防火牆一般布置在邏輯區域的入口處,位於三層網絡架構的核心和匯聚之間,起到隔離邏輯區域,為邏輯區域創建安全策略的作用。
上面就是應用區的防火牆布置方式,他布置在應用區,可以為應用區的服務器創建安全策略,比如只能允許特定的ip的去訪問,或者應用區只能訪問某些IP或IP段。
一般為了提高系統可靠性,防火牆採用主備部署,中間的HA為主備的心跳線進行主備的協商和存活檢測。上面和下面的交換機都採用irf堆疊部署。
那麼這時候交換機和防火牆一般是怎麼配置的呢?我見過以下幾種玩法,和大家分享一下:
第一種 VRRP方式
防火牆是一個三層設備,三層地址是一個虛擬地址192.168.2.1。兩個防火牆通過心跳線協商來決定誰能擁有這個地址,這就決定了交換機抓發數據包的時候轉發給誰。比如協商成功後左面的是主,那麼交換機抓發數據包的時候查找下一跳路由是192.168.2.1,左邊的防火牆就會回復ARP請求,讓交換機把數據都轉發給主。一旦主掛了,右面的防火牆變成主,承擔轉發流量的作用。
第二種方式 依靠路由進行選路
防火牆全是二層,上下連都是二層口。核心和匯聚與防火牆連接的接口配置三層口。他們運行OSPF,那麼從核心上看進入應用區的路由就有兩條路徑,一個下一跳是192.168.1.2,一個是192.168.2.2。這時候我們可以把主防火牆這一側的路由的cost值調小一點,或者右邊調大點。這樣,根據路由選路的原則,流量就會選擇下一跳為192.168.1.2這條路徑。
第三種 負載模式
這時候兩個防火牆都轉發流量,就不是主備的關係了,而是雙活的關係。這時候防火牆的上下聯接口可以做鏈路捆綁,配置成二層接口
交換機側也做鏈路捆綁,三層通過SVI互聯,捆綁鏈路放行相應vlan。那麼匯聚交換機去往核心交換機的下一跳就是port-channel 1。Port-channel 1的成員接口有兩個,那麼數據包就會根據五元組進行hash發送到兩個防火牆上,每個防火牆都可以進行轉發。
原創文章,作者:投稿專員,如若轉載,請註明出處:https://www.506064.com/zh-hant/n/224320.html
微信掃一掃 
支付寶掃一掃 