請幫忙, 兩個site的HA問題 (沒有圖不好意思)

firewall ha ip layer2 subnets

hercheng1001 2020-02-28 12:40:21 ‧ 1689 瀏覽

客人有一個production site (PS), 另一個DR site (DS).

客人想每邊配置一台新的FW, 及連接兩個site作Layer 2 的HA.

問題來了:
1, 由於極大量的throughput(估算有7GB以上)會連接到PS FW. 按客人的要求,如果PS的FW掛了, 會有single point of failure, 也不能leverage到DS的FW?

2, 兩邊的IP SUBNET都不同, 可以做到HA嗎?

3, 兩邊的 core switch/router 都是走OSPF, 即是不同的neighbors有不同的router ID. 這情況 Layer 2 HA合適嗎?

以上問題是同事提出的, 同事提出PS配置兩台FW. 但客人卻堅持他的想法,請各位給予意見.謝謝.

bluegrass iT邦高手 1 級 ‧ 2020-02-28 13:38:16 檢舉

一看就知道是SI行家問的

然後我告訴你, 有方法能輕易做到你三個條件, 而且只是基本中的基本

即使假設你是L2 HEART BEAT死亡, 兩邊都可以獨立運作

不同SUBNET其實問題不大, VLAN 跟 FIREWALL INTERFACE 調整一下就好

L2 HEART BEAT + FIREWALL HA + Different Gateway for differnet IP SUBNETs in HA

至於OSPF部份, 我覺得當是隔離處理而不予理會比較好喔, 就是保持兩個獨立的AREA.