2個防火牆做HA, 應該設定成Active-Active 還是 Active Standby?

firewall

boy1010 2020-08-17 13:19:45 ‧ 9920 瀏覽

分享至

請問各位大師,
我有兩台防火牆想做HA, 請問應該設定成Active-Active 還是 Active Standby好?
分別有甚麼好處或壞處.
無限感激.

看更多先前的討論...收起先前的討論...

Abel iT邦新手 5 級 ‧ 2020-08-17 13:52:44 檢舉

http://linux.vbird.org/linux_enterprise/0110network.php

Abel iT邦新手 5 級 ‧ 2020-08-17 13:56:31 檢舉

你說的類似 LACP 可以查詢一下

bluegrass iT邦高手 1 級 ‧ 2020-08-17 18:22:03 檢舉

一般建議是 A-P MODE

個人經驗是 A-A MODE會出現兩台HA互搶ACTIVE的情況....

Wayne iT邦新手 2 級 ‧ 2020-08-19 07:20:40 檢舉

我會做Active/Standby

ZongXianLi iT邦研究生 5 級 ‧ 2020-08-19 22:02:14 檢舉

我們公司目前就是規劃A/A
在做A/A有很多狀況要考慮
A/A最大的好處應該就是發生節點故障也不會發生服務中斷的問題

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

2 個回答

mytiny

iT邦超人 1 級 ‧ 2020-08-17 13:49:20

每家防火牆都略有不同的細節
樓主怎不說說是用哪種?

回應 6
分享
檢舉

看更多先前的回應...收起先前的回應...

boy1010 iT邦新手 5 級 ‧ 2020-08-17 13:52:20 檢舉

華為是第二層和Fortigate是第一層, 總共有4隻防火牆

mytiny iT邦超人 1 級 ‧ 2020-08-17 14:21:45 檢舉

Fortigate用A-A比較好
轉換時ping值頂多掉幾個
華為沒用過，希望它們A-A封包是同級處理，這樣比較快

hon2006 iT邦大師 1 級 ‧ 2020-08-17 17:50:26 檢舉

fortinet ha 故障恢復機制
1.設備故障恢復
2.埠故障恢復
3.會話交接
硬體突然壞掉機率很低除非重開開不起來
所以沒死透也不會切換
做 ha 稽核目的大於實用性
還不如定期切換有意義

mytiny iT邦超人 1 級 ‧ 2020-08-17 19:20:28 檢舉

當採用FSW與FAP時，FG是不能停的
A-A升級firmware的時候會很有用

hon2006 iT邦大師 1 級 ‧ 2020-08-18 08:59:00 檢舉

我們公司也是用 fortinet 做 Active Standby
如果要做 Active-Active 要做完整的架構才有意義
那個花太多的錢了每年簽維護也很貴

做 Active Standby 就是一台掛了一台接手而已

mytiny iT邦超人 1 級 ‧ 2020-08-18 09:29:37 檢舉

hon2006大大所言應該是指還要買FortiSwitch吧
其實，FS雖然需費用，卻為產品週期lifetime warranty
(即使core switch也是同樣)
至於兩台FG，本就會買一樣的保固
A-A,A-S在經費上並沒有太大的差別
但在Security Fabric的運作實際層面上就差的多了

登入發表回應