M市电子政务网之服务器双出口

　　、组网要求：

　　M市电子政务网平台服务器双出口，要求外网访问平台服务器做到冗余备份。

　　如下图：

　　二、技术难点：

　　两台防火墙F1000E_1与F1000E_2两个出口要配置同一个公网IP:59.203.56.1/24对应内网服务器IP:172.16.28.1/24。而且两台防火墙起到互为备份作用。

　　三、解决方案：

　　1、F1000E_1与F1000E_2出口配置相同的命令：

　　nat server protocol tcp global 59.203.56.1 www inside 172.16.28.1 www

　　2、F1000E_1与F1000E_2出口配置相同(当然出口的IP是不同的)，为了解决路由混乱问题，在HYL_7506E与HBL_7506E两台交换机上配置路由优先级，保证外网访问服务器优先从HYL_7506E进防火墙。HYL_7506E路由采用默认值，所以要降低HBL_7506E的路由优先级，指定HBL_7506E静态路由preference 为160，并在ospf 中import-route static cost 8000。具体配置如下：

　　HYL_7506E配置HBL_7506E配置

　　ospf 1

　　import-route static

　　area 0.0.0.0

　　network 59.203.55.8 0.0.0.3

　　network 59.203.55.36 0.0.0.3

　　network 59.203.55.252 0.0.0.0

　　network 59.203.57.240 0.0.0.15

　　#

　　ip route-static 59.203.56.0 255.255.255.0 59.203.55.2ospf 1

　　import-route static cost 8000

　　area 0.0.0.0

　　network 59.203.55.12 0.0.0.3

　　network 59.203.55.40 0.0.0.3

　　network 59.203.55.251 0.0.0.0

　　#

　　ip route-static 59.203.56.0 255.255.255.0 59.203.55.34 preference 160

　　3、上面是保证入的数据流优先从HYL_7506E走，但出的数据流也要保证从F1000E_1到对应的HYL_7506E。解决这个就更简单，F1000E_1、F1000E_2与S5500_1、S5500_2做VRRP，并调整F1000E_1的 vrrp 的priority 为120，从而保证F1000E_1的VRRP为MASTER，这样数据流肯定从F1000E_1出去，并且配置vrrp vrid 23 track interface GigabitEthernet0/0 reduced 30，F1000E_1监控出口，若出口GigabitEthernet0/0 down，马上优先级降低，这样F1000E_2变为master 。而且由于GigabitEthernet0/0 down，导致HYL_7506E接口down，这是HYL_7506E到服务器网段的静态路由失效，这是HBL_7506E优先级低的路由生效，这样也保证了从外网回的数据流切换到HBL——7506E。从而保证了入数据流和出数据流路径一致，而且达到了冗余备份作用。具体的切换数据流走向图如下。

　　正常数据流图：

　　F1000E_1出口DOWN后，数据流走向：

　　备注：可能有人要问了，现在防火墙支持双机热备，双机热备要求两台防火墙出接口IP相同，但是本案例中的防火墙分别接在两台S7506E上，而且由于两台S7506E没有直接互联，所以两台防火墙出口IP不能配置相同。

2016年01月