假设有两个集群在一起的防火墙 (ASA) 和两个路由器(1800 和 2900),每个路由器都有自己的 WAN 链接。这两个路由器由同一个 ISP 管理(这只是链路冗余)。
下面是我的设置。
ASA ASA
|\ /|
| \ / |
| \/ |
| /\ |
| / \ |
|/ \|
R1 R2
| |
(Cloud) (Cloud)
如果出现故障,是否可以让冗余 WAN 连接接管?如果是这样,如何?
这是一个解决方案的高级视图:
在单个 VLAN 中连接路由器的 LAN 侧和 ASA 的外部。如果您的路由器没有多个以太网端口,您将需要一个额外的交换机。
在您的路由器上配置 HSRP,并使 VIP 地址成为 ASA 的默认网关。路由器到内部的静态路由是 ASA 主地址。
配置 HSRP 以跟踪每个 WAN 链路的接口。因此,如果 WAN 链路出现故障,HSRP 优先级会降低,从而导致另一台路由器成为活动对等方。这样,只有具有“上行”WAN 链接的路由器才是 HSRP 活动路由器。
如果你想变得更有趣,你可以设置 IP SLA 来 ping ISP 以验证可达性,而不仅仅是接口状态,并让 HSRP 跟踪它。或者,您可以与您的提供商一起运行 BGP(仅限默认路由)以验证可达性。
让我知道您想走哪条路,如果需要,我可以提供一些示例配置。
我会附上罗恩所说的话;具有 IP SLA 的 HSRP 是可行的方法。如果您的主链接出现故障,这将允许您回退到您的备用 ISP。
这是一个参考工作。
R1
ip sla monitor 1
type echo protocol ipIcmpEcho 1.1.1.1
timeout 1000
frequency 3
!
ip sla monitor schedule 1 life forever start-time now
!
track 1 rtr 1
!
interface FastEthernet1/0
ip address 10.1.1.1 255.255.255.0
standby ip 10.1.1.254
standby priority 120
standby preempt
standby track 1 decrement 40
R2
ip sla monitor 1
type echo protocol ipIcmpEcho 2.2.2.2
timeout 1000
frequency 3
!
ip sla monitor schedule 1 life forever start-time now
!
track 1 rtr 1
!
interface FastEthernet1/0
ip address 10.1.1.2 255.255.255.0
standby ip 10.1.1.254
standby priority 100
standby preempt
standby track 1 decrement 40