防火墙双机热备实验总结

发布时间:  2012-12-04 浏览次数:  250 下载次数:  0
问题描述
实验组网如下图:

其中A、B都为USG2200, 2.2.2.1为ISP提供的公网地址,10.10.10.0/24为私网网段,C为另一台防火墙,模拟VPN对端设备。
按照产品手册配置完成后发现:1、配置的策略不生效;2、防火墙和设备之间ping不通;3、查看双机热备不成功;
告警信息
处理过程
针对以上问题,对防火墙做如下配置:
1、[USG_A] firewall zone trust
      [USG_A-zone-trust] add interface GigabitEthernet 0/0/0

2、[USG]dhcp enable
      [USG]VLAN 1
      [USG-vlan-1]port Ethernet 0/0/0
      [USG] interface Vlanif 1
      [USG-Vlanif1] ip address 10.10.10.5 24
      [USG-Vlanif1] quit

3、[USG_A] hrp interface GigabitEthernet 0/0/3
      [USG_A] hrp enable


 
根因
 1、防火墙的接口必须在加入安全域后才能生效;
 2、安全域vlanif并非物理接口,而是划分的vlan的一个逻辑接口,在防火墙上开启DHCP功能可以对vlan内主机动态分配ip;
 3、双击热备时心跳线的配置只能使用防火墙上的WAN接口而不能用二层口;
建议与总结
通过此次实验,另外有个心得,即实验前必须先认真考虑组网情况,先将实验思路,实验流程理清楚、连接接口,只有前期准备工作做好,后面的配置过程才会更加清晰,纠错更容易。

END