我有两个ha-cluster节点,我想用防火墙保护它们。 为了避免单点故障,我想有两个防火墙。 而且由于我也需要冗余交换机,防火墙必须支持生成树协议。
我的首选设置:
+------------+ +----------+ +--------------+ lan 1 --| firewall 1 |--| switch 1 |--| ha cluster 1 | +------------+ +----------+ +--------------+ \/ | /\ | +------------+ +----------+ +--------------+ lan 2 --| firewall 2 |--| switch 2 |--| ha cluster 2 | +------------+ +----------+ +--------------+ 思科ASA和65xx系列FWSM可以做到这一点。
您的防火墙正在第3层/ 4层工作,因此不应该感知到生成树。
如果HA集群中的主节点发生故障,另一个将接pipe,交换机将切换到节点。
如果您的交换机发生故障,那么通过链路汇聚(故障转移,而不是lacp),stream量将被发送到第二个交换机
如果防火墙发生故障,另一个将接pipe并将stream量发送到正确的交换机。
OpenBSD和FreeBSD将会处理这个问题。 它们在每个局域网段上共享相同的IP,故障转移是通过TCP / UDP会话/状态完成的。 这对交换机是透明的。
pfSense(基于FreeBSD和pf,完全免费)和Vyatta(基于Linux,open core:/)可以在标准硬件甚至虚拟机上完成。