1675649570,

问题描述：

  各位大神。拓扑类似于下面模拟器画的。防火墙上面有2跟运营商的网络来保证链路的荣誉性，因为防火墙做IRF是主备的模式，所以底下堆叠的核心交换机不能做链路聚合，我想请教下这里要怎么做才能保证防火墙的高可靠性和链路的高可靠性，具体需要配置哪些东西。谢谢。

组网及组网描述：

(0)

最佳答案

已采纳 zhiliao_iTUzT zhiliao_iTUzT 四段 粉丝：0人 关注：0人

实现高可靠性，建议两种方案：

1. 交换机IRF堆叠，与防火墙互联起lacp动态聚合，可以保证高可靠性，另外如果有接入交换机的话，交换机IRF可以避免物理环路；

2. 交换机主备部署（VRRP），连接防火墙起vrrp，防火墙上配置冗余接口配合冗余组使用，通过track实现物理链路切换。此方案需要考虑交换机之间互联透传vrrp报文，不建议通过防火墙透传，若通过交换机互联透传报文，需要考虑接入组网，避免出现物理环路。

F1000系列冗余备份配置参考链接手册：

http://h3c.com/cn/d_

2020-01-22回答 评论(1) 举报

(0)

另外，交换机IRF组网方便维护，配置等只需配置一台即可，建议使用IRF组网

zhiliao_iTUzT 发表时间：2020-01-22 回复xxx [x] 3

你可以这样搞啊，交换机和防火墙之间做聚合

(0)

不行啊。聚合的话备的不会转发流量的。不是M系列的防火墙是做主备的

Amost 发表时间：

参考官网典配配置冗余组加冗余口的方式，交换机用二层聚合口 冗余组

> 

(0)

回复xxx [x] 已采纳 zhiliao_YncSk zhiliao_YncSk 二段 粉丝：0人 关注：0人

交换机做好IRF后使用一个vlan接口与防火墙互联，将与防火墙连接的物理端口划入这个vlan，防火墙做好irf后将与防火墙连接的2个端口做一个热备组，使用热备组接口与交换机连接。

(0)

回复xxx [x],F1000系列防火墙做堆叠和高可靠性的问题咨询