1)实验设计
a)三层架构:接入层(二层交换)、汇聚层(三层交换)、核心层(防火墙)
b)汇聚层和核心层冗余配置,提高网络可靠性
2)实验拓扑
3)最初实现冗余的思路:都使用VRRP实现冗余配置
但是最后实现时发现防火墙根本没必要配置VRRP,因为三层交换机都配置了到两台防火墙的动态路由,即使一条链路坏了,根据路由表可以切换到另外一条链路,已经实现了防火墙的备份的目的,已经实现了防火墙的备份没必要再配VRRP,且配置很麻烦;都配置VRRP这个思路就是错的,究其原因是对VRRP的理解有误,VRRP为什么虚拟出一个ip做到备份,重点在于网关的备份,VRRP是针对主机pc设计的,因为主机只能配置一个网关,如果网关坏了,实现自动切换到另一个网关;但是此处的防火墙是连的交换机,不是PC,交换机是有路由的,一条坏了就可以走另一条,只是要配置心跳线实现同步会话表及server-map表
4)总结
关键点:VRRP是冗余配置,但是是针对主机PC的冗余网关配置
a)防火墙作为主机的网关时,防火墙需要配置VRRP:因为防火墙此时作为主机的网关,主机是没有路由表的,只有网关地址(此处防火墙换成路由器同理)
b)而上图的三层架构中,防火墙作为连接三层交换的设备,并没有连接主机,所以不用做网关的备份->不用配VRRP
5)补充or更正
VRRP也不一定是针对主机的网关,这样理解还是有点偏差,其实VRRP技术是将多个ip共同虚拟出一个ip的技术,只是更多应用在主机PC的网关配置上吧