H3C模拟器HCL防火墙路由模式主备配置实验

1. 拓扑图

2. IP规划

由于运营商只能提供一个接口地址，因此需要将上联虚IP设置成运营商地址，实际接口地址设自定义，不冲突即可。

设备	IP
运营商路由器	10.10.10.1/24（vlanif接口）
主防火墙	上联接口地址10.20.10.1/29 （虚IP：10.10.10.2/24）
	下联接口地址172.168.10.1 /24（虚IP：172.168.10.3/24）
	HA地址：1.1.1.1/30
备防火墙	上联接口地址10.20.10.2/29（虚IP：10.10.10.2/24）
	下联接口地址172.168.10.2 /24（虚IP：172.168.10.3/24）
	HA地址：1.1.1.2/30
核心交换机	172.168.10.4/24（vlanif接口）
	下联接口1：192.168.10.1
	下联接口2：192.168.20.1

3. 详细配置

3.1 运营商路由器

配置vlan  10将路由器的0和1接口加入vlan10，并创建vlan10接口IP地址为10.10.10.1

<H3C>system   //进入系统视图

[H3C]vlan10   //创建vlan10

[H3C-vlan10]port  GigabitEthernet 0/0 GigabitEthernet 0/1   //将0和1口加入vlan10

[H3C]interface  Vlan-interface 10   //创建vlan10虚接口

[H3C-Vlan-interface10]ip  address 10.10.10.1 24   //配置地址和掩码长度

配置到内网网段的回程路由，下一跳为防火墙虚地址。

[H3C] ip route-static 0.0.0.0 0 10.10.10.2

3.2 主防火墙配置

笔记本回环网卡配置参考：https://blog.csdn.net/weixin_54923991/article/details/141422021?spm=1001.2014.3001.5502

配置本机访问web

security-zone name Management

import interface GigabitEthernet1/0/1

quit

ip http enable

ip https enable

local-user admin class manage

password simple XXXXX  #此处重新设置admin的密码，要求至少10位以上

service-type http https

authorization-attribute user-role network-admin

登录主设备web，默认登录方式：https://192.168.0.1

配置HA，创建HA安全域

配置HA接口地址，设备会有保持上一条的按钮，模拟器需要使用命令在接口执行ip last-hop hold。

配置上联接口

配置下联接口

配置静态路由

配置高可用性

配置VVRP，上下行

配置VVRP安全策略

3.3 备防火墙配置

登录主设备web，默认登录方式：https://192.168.0.2  备注：本次修改了备的默认管理IP

配置HA，创建HA安全域

配置HA接口地址，设备会有保持上一条的按钮，模拟器需要使用命令在接口执行ip last-hop hold。

配置上联接口

配置下联接口

配置静态路由

配置高可用性

配置VVRP，上下行

配置VVRP安全策略

3.4 核心交换机配置

配置vlan  10将路由器的1和4接口加入vlan10，并创建vlan10接口IP地址为172.168.10.4

<H3C>system   //进入系统视图

[H3C]vlan10   //创建vlan10

[H3C-vlan10]port  GigabitEthernet 1/0/1 GigabitEthernet 1/0/4   //将0和1口加入vlan10

[H3C]interface  Vlan-interface 10   //创建vlan10虚接口

[H3C-Vlan-interface10]ip  address 172.168.10.4 24   //配置地址和掩码长度

配置2和3的接口地址

<H3C>system   //进入系统视图

[H3C]interface GigabitEthernet 1/0/2  //进入2口

[H3C-GigabitEthernet1/0/2]port link-mode route  将接口修改成三层口

[H3C]ip  address 192.168.10.1 24   //配置地址和掩码长度

[H3C]interface GigabitEthernet 1/0/3  //进入2口

[H3C-GigabitEthernet1/0/2]port link-mode route  将接口修改成三层口

[H3C]ip  address 192.168.20.1 24   //配置地址和掩码长度

[H3C]ip route-static 0.0.0.0 0 172.168.10.3   //配置路由

4. 结果验证

主防火墙高可用状态

切换记录

备防火墙高可用状态

切换记录