【实战中提升自己】防火墙篇之双ISP切换与VRRP切换对于用户的体验

 ! 拓扑与说明             

 

某公司的网络架构，这样的架构在目前的网络中是在常见的，假设您接收一个这样的网络，应该如何部署，该实战系列，就是一步一步讲解，如何规划、设计、部署这样一个环境，这里会针对不同的情况给出不同的讲解，比如拓扑中有2个ISP，假设客户需求是，想实现主备的效果，又或者是想负载分担。DHCP部署在防火墙上面或者是单独的服务器上面又该如何配置部署。

 「模拟器、工具合集」复制整段内容
链接：https://docs.qq.com/sheet/DV0xxTmFDRFVoY1dQ?tab=7ulgil

 1  双ISP切换与VRRP切换对于用户的体验          

可以看到核心A与B的VRRP状态，现在VLAN 20是Core-B为Master。

问题：当核心交换机B与防火墙连接的链路出现故障后，会造成什么样的后果呢。

分析：之前在部署VRRP的时候，我们是定义了一个track功能，track上行链路，当上行链路出现故障的时候，优先级自动减10，也就是说，优先级变为95，这样的话，通过VRRP协商，那么A会成为Master，这样的话可以保证流量的正常转发，包括从整个内网与外网。

 2  测试           

现在持续Ping，然后查看下防火墙的会话信息。这里延迟大是正常的 防火墙跟PC都是虚拟机，真机只有交换机。

可以看到Core-A全部变为Master了。

可以看到丢了几个包，然后又开始正常转发了，实际中收敛更快，还可以配合BFD等功能。

现在走的还是走的联通的链路，

测试把联通的链路出现故障

可以看到链路发生了故障，ip-link失效了。

可以看到这个速度切换非常快，只丢了一个包，而且状态化信息立马变成了电信的出口。

 3  整个数据包走的流程           

1、正常情况下，PC经过高层人员交换机，然后通过与Core-B的流量转发给Core-B【这个过程是STP决定的，因为VLAN 20的根在Core-B上面，所以走这条链路】
2、核心交换机B把数据包从上联链路发送给防火墙。
3、防火墙通过策略路由的判断直接发送给了联通ISP。

 4 内网测试是否能正常访问           

1、正常情况下，PC经过高层人员交换机，然后通过与Core-B的流量转发给Core-B【这个过程是STP决定的，因为VLAN 20的根在Core-B上面，所以走这条链路，虽然上行链路down了，但是STP不会受到影响】
2、核心交换机B把数据包从与核心A交换机之间的链路发送给核心交换机A，因为这时候核心交换机检测的上行链路出现了故障，所以已经不是VRRP的主了，而核心A才是，所以必须交给核心A处理。
3、核心交换机A把数据包交给出口防火墙
3、防火墙通过策略路由的判断直接发送给了联通ISP。
4、如果防火墙的某条ISP的链路失效了，导致ip-link失效，那么对应的策略路由也会失效，从而走正常的默认路由。

分析：这里可以看到核心交换机之间的2条线路做捆绑是多么重要了，平时充当心跳线的作用，还充当转发VLAN间流量转发的作用，现在当一些链路出现故障后，还转发访问Internet的流量。