0

我的帖子

个人中心

设置

  发新话题
外网4条宽带,打算是买2个防火墙,2个三层设备来实现冗余

1、不管哪个设备或者哪条链路出问题,都能保证业务的连续性
2、在设备及链路都完好的情况下实现负载均衡

下图模拟器上连的,没配,不知道连得对不对,也不会配置,要用到哪些协议,希望大神给个方案思路,或者提出其他的比较好的解决方案
QQ图片20170714143213.png (58 KB)

2017-7-14 16:15

QQ图片20170714143213.png




vrrp+mstp是可以选择的
可以选择堆叠。
冗余方案就这两种



"大师,什么是快乐的秘诀?"
"不要和愚者争论."
"大师,我完全不同意这就是秘诀."
"是的,你是对的。"
多个ISP,不同运营商,双出口

非常复杂



我看了产品文档,里面实例MSTP+VRRP都是配置的三层设备,没有一个比较完整的包含防火墙的
@成追忆  @erfdcv



引用:
原帖由 lygzhan 于 2017-7-14 17:03 发表
vrrp+mstp是可以选择的
可以选择堆叠。
冗余方案就这两种
堆叠是不是将两个设备虚拟成一个设备,这样是不是就变成端口扩展了?



引用:
原帖由 awayni 于 2017-7-14 17:19 发表

堆叠是不是将两个设备虚拟成一个设备,这样是不是就变成端口扩展了?
http://support.huawei.com/enterp ... C21100507%7C8206049

官网的配置文档
太复杂了

如果是我选择单防火墙出口,多ISP负载均衡



引用:
原帖由 awayni 于 2017-7-14 17:19 发表

堆叠是不是将两个设备虚拟成一个设备,这样是不是就变成端口扩展了?
你说的只是简单的堆叠。可以双活堆叠,可以单活,可以热冗余。
现在的技术只有你想不到,没有做不到的。你可以堆叠后虚拟出4个防火墙都没有问题



"大师,什么是快乐的秘诀?"
"不要和愚者争论."
"大师,我完全不同意这就是秘诀."
"是的,你是对的。"
引用:
原帖由 erfdcv 于 2017-7-14 17:23 发表

http://support.huawei.com/enterprise/zh/doc/DOC1000118079?idPath=7919710%7C9856724%7C21430823%7C21100507%7C8206049

官网的配置文档
太复杂了

如果是我选择单防火墙出口,多ISP负载均衡 ...
单防火墙如何保证业务的连续性呢?当然其实我这业务也不是说完全一点不能断,我想过最笨的,买台备用放机架上,定期手动把配置同步过去



引用:
原帖由 lygzhan 于 2017-7-14 17:24 发表

你说的只是简单的堆叠。可以双活堆叠,可以单活,可以热冗余。
现在的技术只有你想不到,没有做不到的。你可以堆叠后虚拟出4个防火墙都没有问题 ...
我这样想了下,堆叠后好像也能实现冗余,就是两个设备堆叠后,分别将两台交换机的1个端口做端口聚合,这样就达到链路的负载均衡和冗余,但是我想知道,如果一个设备坏了,那业务会不会出问题?
理论懂了,可以找*服务商谈实施,昨天联系了个华为的设备商,居然跟我说只能做冷备,比我还渣

防火墙可以双击热备,我看了界面,好像也是2个变成一个逻辑防火墙的意思,需要配虚接口地址

QQ图片20170715083026.png (84.8 KB)

2017-7-15 08:35

QQ图片20170715083026.png




本帖最后由 awayni 于 2017-7-15 08:35 编辑
百度了相关的堆叠信息,没有关于防火墙堆叠的信息,防火墙的产品文档里面也只有双机热备的各种场景介绍,但是都好像需要上连交换设备
QQ图片20170715110415.png (177.72 KB)

2017-7-15 11:07

QQ图片20170715110415.png




引用:
原帖由 awayni 于 2017-7-15 08:15 发表

单防火墙如何保证业务的连续性呢?当然其实我这业务也不是说完全一点不能断,我想过最笨的,买台备用放机架上,定期手动把配置同步过去
别听他瞎扯,华为防火墙只能主备或者负载分担(也就是分流)。
现在的机器设备没那么容易坏了,何况高端点的设备都是双电源双主控了。

--《我想过最笨的,买台备用放机架上,定期手动把配置同步过去 》
--那你可以用主备的方式呗。

--《理论懂了,可以找*服务商谈实施,昨天联系了个华为的设备商,居然跟我说只能做冷备,比我还渣》
--因为搞多ISP出口,和双防火墙很麻烦,很复杂,容易出问题,经销商都不想搞,所以编造一些理由。而且要很多公网IP,4个出口,每个出口至少3个IP,也就是总共12个公网IP,也是一笔不小的开支。

--《防火墙的产品文档里面也只有双机热备的各种场景介绍,但是都好像需要上连交换设备 》
--如果要彻底减除单点故障,就是要那么麻烦




本帖最后由 erfdcv 于 2017-7-15 13:28 编辑
三层交换机做堆叠,然后跟防火墙走OSPF咯,然后再走策略路由PBR, 如果真的要很好的负载均衡还是要买负载均衡设备



引用:
原帖由 vsop5207 于 2017-7-16 23:05 发表
三层交换机做堆叠,然后跟防火墙走OSPF咯,然后再走策略路由PBR, 如果真的要很好的负载均衡还是要买负载均衡设备
谢谢你的建议,OSPF只记得是路由相关的了,其他忘得干干净净,找点资料补补

另外想问下,三层是不是做环状堆叠,变成逻辑一台交换机,然后所有的链路都做双物理线,分别取两台三层上的端口做链路聚合,以达到冗余和负载均衡的效果?这样坏了一台交换机是不是就不会中断业务了?

我之前想的最简单的还是做单防火墙,考虑买一台华为USG6308做冷备,不买其他授权和硬盘什么的减少开支



引用:
原帖由 awayni 于 2017-7-17 09:14 发表

谢谢你的建议,OSPF只记得是路由相关的了,其他忘得干干净净,找点资料补补

另外想问下,三层是不是做环状堆叠,变成逻辑一台交换机,然后所有的链路都做双物理线,分别取两台三层上的端口做链路聚合,以达到冗余和负载均衡的效果? ...
堆叠就是虚拟为一台,一般其他设备都双链路捆绑到堆叠,坏设备或者线路都有冗余,没关系,冷备就不要啦,如果网络主要的话!



核心交换机做堆叠,虚拟成一台设备,不用起MSTP+VRRP这种复杂协议,如果是用单防火墙出口,只需写一条默认路由就行了。

如果要用双防火墙出口,那么就有很多选择,要么主备,要么负载分担(主主),但是都非常麻烦,后期维护也容易出问题。做双出口,还要负载均衡的话,要满足非常多条件,比较苛刻。

如果只要双机,主备,那简单多了。

最后做这么多项目,这些项目的售后维护,设备出问题或者损坏的相对比较少,特别是高端设备。

反而是复杂线路,协议出问题的多,特别是多种协议+多种厂商设备混合的网络,而且再加年久增加的配置改动、拓扑变化,愈发容易出问题。



我们公司是工厂类,对于24小时不间断需要不是很大,断一会还是可以的

所以我可能还是会考虑冷备防火墙,每周开来更新下配置,坏了临时用着,修好的回来换上,授权和硬盘也是很贵的,我都可以再买一台防火墙了

但是三层还是打算做堆叠,然后做端口聚合



引用:
原帖由 awayni 于 2017-7-17 17:26 发表
我们公司是工厂类,对于24小时不间断需要不是很大,断一会还是可以的

所以我可能还是会考虑冷备防火墙,每周开来更新下配置,坏了临时用着,修好的回来换上,授权和硬盘也是很贵的,我都可以再买一台防火墙了

但是三层还是打算做 ...
可以,但是你们网络规模多大?

USG6308低端了点


核心交换机堆叠,舍弃MSTP+VRRP复杂协议,故障率降低,后期维护大量减少!只需写一条默认路由到防火墙虚拟IP即可!
因为多个出口,所以前面要放置一个出口汇聚交换机,用个8口傻瓜千兆即可。
防火墙双机热备(主备模式),自动同步配置、切换故障设备。

66666666666666.jpg (34.79 KB)

2017-7-17 18:42

66666666666666.jpg




本帖最后由 erfdcv 于 2017-7-17 18:51 编辑
网络规模不大,100来台电脑,随便搞搞,只是领导说要考虑下网络的冗余,所以在想方案



上个网吧级产品 多WAN口路由器,产品稳定还不贵,防火墙配多ISP比较烦。



‹‹ 上一贴:一个简单的问题,求解关于2层设备telnet ...   |   下一贴:通过console口配置,为什么键盘无法正常收入命令啊? ... ››
  发新话题
快速回复主题
关于我们 | 诚聘英才 | 联系我们 | 网站大事 | 友情链接 |意见反馈 | 网站地图
Copyright©2005-2017 51CTO.COM
本论坛言论纯属发布者个人意见,不代表51CTO网站立场!如有疑义,请与管理员联系:bbs@51cto.com