Sonicwall HA 實施與 2 個建築物
我有一個關於 HA 實施的問題。我們說的是無狀態故障轉移。
我們有 2 台 NSA 3600 設備。我們在現場有 2 座建築物(同一地段,停車場相距約 150 英尺)。這些建築物通過 6 股光纖連接 2 個交換機堆棧相互連接。一切都在同一個 255.255.248.0 網路上。
目標是實施 HA。現在,一切都在 1 號樓之外……雖然 2 號樓確實有自己的數據/ISP,但根本沒有被使用。
當我想到這種拓撲結構時,我通常會認為將第二個故障轉移 sonicwall 與另一個放在主樓中,將兩者都連接到 WAN 交換機,然後簡單地進行故障轉移,它們兩個連接相同,一個主要的,一個輔助的。
問題出現了,我們是否可以將第二個聲波牆放置在 2 號樓中,連接到未使用的 ISP 數據上行鏈路。這樣,如果一個 isp 出現故障,1 號樓可能會故障轉移到 2 號樓……反之亦然。
現在我不認為自己是該主題的專家,但是這似乎是不可能的,我想到了一些問題:
我讀到無狀態 HA 不需要設備之間的直接交叉連結。由於我們在建築物之間有光纖連接,我不知道這是否是個問題。
AFAIK,對於 HA,設備的配置需要相同。如果設備 1 連接到 ISP 1,而設備 2 連接到 ISP 2,則配置需要不同,我們已經需要設置路由以適應這種情況。對?
我認為完成 2 個建築場景的唯一方法是擁有 4 個 sonicwall 設備,每棟建築有 2 個,並相應地設置路由……有人對此有任何意見嗎?
您確實需要兩者俱有相同的配置,但可以,例如,使用不同的 X 埠設置兩個 WAN 介面,然後設置一個包含兩個 WAN 的“故障轉移和負載平衡”組。
然後,如果您進行 HA 故障轉移,LB 會注意到另一個單元無法訪問主 WAN 連結,並會切換到備用 WAN 連結
HA 單元始終處於非活動狀態,並且必須鏡像主防火牆,它們還將共享虛擬 IP,因此必須連接到相同的 WAN 連結。我們只是在 sonicwall WAN 之外創建一個 L2 VLAN 來共享,但我懷疑 HA 同步在遠處是否會很高興,如果你要實現這一點。
如前所述,我會將建築物 B 的未使用連接路由到建築物 A 中的 HA 堆棧作為故障轉移 WAN。使用兩個 SonicWalls 而沒有 HA,您甚至可能會更好,這實際上取決於您要保護哪些基礎設施漏洞,哪些對您最有效。