PowerConnect交换机、Juniper防火墙和esx冗余

Question

首先，让我说我是一名开发人员，对网络有基本的了解。我现在的工作要求我戴许多帽子。

我正在为我们的DataCenter应用程序构建一个SaaS，并且在ebay上购买了所有的硬件。

2x Juniper SSG-5
2X Dell PowerConnect 5324
3X Esx Hosts

我想在硬件层面上完全多余。我将主动/被动地对待松柏。我知道如何在防火墙上设置NSRP。我的问题是，如何将开关连接到防火墙，使其成为冗余的，并且没有循环？

我的假设是每个防火墙都会连接到两个交换机。有那么简单吗？从这里开始，我将在ESX主机上进行NIC合作，每个交换机都有一个链接。

开关需要连接在一起吗？对于这个基本配置，我需要对开关进行任何管理吗？

谢谢你的帮助！

Answer 1

你绝对是在正确的轨道上。

下面是我写过的关于冗余的几件事，以补充我在这篇文章中所写的内容：

冗余概述：http://sysadvent.blogspot.com/2009/12/day-13-redundancy.html

适当的冗余：http://www.standalone-sysadmin.com/blog/2008/06/appropriate-redundancy/

好吧，那些多余的，构建冗余是关于控制故障模式的。你有两个开关，两个路由器。显然，你想要为交换机或路由器的故障做好准备。也许是交换机和路由器。

在本例中，我所做的是使用接口连接将每个服务器连接到两个交换机：

有几种方法可以做到这一点，这取决于您服务器的操作系统，但重点是，每个交换机可以与每个服务器，而没有另一个交换机在那里。

正如克里斯S在评论中提到的，使用生成树协议(STP)是一个好主意。这是因为每个路由器都将连接到每个交换机上，以实现完全冗余，并且您不希望会发生由循环造成的广播风暴。

以下是我如何连接你的网络：

基本上，每个服务器都进入每个交换机，两个路由器都与两个交换机进行通信。请注意，路由器之间以及交换机之间都有连接(绿色)。对于路由器，这是您希望NSRP通信量通过的独立接口(不要通过到交换机的链接发送它)。

对于交换机，绿色链接是一个LACP主干，它由您需要的多个链接组成，以获得所需的聚合性能。

这应该在系统的任何部分出现故障时提供完全冗余。

Answer 2

如果你对网络有基本的了解，而且没有人能真正维护这些设备，那么简单就更好了。默认情况下，大多数开关将运行生成树，并自动确保没有循环。所以，你只需将juniper A连接到开关1和开关2，juniper B连接到开关1和开关2，然后将每个ESX连接到任意一个开关。或者，您不需要将junipers连接到两个交换机，这也是多余的。这只会在交换机上“工作”，因为记住，他们看到的只是MAC地址，而不是IP地址。管理交换机将允许更多的功能和故障排除，但这是另一回事，您需要跟踪，管理配置，等等。