目录

需求和拓扑

操作步骤

1、配置接口ip和安全区域

2、配置ospf动态路由

3、配置双机热备

3.1 配置vrrp备份组

3.2 配置心跳线

3.3 配置检测上行链路

3.4 开启双机热备

4、配置安全策略

验证和分析

1、检查vrrp备份组建立情况

2、检查vgmp组状态

3、检查r3的路由情况

4、检查f1和f2通告的一类lsa情况

5、在f1和f2上检查到达r3的路由情况

实验四：防火墙直路部署，上行连接路由器（OSPF），下行连接交换机

需求和拓扑

两台FW的业务接口都工作在三层，上行连接路由器，下行连接二层交换机。FW与路由器之间运行OSPF协议。现在希望两台FW以主备备份方式工作。正常情况下，流量通过FW_A转发。当FW_A出现故障时，流量通过FW_B转发，保证业务不中断。

分析：上行由于连接路由器，无法配置vrrp备份组，所以只能在下行配置vrrp备份组，同时为了监控上行链路，需要配置hrp检测上行链路。即这是一个单vrrp备份组配合动态路由的双机热备案例。

操作步骤

1、配置接口ip和安全区域

2、配置ospf动态路由

配置完成后应该r3能够和r1、r2建立ospf邻居关系，r1和r2分别和fw1和fw2建立邻居关系，fw1能够和fw2、r1建立邻居关系，fw2能够和fw1、r2建立邻居关系。

r3上检查是否存在由fw1/fw2发布的10.3.0.0/24的路由，fw1/fw2上检查是否存在由r3发布3.3.3.3/32的路由。

注意这时候，r3去往10.3.0.0/24网段的下一跳是负载的，即经过f1和f2的开销是一样的。

3、配置双机热备

3.1 配置vrrp备份组

3.2 配置心跳线

3.3 配置检测上行链路

3.4 开启双机热备

4、配置安全策略

验证和分析

1、检查vrrp备份组建立情况

2、检查vgmp组状态

vgmp对备份组的操作是对其ospf开销增加了65500，导致上下行选路从f2经过时开销加65500，从而不被优选。

3、检查r3的路由情况

4、检查f1和f2通告的一类lsa情况

metric值说明了一切。

5、在f1和f2上检查到达r3的路由情况

这个开销是怎么来的呢？并不是r3通告1类lsa的时候赋予的，也不是r1或者r2通过1类lsa的时候赋予的，而是其自己的1类lsa中transnet的链路类型赋予的，然后进行累加形成的。

但是从内网访问外网的上行链路的选路并不是ospf的开销主导的，而是由于vrrp的arp通告导致的，作为active的fw1，也即master设备，会主动向下游设备通告虚拟网关ip对应的虚拟mac，引导流量从自己经过。

假如f1的直连链路出现故障，这实际上是两步操作，第一是调整了vrrp中的master设备，第二是调整了ospf的开销，从而保证上下行流量路径一致。

本文由 在线网速测试 整理编辑，转载请注明出处，原文链接：https://www.wangsu123.cn/news/18647.html。