一个普通的组网问题，帮忙看看

roodee

如何实现防火墙的HA？
如何分配IP？

cnadl

需求

Devil_xl

不懂,高手来,快!!

roodee

现状：
（1）12000路由器是公网设备，防火墙用于隔离内网和外网；
（2）4006引擎是SII，支持三层；
需求：
（1）内网至公网出口链路为主备；
（2）防火墙实现HA；
（3）满足部分业务系统至公网的需求；
（4）可以通过4006控制业务系统之间的通信；
（5）防火墙的地址如何配置？？对公网侧12k设备有和要求？？
我的邮件:roodee@163.com，谢谢！

cnadl

4006至防火墙方向的svi-1做hsrp，路由指向防火墙HA的IP。

防火墙没说型号，那按通用一点的方式。连个心跳，每台内侧接口至少连接一个4k，内网方向路由给svi-1的hsrp。

12k到fw外侧可以在4k上划入同一vlan，然后配置在同一ip网端，路由参照内侧方式。
也可以12k、fw外、4k建立三层关系，用4k做三层中转。（此法扩展性好些，但是风险远大于好处。如果你是SII，那么二层和三层性能不等，就不要用这种方法；如果是SII+，可以用，但是要慎重一些。）

Devil_xl

真强,还是斑竹好使!!

roodee

在下十分感谢cnall的帮助和Devil_xl的关注！
我把条件和需求详细的说一下，好看看如何实现一个好的方案；

（1）12k都是骨干网路由器；
（2）防火墙是千兆的，PIX535或者Netscreen 500
（3）现有4600交换机是S II的，好像不支持IP policy；
（4）业务系统基本都是二层交换机，每系统基本都是1台，少数系统是两台，中间是Trunck；
（5）业务系统有内网、外网或者第三个网段；
（6）业务系统到公网是使用已分配的公网IP，业务系统内部使用的是私有IP，至『管理部门』也是私有IP；

需求：
（1）核心交换机出口到公网链路为主备；
（2）防火墙实现HA；交换机实现互备
（3）满足业务系统至公网需求，但要控制业务系统之间的互通；
（4）各个业务系统有对企业内部『管理部门』的通信需求，如何控制？不允许业务系统之间互通； 图中通过核心交换机SW1、SW2的方式能否实现？不行，是否让SW3、SW4独立出来，再和各个业务系统连接？
（5）要对业务系统实施统一的病毒防护管理，主要针对业务系统内部的PC机、PC server（微软），
统一安装病毒防护cilent，配置一台server作为集中控制台，实施统一的防护策略，代码更新；
（6）在SW1、SW2上如何实施IDS，需要配置两台IDS吗？IDS提供千兆端口；

如果4006在功能实现上不能满足要求，可以考虑换6500系列交换机

cnadl

原帖由 "roodee" 发表：
在下十分感谢cnall的帮助和Devil_xl的关注！
我把条件和需求详细的说一下，好看看如何实现一个好的方案；

（1）12k都是骨干网路由器；
（2）防火墙是千兆的，PIX535或者Netscreen 500
（3）现有4600交换机是S ..........

为什么不让12k直接连到fw呢？是光口电口问题还是有其它需求？

只要支持路由的设备全都支持acl，所以不用担心访问控制问题；如果换65，引擎要选择720，可能是一笔比较大的开销。

现在的4k及左边的结构很好，没必要改动了。

无关紧要的问题：s2不支持l3的，是否还有l3模块？

roodee

cnadl ,你说右边的结构是不是改为SW－－FW－－12k？这样没法实现HA，SW、FW、12k之间只有一个GE，图里边都是光口千兆；
在左边的结构中，你的意思是通过acl就能做到在核心交换机4006上控制系统之间的互访，以及到管理部门的互访？可否通过qq或者别的即时通讯工具谈谈？谢谢！

cnadl

原帖由 "roodee" 发表：
cnadl ,你说右边的结构是不是改为SW－－FW－－12k？这样没法实现HA，SW、FW、12k之间只有一个GE，图里边都是光口千兆；
在左边的结构中，你的意思是通过acl就能做到在核心交换机4006上控制系统之间的互访，以及到管..........

新买的机器，而且平时上班时间公司也不让用，就还没装im。     

sw-fw-12也可以完全ha，要跑动态路由；静态在4k一边不大保险。

要不就这样。不过fw接口可能不够。