用户需求设备做双击热备冗余,和两条专线。高可用需求
组网图大概是这样,不知道这个图对不对。

(0)
最佳答案
一、先点评你当前拓扑图的问题(架构缺陷)
1. 现有拓扑 3 处硬伤,无法实现可靠双机热备 + 双线冗余
上行 MSR 路由器直连核心交换机 S5820V2-54QS-GE_5,防火墙不在出口第一跳
正常双线出口架构:运营商线路先到防火墙,防火墙做 NAT / 负载 / HA;你现在移动 / 电信公网段先进三层交换机,防火墙被放在内网侧,无法统一控制双线出口策略、无法做链路健康探测切换。
两台 F1060 防火墙之间无直连心跳链路
F1060 做 IRF / 双机热备(主备 / 负载)必须独立心跳口,仅靠跨交换机互联,故障时心跳报文丢包会出现双主、业务瘫痪。
下层接入交换机全互联,无分层逻辑,广播风暴风险极高
S5820_6/7/8 全链路互联,三层无隔离,故障时广播泛滥;标准设计为两台汇聚二层堆叠 / MLAG,单一下行接入。
2. 正确标准出口分层架构(修正后逻辑)
出口层:两台 F1060 防火墙做双机热备(IRF2 或者主备模式 HA)
每台防火墙分别对接移动 MSR36-20、电信 MSR36-20 两条运营商专线;
两台防火墙之间单独拉一根千兆线做心跳链路(HA 会话同步、设备故障协商)。
核心层:一台或两台 S5820V2 堆叠 / MLAG,作为内网三层网关,下联接入交换机。
链路逻辑:
移动 MSR → F1060_1、F1060_2
电信 MSR → F1060_1、F1060_2
内网核心交换机双上行分别接两台 F1060 内网口。
二、两种高可用方案选型(F1060 推荐)
方案 A:IRF2 虚拟化(最优,推荐客户使用)
两台 F1060 物理合并为一台逻辑设备,统一管理,天然支持:
设备级冗余:单台防火墙整机断电 / 故障,流量自动切换另一台;
双线多出口负载均衡:移动、电信两条链路做基于源地址 / 应用 / 带宽负载,链路故障自动切另一条运营商;
会话同步,切换业务无中断。
必备条件:两台 F1060 型号、版本完全一致,预留 2 个接口做 IRF 堆叠心跳。
方案 B:独立两台防火墙做主备 HA(不虚拟化)
一台主、一台备,正常流量走主墙;主墙整机故障切换备墙;
双线链路在单台防火墙内做负载;缺点:同一时间只有一台防火墙承载业务,资源利用率低,不推荐多专线场景。
三、双线负载均衡实现逻辑(F1060 双出口)
1. 链路健康检测(核心)
分别对移动网关 112.3.19.226、电信网关 114.239.242.110 做 ICMP 链路探测,链路中断自动把流量切到另一条运营商。
2. 负载均衡两种策略按需选择
智能均衡(推荐):按带宽比例分配流量,移动 / 电信带宽多大比例分流;单链路拥塞自动调度流量到空闲线路。
源地址哈希分流:内网不同网段 / PC 固定走一条运营商,适合专线有固定访问需求(比如移动专线走业务系统,电信走互联网)。
3. 防不对称路由风险
内网回程流量强制匹配出网运营商,避免一条墙出、另一条墙回包被安全策略拦截;IRF 虚拟化可自动解决来回路径不一致问题。
四、拓扑修改落地建议(对应你的图纸调整)
上行改动
移动 MSR36-20、电信 MSR36-20 分别各拉两根网线,同时接入 F1060_1 和 F1060_2 外网接口;两条运营商链路全部终结在防火墙上,不再先经过 S5820 核心交换机。
防火墙层增加心跳线
F1060_1 和 F1060_2 单独互联一根网线,用作 IRF/HA 心跳,不能跨交换机走业务链路同步会话。
内网核心层改动
取消 S5820_5、6、7、8 全网全互联;
核心 S5820_5 双上行,分别接 F1060_1、F1060_2 内网三层口;
S5820_6/7/8 作为接入交换机,单上行至核心 S5820_5,简化二层拓扑抑制广播。
路由逻辑
内网静态默认路由下一跳指向 IRF 防火墙虚拟内网 IP;
防火墙配置两条默认路由,分别指向移动、电信 MSR 网关,配合链路探测做负载 / 故障切换。
五、原拓扑存在的业务风险总结
运营商线路经过核心交换机,交换机故障直接断双线,出口无冗余;
防火墙无独立心跳,双机协商不可靠,极易双主冲突,内网断网;
二层全网状互联,环路、广播风暴风险极大,故障排查困难;
双线策略无法统一管控,NAT、链路探测、流量分流分散在交换机 + 防火墙,配置复杂,切换逻辑混乱。
六、最简实施顺序
两台 F1060 配置 IRF2 虚拟化,搭建心跳堆叠;
移动、电信两条专线分别双线接入两台防火墙外网口;
防火墙配置多出口链路负载均衡 + 链路健康检测;
内网核心交换机双上行到两台防火墙,内网三层网关下沉至核心交换机;
优化下层接入拓扑,消除全网全互联二层环路;
配置安全域、NAT、本地策略,完成整机故障、单运营商链路故障切换测试。
暂无评论
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论