首先,请参阅随附的网络图以了解我正在尝试做什么。
在 2 台分布交换机上,我们运行 HSRP,其中一个 Fortigate 连接到 SW1,另一个连接到 SW2。
然后我们有 vmware esx 主机,它们连接到每个堡垒。Fortigates 与 vmware vswitches 一样在主动-主动 ha 配置中进行配置。
现在出于某种原因,当我们从任一堡垒机上受监控的 wan1 端口断开电缆连接时,在任一 esx 主机上分配给虚拟机的 ip 无法访问,但分配给堡垒机的 ip 可以正常访问。出于某种原因,交通没有通过堡垒。
但是,如果您查看此图,当设备故障转移时,vm ip 是可以访问的。
我尝试在 hsrp 中设置不同的接口跟踪选项,并尝试使用“ip sla”也无济于事。
我是不是在 fortigates 或发行版交换机上遗漏了什么?
首先让我说我没有使用 Fortigate,但一般来说。
每个防火墙 (FW) 应该有两条链路,每个交换机 (SW) 有一条链路,就像每个 FW 到每台服务器 (SRV) 的链路一样。
这就是我怀疑正在发生的事情。假设 SW1 是 HSRP 活动接口,它最初在到 SW2 的链路上接收来自 SRV2 的流量,并在 MAC 和 ARP 表中创建一个条目。当 SW2 和 FW2 之间的链路断开时,SW2 从它的表中删除该接口的条目,但 SW1 不知道链路断开并维护它的条目。
当 SRV2 的流量进入 SW1 时,它会查找 ARP/MAC 信息并将流量发送到 SW2。SW2 不再有 SRV2 的条目,并将其从所有端口泛滥,除了接收流量的端口(正常交换机操作)。这导致流量永远不会到达 SRV2,因为 SW2 上的其他链路都没有提供到 SRV2 的路径。
使用 FW 和 SW 之间的流量的第二条链路,随后将在 FW1 接收泛洪流量,并能够到达 SRV2。
如果您在链接断开后有来自 SRV2 的出站流量,或者您清除了 SW1 上的 MAC 条目,我怀疑这也会起作用。
我之前没有设置过,但我认为您需要在 100D 和两个交换机之间配置“全网状”HA。我们使用堆叠的 3750 来实现冗余,而在 HA 中使用 2x 100D,这似乎工作得很好。
http://docs.forticare.com/fos50hlp/50/FortiOS%205.0%20Help/full_mesh.120.05.html
我假设 FG HA 工作正常,但是您的“内部”开关没有收到主“内部”FG 链接不再是它应该与之通信的链接的消息。