1,以上设备均配置成双机热备.
2,这样的网络设计对双机热备机制有没有问题.
3,如有你认为有问题,请说出问题所在.没有问题的话就顶一下!
4,有问题的话请给出解决方案,但是不允许增加网络设备的端口数.可以添加设备.
设计意图:要求全部网络环境不能存在单点故障(包括线路),当其中任何一台设备或者线路出现故障,不影响用户使用(接入6509的用户)
FW:存在环路,首先两台65应该分别接到75上,第二PIX不应配置在那个地方,应该在出口处,防止内部攻击在汇聚层的交换机和接入层的路由器上做访问列表就可以了,要是还要安全就在接入层的交换机上做访问列表,还有PIX会影响网络的速度,在出口处应适当的提高网络的带宽,如果PIX有G口的话,我对CISCO的PIX不熟,请指教,嘿嘿
FW:指正你的错误:
1,肯定没有环路
2,6509如果分别接入7500,中间没有连线(Trunk)。Vlan信息不会传递,另外HSRP协议也起不来,无*实现热备。存在单点故障。
3,PIX一定要放在7500的后面,PIX目前只能提供Lan口,如果广域网的线路是SDH,ATM,E1.你如何接入PIX.
4,另外告诉你PIX有千兆接口。
FW:1.我想配了65不会没有没有配三层交换吧
2.pix作热备?怎么接,不会是用DMZ接吧?没试过,如果哪位大哥做过,可以发篇帖子吗?
3.防火墙接在路由器与核心交换机间,也是比较多的做*.
4.如果把防火墙放在路由器外,路由器和核心交换机间的链路完全备份,是不是效果更好些?
FW:
1,首先告述大家这个设计在理想状态没有什么大问题。
2。6509之间有星跳线,可以配置Trunk和HSRP,每个网段就会有一个虚拟地址,这个地址作为网关可实现交换机的热切换。(更细的说明去看HSRP)
3。PIX通过串口线连接做Failover,这时只有一台PIX是活动的,另一台处与监听装态。PIX监测 Inside 和outsinde 链路状态,链路断掉后另外的一台PIX接管(变成活动的)活动的变成监听状态!
4。7500之间有星跳线,故和6500一样没有什么问题。
5,所以当左边任何一台设备有故障数据都可以走右边,同理右边也可以。
6。大家注意没有,当7500广域链路有故障时,PIX,6500的状态都不会有变化,数据只能通过7500的星跳线传输,而RJ45的星跳线在电信级网络中也是一种不稳定故障点。(比如任何一台7500的广域线路与RJ45星跳线都坏了,整个网络就不通了)
7,所以建议在PIX和与7500之间加一台或者二台交换机,二台的话7500可以双线分别连接到交换机上。另外可以同过HSRP得到一个虚拟地址,便于整个网络的路油配置。
8,回答网友问PIX做Failover怎么连,一种是通过串口线,还有一种同过LAN口方式。推荐用串口线。
FW:建议更改的拓扑图!
