架构见图片,图片上的连线可根据组网思路的要求做相应修改;当前需求:
1、服务器通过路由器访问互联网。
2、两台服务器部分端口需对外(如:3389,80,8080,8000,21)。
3、两台交换机形成互备,组网成功后允许其中一台故障而不影响业务。
4、两台路由器形成互备,组网成功后允许其中一台故障而不影响业务。路由器为主要业务出口,默认路由设置于此,服务器的NAT策略,IP映射策略等都设置于此。
5、两台防火墙形成互备, 组网成功后允许其中一台故障而不影响业务。 防火墙主要作用是架设VPN通道,将服务器的数据通过VPN通道传送至远端内网。
6、路由器,防火墙在同一网段,有共同的出口网关 求组网思路:
回答:首先,你的交换机和路由器,防火墙都需要热备,就需要选择满足应用的设备,二层设备支持STP,路由器支持HSRP、VRRP协议的设备。如图,在交换机上启用stp,路由上vrrp,这样可以实现热备,冗余
但问题在于你的第五条
5、两台防火墙形成互备, 组网成功后允许其中一台故障而不影响业务。 防火墙主要作用是架设VPN通道,将服务器的数据通过VPN通道传送至远端内网。也就是说你的服务器数据不但要从路由器出去,还要从VPN出去,那就说明你需要两个网关,一个路由器,一个防火墙,但你的交换机是二层的,没有策略路由功能如何实现呢?
答案是这样
使用防火墙代替路由,这样内网只需要一个网关即可。另外一种情况,假设你必须走两条出口,那你需要更换交换机,更换到三层交换机,在交换机上设置策略路由,把目的地址是VPN网段的数据走防火墙网关,其他走路由器网关。
最后6、路由器,防火墙在同一网段,有共同的出口网关,这个可以在防火墙和路由器前面添加一台交换机,不过这样以来又多了一个故障点,最好的办法是申请两条链路,这样设备有冗余,链路有冗余,万无一失。
