我有一个客户购买了两台 SonicWall NSA 5600,他们希望将两个 WAN 连接从不同的提供商运行到两个 SonicWall 到两个 Cisco 交换机中,以便它们可以实现完全冗余和故障转移。
我感到困惑的是这种设置需要什么?
如果我理解正确,每个路由器的一个端口将连接到每个防火墙。两台交换机都有 4 个 VLAN,一个用于 WAN,一个用于服务器,一个用于电话,一个用于客户端工作站。我认为需要在交换机级别或交换机间链路(可能是交换机之间的 LACP)上启用生成树以实现冗余?
哪些 VLAN 需要标记,哪些 VLAN 应该包含 HA 心跳线?
我很难弄清楚如何做到这一点。任何帮助将不胜感激。
您正在混合一些关于 HA、冗余、端口通道和 VLAN 的概念。让我们尝试定义此网络设计的每个部分。
高可用性防火墙
您需要将 2 个防火墙直接与一根(或两根)电缆背靠背连接以用于控制和数据。这会占用每个防火墙中的一个(或两个)以太网端口。
此连接只是“HA 链接”。您不需要定义任何关于 VLAN、寻址或什么的特殊配置。
此外,您需要准确复制主防火墙和辅助防火墙中的每条电缆。我的意思是,如果您的 FW1 X0 进入核心中未标记的 VLAN 10,您需要将 FW2 X0 放入相同的未标记 VLAN 10。
广域网
通常,每个 WAN 连接都有来自 ISP 设备的电缆。但是,请记住,防火墙中的每个接口都需要 2 根电缆。您需要 ISP 路由器、FW1-X1 和 FW2-X1(假设默认 WAN)的第 2 层可见性。您可以通过多种方式实现此目的,但有两种更典型:
关于第二个 WAN,您只需复制其他路由器/VLAN/FW 端口中的物理连接即可。
请记住,您正在接近 2 个不同的东西:使用双电缆连接 ISP 的设备/链路冗余和使用 2 个不同 ISP 提供商的 WAN 故障转移。
内部连接
您有几个 LAN 被理解为“用户”、“VoIP”、“DMZ”等。这些 LAN 中的每一个在防火墙中都有一个逻辑接口。该接口对于 LAN 可以是唯一的(从核心到 FW 的未标记帧)或在 LAN 之间共享(FW 子接口和从核心到 FW 的标记帧)。
在这两种情况下,您需要再次进行从 FW 到核心的双电缆连接。例如,如果您将 X0 用于 LAN_Users 并且您的 VLAN 用户的 ID 为 10。那么您需要将一条电缆从 FW1-X0 连接到核心中的一个端口,作为接入 VLAN 10,并将另一条电缆从 FW2-X0 连接到核心中的另一个端口作为访问 VLAN 10。不需要 STP,因为您将 FW 定义为 L3 端口。
尝试将每个防火墙插入不同设备但在同一转发平面中的最佳方法。我的意思是,您可以拥有单个设备、堆栈或具有 VLT/VPC 技术的 MLAG。在第一种情况下,将电缆插入同一设备。在其他两种情况下,将电缆分配到不同的交换机。
关于端口通道,这是一个额外的链路冗余,但我认为在这种 HA 场景中浪费 FW 端口是不值得的。如果设备/链接发生故障,它只会触发 FW 故障转移,您将通过另一个防火墙工作。
Cisco交换机: 1.为冗余主备核心交换机配置HSRP。2.STP 只需在所有核心/接入交换机上启用默认 RSTP 配置。3.交换机配置基础,路由ETC
Sonicwall 1.使用 ACTIVE/active 或 Active/Passive 启用 HA,如果您想使用两个 wan 连接,请使用 Active/active。2. 防火墙配置基础,路由ETC