-->[FW1-policy-nat-rule-natpolicy]actionnataddress-groupNAPAT<!--定義轉(zhuǎn)換源和地址池建立映射關(guān)系-->[FW1-policy-nat-rule-natpolicy]quit[FW1-policy-nat]quit[FW1]hrpintg1/0/1remote10.2.1.2<!--配置心跳信息傳輸?shù)紽W2-->[FW1]hrpenable<!--開(kāi)啟hrp功能-->HRP_S[FW1]FW2配置如下：（請(qǐng)參照FW1注釋?zhuān)現(xiàn)W1和FW2配置基本相同）[FW2]intg1/0/0[FW2-GigabitEthernet1/0/0]ipadd10.1.1.224[FW2-GigabitEthernet1/0/0]intg1/0/1[FW2-GigabitEthernet1/0/1]ipadd10.2.1.224[FW2-GigabitEthernet1/0/1]intg1/0/2[FW2-GigabitEthernet1/0/2]ipadd10.3.1.224[FW2-GigabitEthernet1/0/2]quit[FW2]iproute-static0.0.0.00.0.0.0GigabitEthernet1/0/01.1.1.2[FW2]firewallzoneuntrust[FW2-zone-untrust]addintGigabitEthernet1/0/0[FW2-zone-untrust]quit[FW2]firewallzonedmz[FW2-zone-dmz]addintGigabitEthernet1/0/1[FW2-zone-dmz]quit[FW2]firewallzonetrust[FW2-zone-trust]addintGigabitEthernet1/0/2[FW2-zone-trust]quit[FW2]security-policy[FW2-policy-security]rulenameha[FW2-policy-security-rule-ha]source-zonelocal[FW2-policy-security-rule-ha]source-zonedmz[FW2-policy-security-rule-ha]destination-zonelocal[FW2-policy-security-rule-ha]destination-zonedmz[FW2-policy-security-rule-ha]actionpermit[FW2-policy-security-rule-ha]quit[FW2-policy-security]quit[FW2]security-policy[FW2-policy-security]rulenamenat[FW2-policy-security-rule-nat]source-zonetrust[FW2-policy-security-rule-nat]destination-zoneuntrust[FW2-policy-security-rule-nat]actionpermit[FW2-policy-security-rule-nat]quit[FW2-policy-security]quit[FW2]nataddress-groupNAPAT[FW2-address-group-napat]section01.1.1.11.1.1.1[FW2-address-group-napat]quit[FW2]nat-policy[FW2-policy-nat]rulenamenatpolicy[FW2-policy-nat-rule-natpolicy]source-zonetrust[FW2-policy-nat-rule-natpolicy]destination-zoneuntrust[FW2-policy-nat-rule-natpolicy]actionnataddress-groupNAPAT[FW2-policy-nat-rule-natpolicy]quit[FW2-policy-nat]quit[FW2]hrpintg1/0/1remote10.2.1.1[FW2]hrpenableHRP_S[FW2]hrpstandby-device開(kāi)始配置VRRPFW1配置VRRP如下：HRP_M[FW1]intg1/0/0(+B)<!--進(jìn)入接口-->HRP_M[FW1-GigabitEthernet1/0/0]vrrpvrid1virtual-ip1.1.1.1255.255.255.0active<!--VRRP1組主設(shè)備，虛擬IP網(wǎng)關(guān)1.1.1.1-->HRP_M[FW1-GigabitEthernet1/0/0]quitHRP_M[FW1]intg1/0/2(+B)<!--進(jìn)入接口-->HRP_M[FW1-GigabitEthernet1/0/2]vrrpvrid2virtual-ip10.3.1.3active<!--VRRP2組主設(shè)備，虛擬IP網(wǎng)關(guān)10.3.1.3-->HRP_M[FW1-GigabitEthernet1/0/2]quitFW2配置VRRP如下：HRP_S[FW2]intg1/0/0<!--進(jìn)入接口-->HRP_S[FW2-GigabitEthernet1/0/0]vrrpvrid1virtual-ip1.1.1.1255.255.255.0standby<!--VRRP1備份設(shè)備，虛擬IP網(wǎng)關(guān)1.1.1.1-->HRP_S[FW2-GigabitEthernet1/0/0]quitHRP_S[FW2]intg1/0/2<!--進(jìn)入接口-->HRP_S[FW2-GigabitEthernet1/0/2]vrrpvrid2virtual-ip10.3.1.3standby<!--VRRP2組備份設(shè)備，虛擬IP網(wǎng)關(guān)10.3.1.3-->HRP_S[FW2-GigabitEthernet1/0/2]quitHRP_S[FW2]dishrpstate<!--查看hrp狀態(tài)-->配置R1和PC的IP地址，并pingR1的IP地址。

R1配置如下：[R1]intg0/0/0[R1-GigabitEthernet0/0/0]ipadd1.1.1.224[R1-GigabitEthernet0/0/0]quit<!--進(jìn)入接口給接口配置IP地址-->[R1]iproute-static10.3.1.02410.1.1.1[R1]iproute-static10.3.1.02410.1.1.2<!--添加兩條去往內(nèi)網(wǎng)的路由，在實(shí)際環(huán)境中，可是不會(huì)有這條路由的哦，實(shí)際中一般會(huì)將內(nèi)網(wǎng)的地址映射為和該路由器同一網(wǎng)段的公網(wǎng)IP。-->PC配置如下：驗(yàn)證

用PC1pingR1路由器，然后去FW1和FW2防火墻上分別查看會(huì)話表，他們的內(nèi)容是不一樣的FW1會(huì)話表：

抓包查看流量轉(zhuǎn)換

模擬FW1的F1/0/0接口故障，客戶端ping路由器R1HRP_M[FW1]intg1/0/0(+B)<!--進(jìn)入接口-->HRP_M[FW1-GigabitEthernet1/0/0]shutdown<!--關(guān)