二层双主结合交换机流量调度部署案例分享

说明：本方案由AI整理，已在某政务云生产环境稳定应用。

概述：在上游堆叠交换机 A（EdgeAggr用于外部互联网与专线网络汇聚接入）与下游堆叠交换机 B（CoreAggr用于本地云计算资源接入）之间部署双机防火墙安全管控通道，本方案两台深信服防火墙采用双主组合链路聚合构建虚拟网线，再由交换机多生成树（MSTP）调度流量实现：

- 高可用性：双防火墙冗余，故障自动切换。
- 基于 VLAN 的负载分担：不同 VLAN 流量走不同路径，提升链路利用率。

应用场景
面向政务云、数据中心、大型园区网络。
提供高性能、高可靠性的外部线路汇聚与安全清洗能力。

防火墙接口聚合与虚拟网线

每台防火墙：
- 上行聚合：2×40G → aggr.5
- 下行聚合：8×10G → aggr.6 （设备没有配备四个40G接口，采用8条10G聚合构成1:1带宽收敛）
- 虚拟网线对：
  - FW1  VW1（eth-trunk10 ↔VW1↔ eth-trunk1）
  - FW2  VW2（eth-trunk20 ↔VW2↔ eth-trunk2）

交换机视角

A 与 B 之间存在两条并行逻辑路径（FW1 & FW2）。
拓扑天然构成二层环路，需引入 MSTP 以消除环路并实现负载分担。

环路控制与 MSTP 的引入

环路问题
- 两台防火墙均以透明模式透传 BPDU。
- 交换机 A 与 B 会检测到环路 → 若无控制，将引发广播风暴、MAC 表震荡、业务中断。

MSTP 的作用
- 多生成树协议（MSTP）：将不同 VLAN 映射到独立 MSTI（实例）。
- 核心能力：
  - 每个 MSTI 独立计算根桥与路径 → 消除环路
  - 不同 VLAN 可走不同路径 → 实现负载分担

MSTP 负载分担设计

VLAN 映射策略

1. 
   
2. | MSTI | 承载 VLAN | 活跃路径       | 阻塞路径     |
   
3. |------|-----------|----------------|--------------|
   
4. | 1    | VLAN 100  | A–FW1–B        | A–FW2–B      |
   
5. | 2    | VLAN 101  | A–FW2–B        | A–FW1–B      |

复制代码

实现效果
- 链路负载均衡：VLAN 100 走 FW1，VLAN 101 走 FW2。
- 高可用性：某路径故障时，MSTP 自动收敛，业务不中断。
- 收敛性能：在堆叠交换机上实现 低于1s收敛，满足高可用要求。

高可用性保障

防火墙接口联动
- Link-State Tracking：防火墙接口对内外口成对绑定。
  - 任一侧聚合链路故障 → 对侧同步 Down → 避免“半通黑洞”。

会话与状态同步
- 两台防火墙通过独立心跳 + 数据同步口保持：
  - NAT 表一致
  - 状态表一致
  - 安全策略一致
- 保障切换时业务零中断、零丢包。

HA 模式配置
- 模式：Active/Active
- 接口对配置：
  - 透明转发模式
  - 支持 BPDU 透传
- 启用：
  - 接口联动
  - 会话同步

架构示意

1.            +----------------------+
   
2.            |   交换机 A (堆叠)      |
   
3.            +----------+-----------+
   
4.              eth-trunk 1   eth-trunk 2
   
5.                  |             |
   
6.            +-----------+   +-----------+
   
7.            |  FW1 (VW1)|   |  FW2 (VW2)|
   
8.            +-----------+   +-----------+
   
9.              eth-trunk10  eth-trunk20
   
10.                  |             |
    
11.            +----------+-----------+
    
12.            |   交换机 B (堆叠)     |
    
13.            +----------------------+

复制代码

配置参考

Switch B（核心交换机 CoreAggr）

1. 
   
2. stp instance 0 root primary
   
3. stp instance 1 root primary
   
4. stp instance 2 root primary
   
5. 
   
6. interface Eth-Trunk10
   
7. port link-type hybrid
   
8. port hybrid tagged vlan 2 to 4094
   
9. stp root-protection
   
10. mode lacp
    
11. 
    
12. interface Eth-Trunk20
    
13. port link-type hybrid
    
14. port hybrid tagged vlan 2 to 4094
    
15. stp root-protection
    
16. mode lacp
    
17. 
    
18. stp region-configuration
    
19. region-name govcloud
    
20. instance 0 vlan 1 to 99, 102 to 4094
    
21. instance 1 vlan 100
    
22. instance 2 vlan 101
    

复制代码

Switch A（外线汇聚交换机 EdgeAggr）

1. 
   
2. interface Eth-Trunk1
   
3. port link-type hybrid
   
4. port hybrid tagged vlan 2 to 4094
   
5. stp instance 2 cost 200000000
   
6. mode lacp
   
7. 
   
8. interface Eth-Trunk2
   
9. port link-type hybrid
   
10. port hybrid tagged vlan 2 to 4094
    
11. stp instance 1 cost 200000000
    
12. mode lacp
    
13. 
    
14. stp region-configuration
    
15. region-name govcloud
    
16. instance 0 vlan 1 to 99, 102 to 4094
    
17. instance 1 vlan 100
    
18. instance 2 vlan 101
    

复制代码

配置结果示例

1. 
   
2. <EdgeAggr>display stp brief
   
3. MSTID   Port                        Role  STP State     Protection
   
4.     0    Eth-Trunk1                  ROOT  FORWARDING      NONE
   
5.     0    Eth-Trunk2                  ALTE  DISCARDING      NONE
   
6.     1    Eth-Trunk1                  ROOT  FORWARDING      NONE
   
7.     1    Eth-Trunk2                  ALTE  DISCARDING      NONE
   
8.     2    Eth-Trunk1                  ALTE  DISCARDING      NONE
   
9.     2    Eth-Trunk2                  ROOT  FORWARDING      NONE
   

复制代码

深信服防火墙（双机 HA 配置）

- 模式：Active/Active
- 接口对：
  - VW1（FW1）
  - VW2（FW2）
- 上行聚合：aggr.5（40G×2）
- 下行聚合：aggr.6（10G×8）
- 启用：
  - 接口联动
  - 会话同步
  - BPDU 透传

总结

✅ 高可用性：通过接口联动 + 会话同步 + MSTP，实现链路/设备故障时业务零中断。
✅ 负载分担：通过 MSTP 多实例，实现不同 VLAN 流量走不同路径，最大化链路与设备利用率。
✅ 容错能力：支持任意防火墙或链路故障，业务自动切换，无感知中断。
✅ 收敛速度：MSTP 在堆叠交换机上收敛时间 小于1秒，满足高可用业务连续性要求。
✅ 业界最佳实践：在防火墙不支持 MC-LAG 的场景下，MSTP 是实现“高可用 + 负载分担”的标准、可靠方案。