文章目录拓扑图解析追问拓扑图解析两台防火墙并不是直接使用G1/0/1接口的实IP地址与公网通信同时将G1/0/1接口加入一个VRRP备份组使用VRRP备份组的虚拟IP地址与公网通信。配置虚拟IP地址的同时防火墙会自动为其生成一个虚MAC地址。PC将用于请求网关MAC地址的ARP报文发送给交换机。交换机在网络中广播此ARP报文。只有状态为Active的接口NGFW_A的GE1/0/1才会应答ARP报文反馈VRRP备份组的虚拟MAC地址。虚拟MAC地址是虚拟IP地址产生的MAC地址格式为00-00-5E-00-01-{VRID}。VRID是VRRP备份组的ID。交换机会记录虚拟MAC地址与端口Eth0/0/1的关系然后将虚拟MAC地址发送给PC。PC将业务报文发送给交换机业务报文的目的MAC地址为虚拟MAC地址。交换机根据记录的虚拟MAC地址与端口的关系将报文从端口Eth0/0/1转发发送给NGFW_A。这样在正常情况下内网PC发出的流量就都通过主用设备NGFW_A转发了。在对NAT Server配置的影响当NAT Server公网地址与公网接口的地址在同一个网段时防火墙会发送NAT Server公网地址的免费ARP请求报文。FW1 FW2老墙上配置了NAT Server后FW1 FW2老墙都会回应1.1.1.1的免费ARP请求报文报文中的1.1.1.1的MAC地址为G0/0/1接口的MAC 地址。在配置命令中加上VRRP关键字就能解决这个问题只有主用防火墙会回应免费ARP报文NGFW默认是已经配置上了VRID的同一网段跟最小VRID绑定追问做NAT-server的时候是否需要绑定vrrp组老墙要新墙不要然后解释原因怎么出现MAC地址冲突的我是举例解释的从右边的网络访问内网的时候怎么去请求MAC等。这两台防火墙做双机如果不要中间的心跳线能不能协商主备状态能。USG9000可以使用业务接口同步。nat-server下的切换过程防火墙接口虚MAC实MAC作用当请求为虚IP地址使用虚MAC地址。请求的为实际的接口地址时使用的是实MAC地址。链路心跳探测报文和HRP心跳报文区别链路心跳探测报文探测对端是否可以收到本端发送的报文HRP心跳报文通知对端本端的工作状态。