出于各种原因,我们会碰到一些设备闲置下来的情况。为了不长期搁置设备,常常会把设备用来分担一些业务。
因为厂址搬迁,当时临时办公的地方新增了一台防火墙,现在已经完全在新厂开业,旧厂的设备就闲置了。当时我把闲置的防火墙拿来单独承担服务器流量,但是后来,公网防火墙出现过两次因为设备负载太高而宕机的情况,因为我内网用户之间互访必须经过防火墙,导致整个内网瘫痪,有次是半夜2点多跑了40公里来重启。
于是就改成了如下的拓扑,利用OSPF,配合ospf cost和bfd,使两台防火墙在其中一台宕机时,自动选路,走另一台防火墙,实现“山寨版”的“双机热备”。
简化的拓扑
我说一下大概的思路:
1、首先,设计好骨干区域,即ospf的area 0,使骨干区域之间3层互通;
2、公网墙通过ospf和内网各网段建立邻居关系,并引入出公网的缺省路由;
3、服务器墙的ospf也和内网各网段建立邻居关系,并在每个和内网互通的3层接口,设置ospf cost值,使内网优先选择公网防火墙;引入出公网的缺省路由,并设置cost开销值;
5、服务器网段刚好和内网相反,公网墙的服务器网段3层接口设置ospf cost值,使内网网段优先通过服务器墙访问服务器网段;
6、各个vlanif或者3层接口可启用ospf bfd,增加ospf切换速度;
7、两台防火墙的安全区域划分要根据情况进行提前设置。
这样,当两台防火墙其中一台宕机时,内网将因为ospf的重新计算,实现毫秒级切换!
版权声明:本文为weixin_39716800原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接和本声明。