路由器主备形式(华为防火墙同步主备设置)

[db:作者]

防火墙一般安插在逻辑地区的进口处，位于三层收集架构的焦点和会聚之间，起到隔离逻辑地区和为逻辑地区建立平安战略的感化他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。
以上是利用地区的防火墙结构他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。它被安插在利用地区中，而且可以为利用地区中的办事器建立平安战略他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。比如只能拜候特定的ip，大概利用地区只能拜候某些IP大概IP段他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。
通常是了进步系统的牢靠性，防火墙采用主备摆设，中心HA的心跳就是主备协商和保存检测他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。上面和下面的交换机摆设在irf仓库中他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。
那末这个时辰交换机和防火墙通常为怎样设置的呢？我见过以下几种玩法，分享给大师:
第一VRRP形式
防火墙是三层装备，三层地址是虚拟地址192.168.2.1他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。两个防火墙经过心跳协商来决议谁可以具有这个地址，心跳协商决议了交换机在获得数据包时将数据包转发给谁他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。比如协商成功后主机在左侧，那末交换机在发送数据包时会找到下一跳路由192.168.2.1，左侧的防火墙会答复ARP请求，要求交换机将所稀有据转发给主机他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。一旦主办事器挂断，右侧的防火墙将成为主办事器，并承当转发流量的脚色他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。
第二种方式依靠于路由挑选他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。
防火墙都在二层，高低两个开口他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。焦点预会聚和防火墙之间的接口设置有三层端口他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。它们运转OSPF，是以从焦点的角度来看，有两条路由进入利用地区，一条路由的下一跳是192.168.1.2，另一条是192.168.2.2他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。这时辰我们可以把主防火墙这边的路由的开销值调低，大概把右侧的调高他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。这样，按照路由原则，流量会挑选下一跳为192.168.1.2的途径他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。
第三种加载形式
此时两个防火墙都转发流量，所以不是主备关系，而是主备关系他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。此时可以将防火墙的高低接口绑定为链路，设置为二层接口他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。
交换机端也做链路绑缚，三层经过SVI互联，绑缚后的链路开释对应的vlan他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。那末聚合交换机到焦点交换机的下一跳是端口通道1他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。Port-channel 1有两个成员接口，所以数据包会依照五元组停止哈希处置，并发送到两个防火墙，每个防火墙都可以转发他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。