当我使用思科工具包时,这不是真的思科相关,更一般的networkingdevise。
在过去,我连接到三层核心交换机,3750X,6509和H3C 12504的互联网连接。 双互联网连接(无论是相同的供应商或不同的)到核心交换机,这是一个特定VLAN的接入端口,我们说VLAN 900.然后我的HA对防火墙连接到外部接口到交换机上访问端口也在VLAN 900.防火墙当然会有内部和DMZ接口连接到交换机在其各自的VLAN。
我从来没有遇到过这个问题,也没有人问过我这个问题,但是现在有人质疑,如果我直接连接到防火墙,这样做并不安全。 但是,我的问题是,通过将所有4根电缆连接到交换机(2个互联网连接和1个来自每个防火墙的外部接口),我为互联网连接或防火墙死亡提供了全面的弹性。 我们可以通过增加另一个核心交换机来增加更多的永续性,这样1个防火墙和1个互联网连接到一个核心交换机,另一个FW和互联网连接到另一个核心交换机。
对我来说,这是明智的,可靠的和安全的。 然而,在这里或上一份工作中,没有人知道networking足以质疑这个问题,但是我上面有人承认自己不是一个networking人员,他正在质疑,希望得到一个更好的答案。 所以宁愿看涨而站在我的立场上,我想把它抛在空中,问我是否做正确的事情,听取其他观点。
感谢您的时间