• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

客户需求配置双击热备,两条不同运营商的专线做负载

5天前提问
  • 0关注
  • 0收藏,229浏览
粉丝:0人 关注:0人

问题描述:

用户需求设备做双击热备冗余,和两条专线。高可用需求

组网图大概是这样,不知道这个图对不对。

组网及组网描述:

最佳答案

已采纳
xiaoyu 九段
粉丝:73人 关注:0人

这个组网也没啥大问题,主要是看您现场的需求,这样连线就基本上主走了一个运营商,另外一个运营商就等于空闲状态了;也可以考虑出口两个运营商都分别分线接两个防火墙上,思路和单个运营商是一样的意思

https://zhiliao.h3c.com/Theme/details/220995

暂无评论

2 个回答
粉丝:132人 关注:11人

可以的

暂无评论

粉丝:19人 关注:2人

一、先点评你当前拓扑图的问题(架构缺陷)
1. 现有拓扑 3 处硬伤,无法实现可靠双机热备 + 双线冗余
上行 MSR 路由器直连核心交换机 S5820V2-54QS-GE_5,防火墙不在出口第一跳
正常双线出口架构:运营商线路先到防火墙,防火墙做 NAT / 负载 / HA;你现在移动 / 电信公网段先进三层交换机,防火墙被放在内网侧,无法统一控制双线出口策略、无法做链路健康探测切换。
两台 F1060 防火墙之间无直连心跳链路
F1060 做 IRF / 双机热备(主备 / 负载)必须独立心跳口,仅靠跨交换机互联,故障时心跳报文丢包会出现双主、业务瘫痪。
下层接入交换机全互联,无分层逻辑,广播风暴风险极高
S5820_6/7/8 全链路互联,三层无隔离,故障时广播泛滥;标准设计为两台汇聚二层堆叠 / MLAG,单一下行接入。
2. 正确标准出口分层架构(修正后逻辑)
出口层:两台 F1060 防火墙做双机热备(IRF2 或者主备模式 HA)
每台防火墙分别对接移动 MSR36-20、电信 MSR36-20 两条运营商专线;
两台防火墙之间单独拉一根千兆线做心跳链路(HA 会话同步、设备故障协商)。
核心层:一台或两台 S5820V2 堆叠 / MLAG,作为内网三层网关,下联接入交换机。
链路逻辑:
移动 MSR → F1060_1、F1060_2
电信 MSR → F1060_1、F1060_2
内网核心交换机双上行分别接两台 F1060 内网口。
二、两种高可用方案选型(F1060 推荐)
方案 A:IRF2 虚拟化(最优,推荐客户使用)
两台 F1060 物理合并为一台逻辑设备,统一管理,天然支持:
设备级冗余:单台防火墙整机断电 / 故障,流量自动切换另一台;
双线多出口负载均衡:移动、电信两条链路做基于源地址 / 应用 / 带宽负载,链路故障自动切另一条运营商;
会话同步,切换业务无中断。
必备条件:两台 F1060 型号、版本完全一致,预留 2 个接口做 IRF 堆叠心跳。
方案 B:独立两台防火墙做主备 HA(不虚拟化)
一台主、一台备,正常流量走主墙;主墙整机故障切换备墙;
双线链路在单台防火墙内做负载;缺点:同一时间只有一台防火墙承载业务,资源利用率低,不推荐多专线场景。
三、双线负载均衡实现逻辑(F1060 双出口)
1. 链路健康检测(核心)
分别对移动网关 112.3.19.226、电信网关 114.239.242.110 做 ICMP 链路探测,链路中断自动把流量切到另一条运营商。
2. 负载均衡两种策略按需选择
智能均衡(推荐):按带宽比例分配流量,移动 / 电信带宽多大比例分流;单链路拥塞自动调度流量到空闲线路。
源地址哈希分流:内网不同网段 / PC 固定走一条运营商,适合专线有固定访问需求(比如移动专线走业务系统,电信走互联网)。
3. 防不对称路由风险
内网回程流量强制匹配出网运营商,避免一条墙出、另一条墙回包被安全策略拦截;IRF 虚拟化可自动解决来回路径不一致问题。
四、拓扑修改落地建议(对应你的图纸调整)
上行改动
移动 MSR36-20、电信 MSR36-20 分别各拉两根网线,同时接入 F1060_1 和 F1060_2 外网接口;两条运营商链路全部终结在防火墙上,不再先经过 S5820 核心交换机。
防火墙层增加心跳线
F1060_1 和 F1060_2 单独互联一根网线,用作 IRF/HA 心跳,不能跨交换机走业务链路同步会话。
内网核心层改动
取消 S5820_5、6、7、8 全网全互联;
核心 S5820_5 双上行,分别接 F1060_1、F1060_2 内网三层口;
S5820_6/7/8 作为接入交换机,单上行至核心 S5820_5,简化二层拓扑抑制广播。
路由逻辑
内网静态默认路由下一跳指向 IRF 防火墙虚拟内网 IP;
防火墙配置两条默认路由,分别指向移动、电信 MSR 网关,配合链路探测做负载 / 故障切换。
五、原拓扑存在的业务风险总结
运营商线路经过核心交换机,交换机故障直接断双线,出口无冗余;
防火墙无独立心跳,双机协商不可靠,极易双主冲突,内网断网;
二层全网状互联,环路、广播风暴风险极大,故障排查困难;
双线策略无法统一管控,NAT、链路探测、流量分流分散在交换机 + 防火墙,配置复杂,切换逻辑混乱。
六、最简实施顺序
两台 F1060 配置 IRF2 虚拟化,搭建心跳堆叠;
移动、电信两条专线分别双线接入两台防火墙外网口;
防火墙配置多出口链路负载均衡 + 链路健康检测;
内网核心交换机双上行到两台防火墙,内网三层网关下沉至核心交换机;
优化下层接入拓扑,消除全网全互联二层环路;
配置安全域、NAT、本地策略,完成整机故障、单运营商链路故障切换测试。

暂无评论

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明