如何在中继 Fortigate 和 Cisco L2 交换机时防止环路

网络工程 思科 生成树 层2 加强
2021-07-08 14:38:52

我在工作中继承了一个相当奇怪的设置,虽然我的强项是服务器和云,但由于缺乏资源,我也必须研究网络问题。

此设置有 2 个 Fortigate 100D(FG1、FG2)和 2 个 Cisco 2960X 交换机(SW1、SW2)将作为扩展添加,因为 Fortigates 用完了可用的交换机端口。

拓扑如下:

(VLAN A, B) FG1 <== HA1 Port (Trunks VLANs A, B) ==> FG2 (VLAN A, B)

FG1 交换机端口上的主机能够访问 FG2 交换机端口上的主机。

所有交换机端口都处于访问模式,没有中继。只有中继在 HA1 端口上。

新拓扑将是这样的: 

   FG1 <== TRUNK ==> FG2  
   ||                ||
   ||                ||
  TRUNK             TRUNK
   ||                ||
   ||                ||
   SW1 <== TRUNK ==> SW2
    |                 |
    |                 |
  HOSTS             HOSTS

目标是停止使用两个 Fortigate 上的交换机端口,因此它们都将移动到这 48 个端口的交换机上,如果其中任何一个 Fortigate 宕机,我们需要同一 VLAN 中的所有主机能够相互访问。

例如,如果 FG2 宕机了,拓扑将减少到这个

   FG1   
   ||               
   ||               
  TRUNK             
   ||                
   ||                
   SW1 <== TRUNK ==> SW2
    |                 |
    |                 |
  HOSTS             HOSTS

我怎样才能做到这一点而不会造成循环?

1个回答

我们不想冒这种设计的风险以及 FG 和 Cisco 之间的 STP 兼容性问题,而是将我们的设计更改为更安全、更冗余的设计。

对于我们的新设计,我们将所有主机(策略)从 FG1 迁移到 FG2,一旦 FG1 空闲,我们在 FG2 上启用 HA 集群并使 FG1 从它。

FG1 和 FG2 不再是中继,我们有完全冗余,以防它们中的任何一个出现故障或它们的受监控接口(如 WAN 或中继到交换机)。

    FG1 <====HA1+HA2 (Heartbeat for HA)====> FG2
     ||                                       ||
     ||                                       ||
   TRUNK (standby)                          TRUNK (live)
     ||                                       ||
     ||                                       ||
    SW3 <===== TRUNK-ALL+ETHERCHANNEL =====> SW4
     |                                        |
     |                                        |
     |                                        |
   HOSTS                                    HOSTS

再次感谢大家的其他建议。他们本来可以工作,但不能以我们有限的经验冒险。

其它你可能感兴趣的问题
上一篇在 10 Gbps 攻击的情况下,使用 1 Gbps 下行链路和 10 Gbps 上行链路切换会发生什么? 下一篇QoS - MQC 和 HQF 之间的区别