我有一个客户,他购买了两台 SonicWall NSA 5600,他们想将来自不同提供商的 2 个 WAN 连接连接到两台 SonicWall 上,再连接到两台思科交换机上,这样他们就可以实现完全冗余和故障转移。我感到困惑的是这种设置需要什么。如果我理解正确的话,每个路由器的一个端口将连接到每个防火墙。两个交换机都有 4 个 VLAN,一个用于 WAN,一个用于服务器,一个用于电话,一个用于客户端工作站。我认为需要在交换机级别或交换机间链路上启用生成树以实现冗余?
哪些 VLAN 需要标记,哪个 VLAN 应该包含 HA 心跳线?
我很难想清楚如何做到这一点。任何帮助都将不胜感激。谢谢!-Sylus
答案1
根据评论,您可以更好地预览您所需要的内容。
您忽略了一个细节,您是否为 HA 购买了 Active/Active?
- 有了它,您需要映射两个接口来实现 HA。一个用于故障转移,第二个将允许主动/主动模式,每个防火墙都知道运行状态,因此这是一个不会中断任何互联网交易的热门举措。如果没有该许可证和配置,路由器将以主动/被动模式工作,如果主动切换,状态将丢失。如果您的用户进行简单的 youtube.com 流媒体或类似操作,这并不重要,但对于 SSL 交易或类似 RDP 会话,用户将看到中断,并可能被要求重新登录
对于通过两个接口路由的 VLAN,您需要:
- 为每个单元上的这两个端口创建一个端口屏蔽组。
- 通过接口让每个 VLAN 知道返回路由。
[调制解调器电缆 1] --- [交换机 VLAN 互联网 1]
[调制解调器电缆 2] --- [交换机 VLAN 互联网 2]
[NSA 1 5600 WAN 1] --- [交换机 VLAN 互联网 1]
[NSA 1 5600 WAN 2] --- [交换机 VLAN 互联网 2]
[NSA 1 5600 LAN 1] (端口屏蔽 - 桥接) --- [交换机 1 中继 (LAN VLAN)] (生成树活动) >
[NSA 1 5600 LAN 2] (端口屏蔽 - 桥接) --- [交换机 2 中继 (LAN VLAN)] (生成树活动)[NSA 2 5600 WAN 1] --- [交换机 VLAN 互联网 1]
[NSA 2 5600 WAN 2] --- [交换机 VLAN 互联网 2]
[NSA 2 5600 LAN 1](端口屏蔽 - 桥接)--- [交换机 1 中继(LAN VLAN)](生成树活动)
[NSA 2 5600 LAN 2](端口屏蔽 - 桥接)--- [交换机 2 中继(LAN VLAN)](生成树活动)
[NSA 1 xX] --- [NSA 2 xX] 一个用于基本 HA/FailOver 的链接。(xX 是您选择用于 HA 的接口)(用于基本 HA(主动/被动))
[NSA 1 xX] --- [NSA 2 xX] 如果您可以执行 Active/Active,则需要第二个 HA 上行链路(xX 是您选择用于 HA 的接口)
并且不要忘记将您的 NSA 5600 与 HA 模式堆叠。
有点像图片上显示的