我对 HA 实现有疑问。我们正在讨论非状态故障转移。
我们有 2 台 NSA 3600 设备。我们有 2 栋大楼(位于同一地段,彼此相隔约 150 英尺,停车场对面)。这些大楼通过连接 2 个交换机堆栈的 6 根光纤相互连接。一切都在同一个 255.255.248.0 网络上。
目标是实现 HA。目前,一切都从 1 号楼路由出去……尽管 2 号楼有自己的数据/ISP,只是没有被使用。
当我想到这种拓扑时,我通常会想到将第二个故障转移 SonicWall 与另一个一起放在主楼中,将两者都连接到 WAN 交换机,并且简单地将两者以相同的方式连接起来进行故障转移,一个是主要的,一个是次要的。
问题是,我们是否可以将辅助 SonicWall 放在 2 号楼,连接到未使用的 ISP 数据上行链路。这样,如果一家 ISP 出现故障,1 号楼可以故障转移到 2 号楼……反之亦然。
现在我不会认为自己是该主题的专家,但是有些事情似乎是不可能的,我想到了一些问题:
1) 我读到,非状态 HA 不需要设备之间的直接交叉链路。由于我们的建筑物之间有光纤链路,我不知道这是否是个问题。
2) 据我所知,使用 HA 时,设备的配置需要相同。如果设备 1 连接到 ISP 1,而设备 2 连接到 ISP 2,则配置需要不同,并且我们需要设置路由来适应这种情况。对吗?
我认为实现 2 栋建筑场景的唯一方法是安装 4 台 SonicWall 设备,每栋建筑 2 台,并相应地设置路由...有人对此有什么意见吗?
答案1
您确实需要两者具有相同的配置,但例如,可以使用不同的 X 端口设置两个 WAN 接口,然后设置包含两个 WAN 的“故障转移和负载平衡”组。
然后,如果您执行 HA 故障转移,LB 会注意到其他单元无法访问主 WAN 链接,并将切换到备份 WAN 链接
答案2
HA 单元始终处于非活动状态,并且必须镜像主防火墙,它们还将共享虚拟 IP,因此必须连接到相同的 WAN 链接。我们只是在 SonicWall WAN 之外创建一个 L2 VLAN 来共享,但如果您要实现这一点,我怀疑 HA 同步是否会在远处令人满意。
我会将 B 楼未使用的连接路由到 A 楼的 HA 堆栈,作为故障转移 WAN,正如之前建议的那样。使用两个 SonicWall 而不使用 HA 甚至可能更好,这实际上取决于您要防范哪些基础设施漏洞,以及哪种方法最适合您。