将防火墙集群连接到其他设备集群

网络工程 防火墙 设计
2021-07-23 17:30:40

我有一个网络设计,其中两个 NSA 防火墙以 HA 模式群集,两个 SRA 设备也以 HA 模式群集。我的第一种网络设计方法是这样的:

NSA1-HA-NSA2
 |       |   
 |       |
 |       |
 |       |
 |       |
 |       |
SRA1-HA-SRA2

这个设计失败了。假设 NSA1 和 SRA1 在集群中处于活动状态。如果 NSA1 失败并且 NSA2 变为活动状态,则 SRA1 不会注意到并在 SRA 群集中保持活动状态。(我尝试在 SRA 集群中设置监控接口。在这种情况下,如果 NSA1 关闭,SRA 集群会检测到它,但不会启动故障转移机制)。

我的第二种方法是将所有四个设备连接到一个交换机中。我认为在这种情况下,所有 4 台设备都可以看到对方,我可以获得网络中正常工作的冗余。

NSA1-HA-NSA2
 |       |   
 |       |
 _________
 _Switch__
 |       |
 |       |
 |       |
SRA1-HA-SRA2

我的问题:第一个设计是正确的,第二个还是一个都不正确?

谢谢。

1个回答

最后,我做了一些实验室测试并得到了答案。正确的设计是第二个。在第一个设计中,有些情况下永远不会发生故障转移。在第二种设计中,所有设备在交换机的第 2 层相互看到(记住将它们隔离在一个 vlan 中),并且涵盖了所有情况。

另外,在这种情况下,我只使用链接监视器。如果您使用某些 ip 监视器,您可能会有一些奇怪的行为,因为缓存在 ARP 表中。

总之,要在 HA 中连接两个集群,您应该使用交换机连接第 2 层的所有设备。

其它你可能感兴趣的问题
上一篇Captive Portal wifi(网络身份验证)的用户是否容易受到嗅探? 下一篇NAT翻译之谜