在设计完这个之后,我开始配置设备并很快意识到我错过了很多信息/理解。
那么调制解调器和路由器之间的交换机(A)是否需要在第 3 层?
为交换机(A、B、C)设置静态 IP 时 - (A) 会使用调制解调器 IP 作为网关吗?(C) 是否会使用来自底部路由器组的 VRRP 组的虚拟 IP?并且(B)idk 它会使用什么,因为这两个防火墙(Fortigate d90)不是我习惯使用的。
为 HA 设置硬件
网络工程
加强
故障转移
联网
2022-02-25 14:50:00
1个回答
Q. 1:不,交换机(A)根本不需要路由,这就是防火墙的用途。唯一的例外是调制解调器位于不同的子网中(但这是不可能的)。
Q. 2:我会将所有交换机网关指向防火墙集群地址。他们是否可以访问互联网,以及通过哪种服务,都在您的控制之下(通过防火墙策略)。通常,您将创建一个终止于 FGT 的管理 VLAN(在您的情况下为两个)。
Q. 3:如果可能的话,放下开关 B。即使在本地分离,Fortigate 之间的 HA 链接也不应该跨活动设备运行。从技术上讲,它可以,但 HA 链路故障的风险远高于仅使用电线(光纤)。
并提供 2 个 HA 链路以实现冗余。
Q. 4:为什么选择 VRRP?FortiOS HA 提供亚秒级设备故障转移、活动链路和线路监控,甚至负载共享所需的一切。根据我的经验,与故障转移相比,VRRP 需要很长时间,并且只有在您拥有来自不同供应商的硬件时才会使用。
其它你可能感兴趣的问题