13、【实战中提升自己】防火墙篇之双ISP切换与VRRP切换对于用户的体验

0 特别说明

之前博客分享过，但是没汇总到公众号，这里在发布下，虽然早期写的实战文章，有些技术、设备、配置代码现在更新了，但是对于常见的组网思路构建还是很有帮助的，希望对大家有帮助。（觉得有帮助可以点点赞、转发下）

! 拓扑与说明

某公司的网络架构，这样的架构在目前的网络中是在常见的，假设您接收一个这样的网络，应该如何部署，该实战系列，就是一步一步讲解，如何规划、设计、部署这样一个环境，这里会针对不同的情况给出不同的讲解，比如拓扑中有2个ISP，假设客户需求是，想实现主备的效果，又或者是想负载分担。DHCP部署在防火墙上面或者是单独的服务器上面又该如何配置部署。

1 双ISP切换与VRRP切换对于用户的体验

可以看到核心A与B的VRRP状态，现在VLAN 20是Core-B为Master。

问题：当核心交换机B与防火墙连接的链路出现故障后，会造成什么样的后果呢。

分析：之前在部署VRRP的时候，我们是定义了一个track功能，track上行链路，当上行链路出现故障的时候，优先级自动减10，也就是说，优先级变为95，这样的话，通过VRRP协商，那么A会成为Master，这样的话可以保证流量的正常转发，包括从整个内网与外网。

2 测试

现在持续Ping，然后查看下防火墙的会话信息。这里延迟大是正常的 防火墙跟PC都是虚拟机，真机只有交换机。

可以看到Core-A全部变为Master了。

可以看到丢了几个包，然后又开始正常转发了，实际中收敛更快，还可以配合BFD等功能。

现在走的还是走的联通的链路，

测试把联通的链路出现故障

可以看到链路发生了故障，ip-link失效了。

可以看到这个速度切换非常快，只丢了一个包，而且状态化信息立马变成了电信的出口。

3 整个数据包走的流程

1、正常情况下，PC经过高层人员交换机，然后通过与Core-B的流量转发给Core-B【这个过程是STP决定的，因为VLAN 20的根在Core-B上面，所以走这条链路】 2、核心交换机B把数据包从上联链路发送给防火墙。 3、防火墙通过策略路由的判断直接发送给了联通ISP。

4 内网测试是否能正常访问

1、正常情况下，PC经过高层人员交换机，然后通过与Core-B的流量转发给Core-B【这个过程是STP决定的，因为VLAN 20的根在Core-B上面，所以走这条链路，虽然上行链路down了，但是STP不会受到影响】 2、核心交换机B把数据包从与核心A交换机之间的链路发送给核心交换机A，因为这时候核心交换机检测的上行链路出现了故障，所以已经不是VRRP的主了，而核心A才是，所以必须交给核心A处理。 3、核心交换机A把数据包交给出口防火墙 3、防火墙通过策略路由的判断直接发送给了联通ISP。 4、如果防火墙的某条ISP的链路失效了，导致ip-link失效，那么对应的策略路由也会失效，从而走正常的默认路由。

分析：这里可以看到核心交换机之间的2条线路做捆绑是多么重要了，平时充当心跳线的作用，还充当转发VLAN间流量转发的作用，现在当一些链路出现故障后，还转发访问Internet的流量。