#FW_B防火墙的配置
[FW_B] hrp interface GigabitEthernet 0/0/7 remote 10.10.0.1
[FW_B] hrp enable
5、在FW_A上配置安全策略。双机热备状态成功建立后,FW_A的安全策略配置会自动备份到FW_B上。配置步骤如下
#配置安全策略,允许内网用户访问Internet。
[FW_A] security-policy
[FW_A-policy-security] rule name trust_to_untrust
[FW_A-policy-security-rule-trust_to_untrust] source-zone trust
[FW_A-policy-security-rule-trust_to_untrust] destiNATion-zone untrust
[FW_A-policy-security-rule-trust_to_untrust] source-address 10.3.0.0 24
[FW_A-policy-security-rule-trust_to_untrust] action permit
[FW_A-policy-security-rule-trust_to_untrust] quit
[FW_A-policy-security] quit
6、在FW_A上配置NAT策略。双机热备状态成功建立后,FW_A的NAT策略配置会自动备份到FW_B上。配置步骤如下
#配置NAT策略,当内网用户访问Internet时,将源地址由10.3.0.0/16网段转换为地址池中的地址(1.1.1.2-1.1.1.5)。
[FW_A] nat address-group group1
[FW_A-address-group-group1] section 0 1.1.1.2 1.1.1.5
[FW_A-address-group-group1] quit
[FW_A] nat-policy
[FW_A-policy-nat] rule name policy_nat1
[FW_A-policy-nat-rule-policy_nat1] source-zone trust
[FW_A-policy-nat-rule-policy_nat1] destination-zone untrust
[FW_A-policy-nat-rule-policy_nat1] source-address 10.3.0.0 16
[FW_A-policy-nat-rule-policy_nat1] action source-nat address-group group1
四、查看双机热备的状态
情况说明:集团两台防火墙FW_A和FW_B上执行display hrp state verbose命令,检查当前VGMP组的状态,显示以下信息表示双机热备建立成功。
