雙機 HA + Core Switch LACP,
一套讓工程師能安心請假的架構**
一、前言:
「ISP 第一個接到誰,決定你晚上睡不睡得著」
企業網路只有兩種狀態:
-
還沒出事
-
正在被追究責任
而「ISP 進來先接誰」,就是那條讓你站在第 1 或第 2 種狀態的分水嶺。
正確答案只有一個:防火牆。
二、整體架構一眼懂(老闆版・修正版)
老闆只要懂一句話就好:
「網路不會因為一台設備壞掉就全公司停工。」
三、為什麼一定是「ISP → PA → Core Switch」?
因為反過來會出事,而且是那種會被寫報告的事。
❌ ISP → Core → Firewall 的真實下場
-
Core Switch 直接暴露在 Internet
-
掃 Port、攻擊封包先打到交換器
-
防火牆:
-
看不到第一手流量
-
Log 永遠少一段
-
-
資安稽核一句就夠:
「為什麼邊界設備不是防火牆?」
✅ ISP → PA → Core 的好處
-
防火牆是真正的 Security Boundary
-
NAT / Threat / App-ID / URL 全部吃得到
-
Core Switch:
-
專心當交換器
-
不用替你擋駭客
-
四、PA-1410 × 2:
不是高可用,是基本生存
為什麼要做 HA?
因為:
-
防火牆一定會重開
-
升級一定會用到
-
硬體一定有壽命
HA 模式選擇
-
Active / Passive
-
原因很工程師:
-
穩定
-
好除錯
-
出事只會有一台被罵
-
HA 必接線路(少一條你會後悔)
-
HA1:控制
-
HA1 Backup:備援控制
-
HA2:Session Sync(超重要)
-
HA2 Backup:睡得更熟用
五、外網設計(Untrust):
簡單就是王道
-
ISP → PA-1410 A ethernet1/1
-
ISP → PA-1410 B ethernet1/1
-
不做 LACP
-
由 HA 控制誰是 Active
👉 外網設計原則:
越單純,越不會半夜出事
六、內網設計(Trust):
這才是 LACP 發揮的地方
PA-1410
-
ethernet1/3 + ethernet1/4 → ae1
-
指派到 Trust Zone
Core Switch
-
對應 Port-Channel
-
LACP Mode:Active
你會得到什麼?
-
頻寬疊加
-
任一條線斷都不會掉線
-
工程師不會因為「被踢到線」而被叫醒
七、Zone 與邏輯設計
基本但一定要清楚:
-
Untrust:外網
-
Trust:內部網路
-
DMZ:對外服務
-
VPN:給未來自己留路
一句工程師真理:
Zone 沒想清楚,Policy 一定長得像義大利麵。
八、Policy 與資安(不要 any any)
新手最愛:
老手會補一句:
「你確定這段要留下來?」
正確方向:
-
Policy 分層
-
一定開 Log
-
一定套 Security Profile
Palo Alto 的價值不是擋,而是看得清楚。
九、HA + LACP 的實際價值
| 狀況 | 結果 |
|---|---|
| 防火牆 Active 掛掉 | Passive 秒接 |
| 一條內網線斷 | LACP 撐住 |
| 升級重開 | 使用者幾乎無感 |
| 老闆問穩不穩 | 你敢點頭 |
十、結語:
這不是炫技,是工程師的基本修養
PA-1410 × 2
Active / Passive HA
Core Switch LACP
這套架構的目的知道只有一個:
讓網路出事時,
第一個心跳加速的不是你。
沒有留言:
張貼留言