|
出口主备防火墙,某公司网桥多网口主备,串接同一个防毒墙,核心做主备。客户要求交叉部署,防止防火墙因为一条线路出问题导致内网断网,提高网络的稳定性。
当然看到这个要求,我们首先会想这个能不能做? 答案是:能。那到底怎么做?
首先客户要满足上联两个防火墙,下联一个防毒墙,那就是网桥多网口,同时,我们要注意网桥多网口只有11.0版本以下才可以,而且一般是6.1版本。
线路接线满足,那AC就做主备设置,配置如下。
如图,把主备设备的双机维护都配置一样。监测网口就是监测AC设备的几个网口的状态,当设备挂了,或者网口线down了,就会发生主备切换。 串口故障检测可以不开启,开启的话,必须选一个通信口(只能是DMZ口,因为网桥模式下,只有DMZ口能配置地址),因为需要配置一个地址通信,当串口故障,通过网络数据来检测对端设备存在,这个口是不能同步配置的!!配置同步只能是console口。 11.0版本已经可以选择通信口了,大大提升了同步配置速度。
Ok ,配置完毕,主机的网络部署等配置都配置好。网口线都插好,主备设备插好串口线(全反线,一般买两台设备的会配带,一根扁的线),主设备先开机运行,正常后,开启备机。备机起来后,主机会向备机同步所有配置。 到这里,主备都运行正常,那就做测试,看主备是否正常切换。我们假设目前所有的主设备都是1,备设备是2。
1 测试AC1线路断任意一个,设备都会切换到AC2,切换时丢大概四个包,属于正常范围。
2 测试AC1关机,发现防火墙CPU突然飙升,貌似环路,立即先拔了线。。。。那到底是怎么回事。检查配置,发现选择网口时,选择的是这个桥的网口是eth0-eth2和eth0-eth6。0和2是一对bypass口,设备关机直接bypass了。。。。所以导致形成了环路。所以更改网口,改为eth0-eth3和eth0-eth6。问题解决!!
3 测试AC1线路断,设备切换到AC2,运行正常。此时,把AC1线路恢复,断AC2任意一个线路,发现没有切换,TELL ME WHY???
我登录AC2后,发现双机维护的状态那一直显示正在向AC1同步配置。
问题找到了,连续切换的话,切换后运行正常大概两三分钟,AC2成为主机会向AC1同步一次配置,通过console口同步10M的配置,用了至少十分钟。。。。等到同步完毕,才正常切换。。。。。。。虽然说这个情况是考虑的极端情况,但是也有可能发生,所以目前只能考虑走定制去关闭下切换后自动同步功能。保证正常切换。
同时,在这里要提醒下各位同胞们,这么做虽然很理想,但是也使网络变的复杂了,出现问题的可能性也比较多!!所以假如有类似的网络环境下,最好给客户推荐做网桥双主模式!!不要交叉,不要交叉,不要交叉!!重要的事情说三遍,因为双主交叉会环路!!这种网络模式是最简单,同样是最稳定安全的部署模式!!!!
好了,以上就是这次实施的一些经验了,希望能帮助到大家,有写的不对的地方大家都可以指出来。 | 
发表于 2016-2-29 11:31
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
