【簡介】我們已經知道做HA主備，必須是要兩臺防火牆型號相同，並且韌體版本也相同，但很多企業會存在這種情況，就是早期有一臺型號較早的防火牆，然後又只採購了一臺型號比較新的防火牆，有沒有辦法讓老防火牆也發揮餘熱呢？

　網路拓樸

 　　我們可以利用VRRP技術，使得新防火牆出現故障後，老防火牆能夠自動接替，從而達到不影響網路正常訪問的目的。

 　　在由於兩臺防火牆都連線到核心交換機，在正常情況下，需要兩條路由，分別走不同防火牆去上網，而核心交換機只有一條預設路由，所以我們需要用VRRP技術，生成一個兩臺防火牆共用的虛擬IP，這應該好理解吧。

　VRRP 協議

　　隨著Internet的發展，人們對網路的可靠性的要求越來越高。對於區域網使用者來說，能夠時刻與外部網路保持聯絡是非常重要的。通常情況下，內部網路中的所有主機都設定一條相同的預設路由，指向出口閘道器，實現主機與外部網路的通訊。當出口閘道器發生故障時，主機與外部網路的通訊就會中斷。

　　配置多個出口閘道器是提高系統可靠性的常見方法，但區域網內的主機裝置通常不支援動態路由協議，如何在多個出口閘道器之間進行選路是個問題。

　　IETF（Internet Engineering Task Force，因特網工程任務組）推出了VRRP（Virtual Router Redundancy Protocol）虛擬路由冗餘協議，來解決區域網主機訪問外部網路的可靠性問題。

　　VRRP是一種容錯協議，它通過把幾臺路由裝置聯合組成一臺虛擬的路由裝置，並通過一定的機制來保證當主機的下一跳裝置出現故障時，可以及時將業務切換到其它裝置，從而保持通訊的連續性和可靠性。

　　使用VRRP的優勢在於：既不需要改變組網情況，也不需要在主機上配置任何動態路由或者路由發現協議，就可以獲得更高可靠性的預設路由。

　　VRRP將區域網的一組路由器構成一個備份組，相當於一臺虛擬路由器。區域網內的主機只需要知道這個虛擬路由器的IP地址，並不需知道具體某臺裝置的IP地址，將網路內主機的預設閘道器設定為該虛擬路由器的IP地址，主機就可以利用該虛擬閘道器與外部網路進行通訊。

　　VRRP將該虛擬路由器動態關聯到承擔傳輸業務的物理路由器上，當該物理路由器出現故障時，再次選擇新路由器來接替業務傳輸工作，整個過程對使用者完全透明，實現了內部網路和外部網路不間斷通訊。

　防火牆 A 基本設定

 　　這裡有兩臺防火牆，分別是FortiGate 200D和FortiGate 240D，由於型號不同，無法做HA，我們採用VRRP技術，實現兩臺防火牆的主備工能。

 　　① FortiGate 200D的內外網口IP地址，分別是10.10.18.2和192.168.28.188。

 　　② FortiGate 200D的預設路由閘道器是192.168.28.254，也就是路由器的內網介面IP。

 　　③ 建立上網策略，允許內網口10.10.18.2通過外網口192.168.28.188上網。

　防火牆 B 基本設定

 　　由於兩臺防火牆的內外網口都是接入到同一裝置，因此兩臺防火牆的內外網口的IP都不能相同。

 　　① FortiGate 240D的內外網口IP地址，分別是10.10.18.3和192.168.28.198。

 　　② FortiGate 240D的預設路由閘道器是192.168.28.254，也就是路由器的內網介面IP。

 　　③ 建立上網策略，允許內網口10.10.18.3通過外網口192.168.28.198上網。

　VRRP 設定

 　　經過測試，雖然電腦連線到兩臺防火牆的內網介面都能上網，但是閘道器需要進行修改，這在實際應用中是不可能，我們需 要對兩臺防火牆進行配置，讓防火牆支援VRRP，並設定一個相同的虛擬IP。

 　　① VRRP只能在命令下設定。首先編輯FortiGate 200D的內網介面，set vrrp-virtual-mac enable命令是啟用VRRP虛擬MAC地址，然後用config vrrp命令進入VRRP設定。可以用show命令檢視VRRP設定內容。edit後面數字自定義，可以編輯多條VRRP。set vrip 10.10.18.1命令用來設定共用的虛擬IP地址。set priority 255用來設定優先順序，數字越大越優先，最大為255。

 　　② FortiGate 240D的VRRP設定也是一樣的，虛擬IP也是10.10.18.1，只是優先順序小一些。這樣上網會優先走200D，當200D關閉時，才會走240D。

　驗證

 　　根據拓樸圖，兩臺防火牆下面的連線的是核心交換機，為了驗證核心上面部分是否工作正常，我們在兩臺防火牆下面接了一臺二層交換，測試電腦也接在二層交換機上。

 　　① 電腦的閘道器地址設定為虛擬IP 10.10.18.1。

 　　② 用tracert命令檢視訪問163.com經過的路由，我們看到第一個經過的就是10.10.18.2，也就是FortiGate 200D的內網地址。這說明我們是通過200D上網的。

 　　③ 長Ping 114.114.114.114，然後我們關閉FortiGate 200D防火牆，我們會看到丟了一個包後，又通了。

 　　④ 再次用tracert命令檢視訪問163.com經過的路由，我們看到第一個經過已經變成了10.10.18.3，也就是FortiGate 240D的內網地址。這說明現在我們是通過240D上網了。

 　　⑤ 再次開啟FortiGate 200D，啟動完成後，又丟一個包，這是因為又切換到200D了，為什麼又切換回來呢？因為200D的VRRP優先順序高。

　回程路由

 　　現在我們是可以看到，不管關閉200D還是240D，總有一臺會接上，保證內部上網。那麼從外網訪問內網呢？

 　　① 首先我們需要一條允許外網口訪問內網口的策略。200D和240D設定都是一樣的。

 　　② 然後我們需要一條閘道器為10.10.18.1的路由，這是因為電腦的閘道器地址是10.10.18.1，沒有這條路由的話，是無法Ping通電腦的。200D和240D設定都是一樣的。

 　　③ 從外網訪問進來，路由器還需要配置兩條返程路由，一條是走192.168.28.188的，一條是走192.168.28.198的。

 　　④ 這裡以飛防火牆代替路由器，兩條返程路由的優先順序不同。

                                                                     飛塔技術 - 老梅子    QQ：57389522