深信服社区»版块 安全类 下一代防火墙NGAF AF在HSRP环境下部署疑问

AF在HSRP环境下部署疑问

查看数: 3156 | 评论数: 5 | 收藏 0
关灯 | 提示:支持键盘翻页<-左 右->
    组图打开中,请稍候......
发布时间: 2015-8-31 10:07

正文摘要:

本帖最后由 server_小夏 于 2015-9-9 13:56 编辑 1、环境:2台核心采用HSRP方式直连各接入层SW,接口模式采用TRUNK及端口聚合(各自只聚合一个口,没太大聚合意义)的方式;现用我们某公司的2台NGAF设备放在核心 ...

回复

创新咚呤 发表于 2015-9-9 16:13
server_小夏 发表于 2015-9-9 08:11
本帖最后由 server_小夏 于 2015-9-9 13:11 编辑

@all,图示为改动后的拓扑方案,请大家帮我分析下看看是否有问题,争取一次性切割成功哈

    1、由于客户无法取消上联口的端口聚合,所以AF采用双主模式部署,2台设备同时跑,只同步配置不做主备功能,这样设备就可以采用端口聚合上联核心;

    2、2台设备各配置一个桥IP作为管理IP,该管理IP需要加:IP-HA,否则地址会被同步,请帮助确认这一点?

    3、由于设备加上管理口只有8个口,上联核心配置了2组端口聚合(每组占用2个端口)分别连接核心主备交换机,下连需要3个口,所以需要采用管理口来作为心跳线并同步配置,这中环境下用管理口作为心跳口是否有问题?

    4、由于下连交换机和上联默认都开启了STP功能,我个人认为以上2种环境不会造成环路,请大家想下是否存在环路?
Batigol 发表于 2015-9-7 16:25
如果要对内部做安全隔离,建议两台AF采用旁挂的方式部署,AF做HA,旁挂部署,下面的网关指到AF上,每台AF可以采用聚合口连接核心交换机,建立无数子接口作为下面的网关。这样物理旁挂,逻辑串联,在内网隔离的环境部署用的很多。
zoy 发表于 2015-9-7 12:17
老夏,这样部署二层有环路啊.
Sangfor_闪电回_小狒 发表于 2015-8-31 10:17
您好!建议取消端口聚合试试?AF双机本身是不支持端口聚合的,而且这种端口聚合一条线路也没意义的