在网络安全的领域中，保障连续性和可靠性至关重要。而防火墙双机热备技术，宛如网络的安全双保险，确保在一台防火墙发生故障或停机时，另一台能够即时接管，实现无缝切换，保持网络的不间断运行。这种高可用性的设计为网络架构提供了额外的安全层，应对潜在风险，确保网络的稳定与安全。

今天来分享一下防火墙双机热备的基本配置方法。下图是今天的实验拓扑：

实验拓扑

实验需求

• 部署防墙双机热备负载分担，实现VLAN10、VLAN20访问服务器的流量分别使用不同的防火墙转发。
• 若防火墙检测到上行链路故障，则切换到另外一个防火墙转发(使用IP LINK与BFD实现)。
• 用户网关接口位于防火墙的子接口。

配置步骤

(1) 配置SW1，创建VLAN10和VLAN20，并GE0/0/10和GE0/0/20分别加入到VLAN10和VLAN20中，并把GE0/0/1和GE0/0/2配置成trunk，允许VLAN10、20通过。关键配置如下：

vlan batch 10 20

interface GigabitEthernet0/0/1
 port link-type trunk
 port trunk allow-pass vlan 10 20
#
interface GigabitEthernet0/0/2
 port link-type trunk
 port trunk allow-pass vlan 10 20

interface GigabitEthernet0/0/10
 port link-type access
 port default vlan 10
interface GigabitEthernet0/0/20
 port link-type access
 port default vlan 20