出於各種原因,我們會碰到一些設備閒置下來的情況。為了不長期擱置設備,常常會把設備用來分擔一些業務。
因為廠址搬遷,當時臨時辦公的地方新增了一臺防火牆,現在已經完全在新廠開業,舊廠的設備就閒置了。當時我把閒置的防火牆拿來單獨承擔服務器流量,但是後來,公網防火牆出現過兩次因為設備負載太高而宕機的情況,因為我內網用戶之間互訪必須經過防火牆,導致整個內網癱瘓,有次是半夜2點多跑了40公里來重啟。
於是就改成了如下的拓撲,利用OSPF,配合ospf cost和bfd,使兩臺防火牆在其中一臺宕機時,自動選路,走另一臺防火牆,實現“山寨版”的“雙機熱備”。
簡化的拓撲
我說一下大概的思路:
1、首先,設計好骨幹區域,即ospf的area 0,使骨幹區域之間3層互通;
2、公網牆通過ospf和內網各網段建立鄰居關係,並引入出公網的缺省路由;
3、服務器牆的ospf也和內網各網段建立鄰居關係,並在每個和內網互通的3層接口,設置ospf cost值,使內網優先選擇公網防火牆;引入出公網的缺省路由,並設置cost開銷值;
5、服務器網段剛好和內網相反,公網牆的服務器網段3層接口設置ospf cost值,使內網網段優先通過服務器牆訪問服務器網段;
6、各個vlanif或者3層接口可啟用ospf bfd,增加ospf切換速度;
7、兩臺防火牆的安全區域劃分要根據情況進行提前設置。
這樣,當兩臺防火牆其中一臺宕機時,內網將因為ospf的重新計算,實現毫秒級切換!
分享到:
閱讀更多 然誠如 的文章
