我有两个瞻博网络路由器(一个 SRX340 和一个 SRX320),每个路由器都有一条租用线路,位于相同的 IP 范围内。它们旨在通过特定网络端口连接在一起,以便 SRX320 在 SRX340 发生故障时接管。
我还有两个 SonicWALL TZ600 防火墙,目前配置为“活动/备用”高可用性模式。
我想将路由器连接到防火墙,这样任何一台设备都可能出现故障,而整个系统都不会失去互联网访问权限。请问我有什么选择?
编辑:我现在有这个工作。我将两个路由器的 LAN 端口连接到一个交换机,然后从那里连接到两个防火墙上的 X1 端口。每个设备都可以关闭并保持互联网访问(停机一分钟左右后)。我现在需要知道的是如何消除单个交换机作为潜在的单点故障。
高可用性是一个很大而且有时很棘手的话题,这取决于您实际想要实现的目标。如果您想保持 TCP 连接的运行,例如,使用 100 毫秒以下的重传,您需要做一些工作。
另一方面,想要保持互联网连接的典型企业可能有更简单的目标:在 30 秒中断后,没有任何一根电缆、盒子或保险丝可以阻止新的浏览器连接。(“嗯,这很慢,也许尝试刷新,啊......它是。”)这对于大多数业务连续性目的来说已经足够了。
通常最难实现的部分是“不同路径”的互联网连接,它们实际上并没有太大的分歧。我曾让单辆卡车撞到单个街道设施,导致据称发散的多个链接失败。电源可能是另一个问题:在大多数组织中,UPS 是唯一可行的方法。(我通常尝试使用每个机架两个小型 UPS;大型 UPS 可能非常不灵活。)
在你的情况下,我猜你的 ISP 已经提供了类似 VRRP(虚拟路由器冗余协议)的东西,它提供了一个具有新 IP 地址的新虚拟路由器。选择配置的池之一作为该虚拟路由器运行;如果它死了,另一个接管。考虑到链接状态,它可能有更好的东西。
另一方面,Sonicwall 作为主动/被动对运行,如果硬件出现故障,则硬件会交换。
您的布局可能如下图所示。注意我将服务器绘制为多重连接,可能有两个 IP 地址或一个以太网卡参与生成树。我曾在两个团队中展示过用户 PC,其中一个可能会同时出局。(或者使用带有多个接入点的 wifi 来解决这个问题。)
在整个交换机中使用生成树,并将 Juniper 设备视为带有交换机的路由器,您可以像这样实现:
希望这有帮助。
最后我设法找到了我们 ISP 的网络架构师,他告诉我该怎么做,就是:
这是对已经连接在一起的瞻博网络设备和连接在一起的 SonicWALL 设备的补充。现在,根据需要,任何单个设备都可以发生故障而不会导致连接丢失。