1、所有接口IP已配置

2、S6850_3、S6850_4均为二层交换机

3、SR-88为路由器，G0/0/1接口桥接到外网

4、配置FW1

两个端口加入安全区域

配置默认路由指向路由器

配置安全策略，用于内外网通信（trust to untrust）

 配置安全策略规则，允许VRRP协议报文通过。当HA通道断时，使Device A与Device B之间可以交换VRRP报文，进行VRRP角色竞选，保证网络互通

配置高可靠性，配置心跳接口G1/0/2,配置本端心跳地址1.1.1.1，配置对端1.1.1.2，配置设备角色为primary（主），配置同步检查间隔时间

配置HA的模式为主备模式（默认此模式）

 

 配置VRRP备份组，并与HA关联。实现HA对VRRP备份组的统一管理和流量引导

 5、FW2配置

安全区域配置

配置默认路由

配置高可靠性，配置心跳接口G1/0/2,配置本端心跳地址1.1.1.2，配置对端1.1.1.1，配置设备角色为secondary（备），配置同步检查间隔时间

 配置VRRP

FW2配置完成

注意：FW2无需配置安全策略，会自动同步

查看FW1 HA通道已建立

 查看FW1 vrrp

 查看FW2

 

 6、配置SR-88

回包路由，下一跳写VRRP虚拟地址

 配置NAT,基本ACL（匹配内网业务网段）

 转换为出接口IP

 

 7、配置PC，网关为192.168.2.3（vrrp虚拟IP）

8、如果要tracert显示具体路径，需要在所有设备全局配置以下命令（经过的设备都要配置）

 9、tracert测试，显示走的master

10、持续ping 8.8.8.8，并关闭master，发现丢了4个包，又恢复了

 再次tracert路径，发现切换到了备设备

 11、查看日志，显示状态从backup转换为了master

 

查看备VRRP状态，变成了master

查看备设备HA