在規劃網絡時，往往需要考慮整體網絡的可靠性和可用性，通常采用一些技術手段，提高整體網絡的冗余能力，避免出現單點故障。今天通過分享一個核心交換機不做堆疊的情況下防火墻熱備的案例。

拓撲圖

設計思路

1. 為了節約公網IP地址所以在防火墻接口上面配置IP地址為內網地址，同時將公網IP地址設置成為VRRP組中的虛擬地址。
2. 在防火墻A和防火墻B上使用單鏈路做聚合，配置好IP地址加入到HRP安全域中并指為HRP心跳檢測端口。
3. 核心交換機A和核心交換機B使用多鏈路做聚合，再將聚合端口配置為trunk屬性透傳業務VLAN,在核心交換機A上配置業務VLAN網關并為VRRP組中的master。在核心交換機B上配置VLAN的網關并作為VRRP組中的slav。同時交換機上的DHCP分配都采用全局地址池方式并指定虛擬IP地址為業務網關。
4. 正常情況下流量由核心交換機A和防火墻A處理，當防火墻故障或者核心交換機故障都會戳發主備切換。
5. 防火墻A上通過配置IP-link監控外網鏈路或者短褲狀態同時與HRP主備進行聯動(防火墻上的業務端口down了或者失效的情況觸發HRP主備切換)
6. 核心交換機A上通過配置VRRP組與上行端口進行聯動(一旦與防火墻互聯的端口down掉或者失效將會戳發vrrp主備切換)。

主備切換測試

正常的情況下流量走向

可以通過在PC2和PC3上進行tracert，驗證流量的走向。如下圖

主防火墻故障情況

這里通過把防火墻A關機模擬主防火墻故障

內網一臺主機ping外網的測試（掉了幾個包，真實情況收斂速度會快點） 備防火墻替代主防火墻的業務，快速會話同步。

在防火墻B上的HRP狀態，通過執行display hrp state命令，如下圖

此時防火墻上B的會話表情況，如下

此時核心交換機的情況

通過上圖可以看到核心交換機A的VRRP組成為了備份狀態，那么核心交換機B上的VRRP主成為了master狀態。為什么會出現這種情況呢？

這是由于配置了VRRP聯動，當防火墻A上的GE0/0/1端口出現故障，會觸發下游的核心交換機進行主備切換，核心交換機A關鍵配置如下：

interface Vlanif3

 ip address 192.168.3.1 255.255.255.0

 vrrp vrid 3 virtual-ip 192.168.3.254

 vrrp vrid 3 priority 120

 vrrp vrid 3 track interface GigabitEthernet0/0/1 reduced 30

 dhcp select global

interface Vlanif4

 ip address 192.168.4.1 255.255.255.0

 vrrp vrid 4 virtual-ip 192.168.4.254

 vrrp vrid 4 priority 120

 vrrp vrid 4 track interface GigabitEthernet0/0/1 reduced 30

 dhcp select global

此時的流量走向

防火墻上行鏈路故障情況

通過把防火墻A的GE0/0/0進行shutdown來模擬故障。當GE0/0/0故障也觸發了主備切換。

此時的流量走向

由于防火墻A上把vrrp1和vrrp2加入了master的VGMP組，當其中一個vrrp進行了主備切換，整個master的VRRP都會進行切換。

防火墻上A的關鍵配置

interface GigabitEthernet0/0/1

 ip address 10.0.0.2 255.255.255.0

 vrrp vrid 2 virtual-ip 10.0.0.254 master

 vrrp virtual-mac enable

interface GigabitEthernet0/0/3

 ip address 172.31.0.1 255.255.255.0

 vrrp vrid 1 virtual-ip 222.222.222.2 255.255.255.0 master

 vrrp virtual-mac enable

以上就是核心交換機不做堆疊的情況下防火墻熱備的案例的講解，感謝的小伙伴們，可以轉發關注，獲取網絡拓撲和全部的配置。