双机热备比较常见的是旁挂部署在数据中心核心交换机上,且两台防火墙之间形成双机热备。
目录
旁挂组网的优点
1、可以在不改变现有网络物理拓扑的情况下,将防火墙部署到网络中。
2、可以有选择低将通过核心交换机的流量引导到防火墙上,即对需要进行安全检测的流量引导到防火墙上进行处理,对不需要进行安全检测的流量直接通过交换机转发。
将流量由交换机引导到旁挂的防火墙上主要由两种常见方式:静态路由方式和策略路由方式,这一节就是通过实验验证静态路由方式。
一般核心交换机与上行路由器和下行汇聚交换机之间运行ospf,由于ospf的路由优先级高于静态路由,所以流量到达核心交换机后会根据ospf路由直接被转发到上行或者下行的设备,而不会根据静态路由被引流到防火墙上。
所以必须在核心交换机上配置vrf功能,将一台交换机虚拟成连接上行的交换机public和连接下行的交换机vrf。将两个交换机完全隔离出来,流量就会根据静态路由被送到防火墙上。
实验五:防火墙旁挂交换机,交换机静态路由引流
这个实验是比较综合的,主要的难点其实在核心交换机的配置上面,以及汇聚层stp和vrrp的配合。防火墙部分其实是比较简单的,无非是配置了两条上下行的静态路由,以及配置了vrrp和hrp。
需求和拓扑
两台FW旁挂在数据中心的核心交换机侧,保证数据中心网络安全。通过核心交换机的流量都会被引流到旁挂的FW上进行安全检测,引流的方式为静态路由方式。企业希望两台FW以主备备份方式工作。正常情况下,流量通过FW_A转发。当FW_A出现故障时,流量通过FW_B转发,保证业务不中断。
分析
如果希望通过静态路由方式将经过核心交换机的流量引导到FW,则需要在核心交换机上配置静态路由,下一跳为防火墙接口的地址。但是由于核心交换机与上行路由器和下行汇聚交换机之间运行OSPF,因此流量到达核心交换机后会直接被转发到上行或下行设备,而不会被引流到FW上。
所以如果希望通过静态路由引流,就必须在核心交换机上配置VRF功能,将一台交换机虚拟成连接上行的交换机(根交换机Public)和连接下行的交换机(虚拟交换机VRF)。由于虚拟出的两个交换机完全隔离开来,流量就会被送到FW上。即虚拟出的交换机分别和上行路由器之间运行ospf,和下行汇聚交换机之间运行ospf,但是交换机--防火墙--交换机之间运行静态路由。那么就需要在防火墙和一份为二的交换机各自配置vrrp备份组,使得它们可以通过vrrp备份组的虚拟地址进行通信。在FW上需要配置静态路由,下一跳分别为VRRP备份组3和VRRP备份组4的地址。在Public上配置静态路由,下一跳为VRRP备份组2的地址。在VRF上配置静态路由,下一跳为VRRP备份组1的地址。
对拓扑进行抽象
最低0.47元/天 解锁文章
扫一扫
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
