在核心交换机不做堆叠的情况下防火墙热备的案例一、需求分析数据中心建设高可用的网络架构,但是考虑到成本和运维,想选择一种经济实惠但是稳定可靠的架构二、设计思路1. 为了节约公网 IP 地址所以在防火墙接口上面配置 IP 地址为内网地址,同时将公网 IP地址设置成为 VRRP 组中的虚拟地址2. 在防火墙 A 和防火墙 B 上使用双链路做聚合,再将聚合端口配置好 IP 地址加入到HRP 安全域中并指为 HRP 心跳检测端口3•核心交换机 A 和核心交换机 B 使用多链路做聚合,再将聚合端口配置为 trunk 属性透传业务 vlan,在核心交换机 A 上配置业务 VLAN 的网关并为 VRRP 组中的 master 在核心交换机 B 上配置 vlan 的网关并作为 VRRP 组中的 slave 同时交换机上的 DHCP 分配都采用全局地址池的方式并指定虚拟 IP 地址为业务网关。4.核心交换机与接入交换机之间采用多链路互联,并部署 MSTP 保证二层链路的冗余(如果考虑到业务的负载均衡可以将不同的 vlan 划分到不同的 mstp 实例中去,这里就按单实例部署)5•正常情况下流量由核心交换机 A 和防火墙 A 做处理,当防火墙故障或者核心交换机故障都会触发主备的切换6. 防火墙 A 上通过配置 IP-link 监控外网链路或者端口状态同时与 HRP 主备进行联动(防火墙上的业务端口 down 了或者失效的情况触发 HRP 主备切换)7. 核心交换机 A 上通过配置 vrrp 组与上行端口进行联动(一旦与防火墙互联的端口 down掉或者失效将会触发 vrrp 主备切换)三、设计拓扑VRRPgroup1心跳IP:10・0・0・4/24virtual-IP10・0・0・1vrrpid1Priority120MSTP/单实例或者多IP:172・31・0・1/24virtual-IP222・222・222・2vrrpID1master防火墙IP:10・0・0・2/24virtual-IP10・0・0・25vrrpID2masterIP:172・31・0・2/24virtual-IP222・222・222・2vrrpID1Slave防火墙IP:10・0・0・3/24virtual-IP10・0・0・254vrrpID2SlaveVRRPgroup2IP:10・0・0・5/24virtual-IP10・0・0・1vrrpid1Priority100vlanif3192・168・3・1vrrpid3virtual-ip192・168・3・254Priority120Track 上行端口核心交换机vlanif4192.168.4.1vrrpid4virtual-ip192・168・4・254Priority120Track 上行端口vlanif3192・168・3・2vrrpid3virtual-ip192・168・3・254Priority100核心交换机vlanif4192・168・4・2vrrpid4virtual-ip192・168・4・254Priority100四、实验拓扑IP:10.0.0.2/24virt...
