#AF8.0.95 #xx区气象局防火墙双机复杂场景解决方案

需求背景

按照xx自治区气象局的总体规划和技术要求，以便为气象信息化提供一个先进、灵活、可靠、基于标准的基础安全网络，不仅能够满足目前各种业务和应用要求，同时可为今后的发展及其业务、应用提供良好的扩展支持能力。

客户需求点

1、要求防火墙双机主备部署

2、路由器要求必须有VRRP技术

3、交换机网关上移至防火墙

4、业务流量与视频流量分开走，视频流量要走联通专线

网络拓扑规划

防火墙三层主备部署问题&痛点

1、防火墙主备部署，无法做镜像模式，路由器主主，下联口无法使用通一个IP地址，VRRP实地址需要落到下联接口

2、防火墙上联接口无法配置IP地址，如果上联口配置IP地址后会导致路由器去往备墙的路由生效，部分路由会发往备墙。

3、防火墙上联2条专线，防火墙存在等价路由，以及视频网流量走联通专线的明细路由，如果没有BFD或者NQA监测的话，存在多条路由生效问题，防火墙主备切换后，路由依旧会走之前路由，无法实现主备切换后路由跟着切换。

4、测试二层透明部署，路由器以及交换机使用三层部署，依旧存在来回路径不一致问题，出现等价路由，主备切换后，流量依旧走备墙。

此场景防火墙部署案例

1、防火墙拓扑不变，接线不变

2、防火墙使用虚拟IP地址来解决以上问题难点

3、防火墙路由控制，使用链路监测进行判断是否走主墙还是备墙

防火墙接口配置，接口不配IP地址

创建Vlan接口，依旧不配置IP地址

防火墙高可用内创建虚拟IP地址，创建上联IP以及下联IP地址

监视对象，配置监视口，实现接口down后进行主备切换

配置链路监测，通过链路监测实现路由是否可达

配置路由，关联之前创建好的链路监测

通过路由去关联链路监测实现主备切换后，路由也切换

通过路由器去控制目标网段实现视频网走联通专线