GNS3 | Вопрос студента | Как настроить сеть с резервированием

Ckey

Привет всем! В настоящее время я изучаю компьютерную инженерию и работаю над проектом, в рамках которого пытаюсь создать модель полностью избыточной и безопасной сетевой топологии в GNS3. Безопасность может подождать, потому что сейчас я просто пытаюсь заставить все работать, однако я очень запутался, когда дело дошло до настройки между моими брандмауэрами (пограничными устройствами) и основными коммутаторами. У меня есть опыт работы с GNS3 и управления частями реальной сети в прошлом, но, к сожалению, это было для небольшой компании, и поэтому они не использовали полную избыточность. Моя текущая сеть в GNS3 выглядит следующим образом: ![topology.png] У меня есть два брандмауэра PFSense, подключенных к облаку в GNS3 для исходящих соединений (ISP). Эти брандмауэры используют протокол CARP, и у меня есть VIP, созданный на портах WAN (em0), DMZ (em5) и LAN (e3 и e3). Мой главный вопрос касается двух основных коммутаторов (swWarszawaCore1 и 2) и брандмауэров (PFSense-1 и 2). Я хочу полную избыточность между всеми 4 устройствами, и моя первоначальная идея состоит в том, чтобы настроить VRRP на коммутаторах Core и CARP на брандмауэрах. У меня есть порты e3 и e4 на обоих брандмауэрах, объединенные в порт LAGG, называемый портом 1. PFSense-1 lagg1 имеет назначенный адрес 192.168.11.2/29, а PFSense-2 lagg1 имеет назначенный адрес 192.168.11.3/29. VIP, настроенный для этих портов, — 192.168.11.1. Etherchannel использует LACP. На основных коммутаторах, подключенных к lagg1 на брандмауэрах, я настроил port-channel1 с использованием LACP. Я настроил SVI для VLAN 14 на каждом коммутаторе и настроил port-channel1 в качестве порта доступа для VLAN 14. SVI VLAN 14 на Core1 настроен с 192.168.11.4/29, а Core2 — с 192.168.11.5/29. VIP, настроенный (с использованием VRRP) для SVI VLAN 14, — 192.168.11.6. Хорошо, значит, с swCore1 я могу пинговать 192.168.11.2 (IP-адрес брандмауэра, расположенного непосредственно выше по потоку в той же подсети), но я не могу пинговать VIP. Мне кажется, что это потому, что я еще не настроил «перекрещенные» интерфейсы eth1/3 на основных коммутаторах. Я не совсем понимаю, как это следует настроить, и даже не уверен, что мой текущий подход правильный; буду очень благодарен за любые рекомендации или помощь, так как не знаю, как действовать дальше. При необходимости я готов предоставить конфигурации.

MHM Cisco World

здесь есть два решения 1- использовать автономный FW В этом решении
A-A-FW использует VIP HSRP в статическом маршруте к Core SW
A-B-Core SW использует маршрут по умолчанию к обоим FW, но один с высоким AD
B-A-FW использует IGP и вводит маршрут по умолчанию в Core 2- FW запускает HA MHM

Ckey

Уважаемый MHM, Большое спасибо за быстрый ответ. Сегодня я проанализировал топологию и настройки и, по-моему, решил отказаться от использования протокола CARP (по сути, HSRP) на брандмауэрах. VIP-адрес брандмауэров на стороне LAN полностью недоступен, даже с разрешением всех правил безопасности и подключением к физическим IP-адресам 192.168.11.2 и 3. Я не уверен, является ли это проблемой симуляции GNS3, проблемой уровня 8 (я не удивлюсь) или проблемой PFSense, но, независимо от этого, мне нужно добиться большего прогресса.
Я планирую настроить вариант A — настроить статический маршрут на брандмауэрах для использования VIP-адреса основных коммутаторов при отправке пакетов клиентам, а также настроить 2 маршрута по умолчанию на основных коммутаторах, один из которых будет иметь более высокое административное расстояние. В будущем я могу настроить что-то вроде OSPF, если мне удастся реализовать концепцию работы со статической маршрутизацией. Я предполагаю, что соединения между:

1. CoreSwitch1 и Firewall2
2. CoreSwitch 2 и Firewall1
   должны быть соединениями L3 для двойных маршрутов по умолчанию — если вы считаете, что я что-то неверно понял, пожалуйста, ответьте, в противном случае проблема решена!
   Большое спасибо,
   Каллум