主备模式
该模式在数据中心设计场景是被推荐的模式,具有相当的高可用性,当主设备出现故障备设备替代主备被工作,作为主设备工作。
- 两台防火墙工作在主备模式下,一台防火墙出现故障时,另外一台会自动接管其工作。
- 防火墙全部采用路由模式,实现路由解耦;
- 防火墙全部采用单模模式部署;
- 每个出口的两台外层防火墙通过两条链路互联,两条互联链路绑成Port-Channel,再将Port-Channel逻辑分成两个子接口,分别作为Failover和Stateful链路;
- 区域边界交换机以VPC方式分别连接到两台防火墙,对于每台防火墙使用两个Port-Channel,分别属于区域边界VRF-Out和区域核心VRF-In ,一个连接防火墙Out接口,一个连接防火墙In接口;
- 每个出口的两台外层界防火墙连接分区内部资源池的接口为In接口,连接外部网络的接口为Out接口;
- In接口安全级别为100,Out接口安全级别为0;
- 两台区域边界交换机连接区域边界防火墙的接口,并配置成VPC。
注意:failover link作用:同步配置,设备状态,hello包,电源等等。
stateful link作用:同步NAT表、TCP会话、UDP会话、ARP表等等 。
至于配置主备防火墙的配置可以参考上期博客https://blog.csdn.net/qq_22193519/article/details/83186594