詢問公司這種HA網路架構適合嗎？

router設定防火牆

kurtz77095 2022-09-07 10:24:22 ‧ 2430 瀏覽

分享至

請問大大公司的採用附件的設定方式，碰到WAN1故障切換Slave上使用，防火牆跟L3交換器之間無法互通連線的問題原因？

故事情節如下：
公司的網路架構，有兩台Fortigate 100E進行HA備援預防單點故障，也有設置SD-WAN，所有大樓及辦公室的VLAN都透過一台Zyxel XGS4600的閘道對外及系統存取。

最近突發奇想，就在下班時將Master防火牆Monitor設置為對外的WAN1介面無法使用，切換Slave，產生兩個結果。
範例1.當WAN1發生故障切換到Slave防火牆：
1.防火牆直接連線的L2交換器系統都使用正常，但連線不到XGS4600，192.168.200.254。 2.XGS4600內的Vlan封包正常，但連結不到防火牆Gateway 192.168.200.253，所以無法對外及存取系統。

範例2.當FGL3發生故障切換到Slave防火牆：
ANS：一切正常。

設備參數如下：
Fortigate 100E，192.168.200.253/24
XGS4600，192.168.200.254/24，底下包含Vlan
Vlan1，192.168.2.254
Vlan2，192.168.3.254
Vlan3，192.168.4.254
Vlan4，192.168.5.254

看更多先前的討論...收起先前的討論...

zyman2008 iT邦大師 6 級 ‧ 2022-09-07 11:15:11 檢舉

發生問題當下. 看一下兩邊的 arp/mac table.
FGT
#get system arp

XGS4600
#show mac address-table mac <FGT virtual mac address>
#show ip arp

sd3388 iT邦好手 1 級 ‧ 2022-09-07 15:36:20 檢舉

不適合，架構根本就錯了
如果你是SI，麻煩好好看看手冊
如果你是user，把SI找來好好處理

suzukikm iT邦新手 5 級 ‧ 2022-09-07 16:24:42 檢舉

謝謝兩位大大建議，下班再來測試看看

Abbott iT邦研究生 4 級 ‧ 2022-09-08 09:01:23 檢舉

XGS4600 連接到兩台 Fortigate 的埠，有任何設定 ?

suzukikm iT邦新手 5 級 ‧ 2022-09-08 10:47:10 檢舉

XGS4600連到fortigate沒有特別設定，就23、24port個別插master跟slave防火牆。
另外昨天下班測試，L3交換器那邊沒有立刻切上對防火牆網路，但是過幾分鐘就可以連了，有照Z大大檢查ARP跟wireshark檢查封包，有趣的是原來主備援機的FGL3 port MAC都是一樣的，看上去應該是L3交換器要怎調整。