|
|
 |
|
|
| 1. 关于企业广域网双链路连接的问题探讨 |
  |
|
 |
|
HP : 103 / 1033
MP : 956 / 16153
EXP : 33%
|
|
名动江湖
成员等级: 42
发表总数: 2868
金币总数: 1,178
所属组别: 核心成员
注册日期: 2003/09/4
|
企业广域网络,在出口部署的有一个FW,外接两个router连接上级部门。
FW通常采用透明模式,还可能连接的有别的网络(比如互联网)。
现有2种思路
思路1,如图1所示:
2个router连接FW的接口配置HSRP,上连接口配置OSPF。
思路2,如图2所示:
在router和FW之间加一个SW,router和SW之间都配置OSPF。
请大家看看,采用哪种思路合理一些,或者还有更优化的方案吗,尽量实现设备、链路的冗余。
附带图片
附带图片
|
|
|
|
| 2. Re:关于企业广域网双链路连接的问题探讨 |
|
|
 |
|
HP : 250 / 1254
MP : 1625 / 21993
EXP : 16%
|
|
迟则生变
成员等级: 51
发表总数: 4877
金币总数: 308
所属组别: 管理员
注册日期: 2003/01/9
|
方案1:FW可以透彻HSRP的数据包吗?如果可以在HSRP切换之后防火墙能不能及时切换端口?
方案2好象没有什么必要。
没有谁能像一座孤岛/在大海里独踞/每个人都像一块小小的泥土/连接成整个陆地/如果一块泥土被海水冲去/欧洲将缺其一隅/这如同一座山岬/也如同你的朋友和你自己/无论谁死了/都是自己的一部分在死去/因为我包含在人类这个概念里/因此我从不问丧钟为谁而鸣/它为我,也为你
No man is an Island, entire of itself; every man is a piece of the Continent, a part of the main; if a clod be washed away by the sea, Europe is the less, as well as if a promontory were, as well as if a man or of thy friends or of thine own were; any man's death diminishes me, because I am involved in Mankind; And therefore never send to know for whom the bell tolls; It tolls for thee.
|
|
|
|
| 3. Re:关于企业广域网双链路连接的问题探讨 |
|
|
 |
|
HP : 243 / 1219
MP : 1503 / 21379
EXP : 79%
|
|
测试中......
成员等级: 49
发表总数: 4509
金币总数: 301
所属组别: 核心成员
注册日期: 2003/01/10
|
还是找台支持OSPF的防火墙.简单.
 |
|
|
|
| 4. Re:关于企业广域网双链路连接的问题探讨 |
|
|
|
|
|
HP : 103 / 1033
MP : 956 / 16153
EXP : 33%
|
|
名动江湖
成员等级: 42
发表总数: 2868
金币总数: 1,178
所属组别: 核心成员
注册日期: 2003/09/4
|
不是很明白麦子的意思,在router上配置HSRP,FW只是分别联到router的接口上,
但是FW接router的2个接口地址要为同一网段,这样似乎不行。
有一点矛盾了。 
请问麦子,如果这2个思路都行不通,那么应该怎样做才合理呢?
|
|
|
|
| 5. RE: 关于企业广域网双链路连接的问题探讨 |
|
|
|
|
|
HP : 103 / 1033
MP : 956 / 16153
EXP : 33%
|
|
名动江湖
成员等级: 42
发表总数: 2868
金币总数: 1,178
所属组别: 核心成员
注册日期: 2003/09/4
|
这肯定不行,设备投入量太大,况且FW和其中一个router(同时接100M和2M)是已有的,
现在是要新增一个router,把100M和2M分开,用2个router分别连接。 |
|
|
|
| 6. Re:关于企业广域网双链路连接的问题探讨 |
|
|
|
|
|
HP : 250 / 1254
MP : 1625 / 21993
EXP : 16%
|
|
迟则生变
成员等级: 51
发表总数: 4877
金币总数: 308
所属组别: 管理员
注册日期: 2003/01/9
|
防火墙为透明模式的情况下方案1实现的可能性还是有的,我提出来的两点其实是我认为需要注意测试的地方,如果测试表明效果不好/做不到只能换思路做。
没有谁能像一座孤岛/在大海里独踞/每个人都像一块小小的泥土/连接成整个陆地/如果一块泥土被海水冲去/欧洲将缺其一隅/这如同一座山岬/也如同你的朋友和你自己/无论谁死了/都是自己的一部分在死去/因为我包含在人类这个概念里/因此我从不问丧钟为谁而鸣/它为我,也为你
No man is an Island, entire of itself; every man is a piece of the Continent, a part of the main; if a clod be washed away by the sea, Europe is the less, as well as if a promontory were, as well as if a man or of thy friends or of thine own were; any man's death diminishes me, because I am involved in Mankind; And therefore never send to know for whom the bell tolls; It tolls for thee.
|
|
|
|
| 7. RE: 关于企业广域网双链路连接的问题探讨 |
|
|
 |
|
HP : 0 / 376
MP : 98 / 4483
EXP : 6%
|
|
名动江湖
成员等级: 16
发表总数: 295
金币总数: 674
所属组别: 中级成员
注册日期: 2004/12/13
|
| QUOTE | 方案1:FW可以透彻HSRP的数据包吗?如果可以在HSRP切换之后防火墙能不能及时切换端口?
方案2好象没有什么必要。 |
我认为在HSRP切换之后防火墙能不能及时切换端口是个主要的问题. |
|
|
|
| 8. Re:关于企业广域网双链路连接的问题探讨 |
|
|
|
|
|
HP : 103 / 1033
MP : 956 / 16153
EXP : 33%
|
|
名动江湖
成员等级: 42
发表总数: 2868
金币总数: 1,178
所属组别: 核心成员
注册日期: 2003/09/4
|
谢谢楼上的兄弟。
如果通过2个FW分别接1个router来实现双链路的话,是不是有必要在router上启用Enhanced Object Tracking,
通过跟踪链路状态确保HSRP的正常切换,假设FW本身意外故障但端口还是UP状态时,这样默认的HSRP是不会切换
端口从而导致网络中断。
除此之外,还有什么需要考虑的吗,请各位朋友继续关注,谢谢。 |
|
|
|
| 9. Re:关于企业广域网双链路连接的问题探讨 |
|
|
 |
|
HP : 87 / 879
MP : 630 / 13840
EXP : 18%
|
|
天道酬勤
成员等级: 36
发表总数: 1891
金币总数: 418
所属组别: 核心成员
注册日期: 2003/08/22
|
从DJ的要求来看,我接触过的NS防火墙对高可靠性、复杂网络的支持是相当的完善。 |
|
|
