双路由器双防火墙如何实现网络冗余链路？

yuhuohu

这个案例比较怪异，防火墙必须挂在路由器里面。以下设备都是cisco设备

router-A                  router-B
|                               |
|----------------------|
|                               |
router-1                    router-2

                                   <-----------------------这个空白处该如何连接？用什么技术连接保证链路冗余？

pix-1                       pix-2
  |                              |
  |----|               |-----|
         |               |
    网卡1- server-网卡2

如上图，router1,router2,pix1,pix2之间该如何连接，如何配置才能实现冗余链路呢？

方案A：

• router1,pix1通过switch1连接；router2,pix2通过switch2连接；switch1,2之间有trunk链路连接
• router1,2做hsrp之类的；
• pix1,2做failover。
• 路由器和防火墙之间的路由指向都采用虚拟的IP，走静态路由

缺点：若active的pix和交换机的链路中断，不会切换到standby的Pix。会吗？偶不太清楚，好像不会，pix的failover只有设备宕机才会自动切换，或手工切换

疑问：如果路由器和防火墙（pix525支持ospf）之间走ospf的话，作为standby的那台pix防火墙是否会参与ospf协议？

方案B：

• 每台路由器分别直接连接两台Pix
• ....

请各位不吝赐教！

[ 本帖最后由 yuhuohu 于 2007-12-17 18:06 编辑 ]

ssffzz1

你的第一种方案应该可行。你试验一下吧，正常来说应该能切换。

起OSPF的话，也可以，但是处于备份状态的机器不能参与OSPF，这样就不能做热备了。

关于PIX能否热切换我不太清楚，不过应该可以的。

kentchoi

pix现在能作 透明模式吗？如果那样就透明，，转发 组播地址吧

meng

pix接口down要切换的
standby应该不会参与ospf

wangjia316

PIX failover 配置完全模式 备份链路状态
CISCO HSRP