防火墻一般布置在邏輯區域的入口處,位于三層網絡架構的核心和匯聚之間,起到隔離邏輯區域,為邏輯區域創建安全策略的作用。
上面就是應用區的防火墻布置方式,他布置在應用區,可以為應用區的服務器創建安全策略,比如只能允許特定的ip的去訪問,或者應用區只能訪問某些IP或IP段。
一般為了提高系統可靠性,防火墻采用主備部署,中間的HA為主備的心跳線進行主備的協商和存活檢測。上面和下面的交換機都采用irf堆疊部署。
那么這時候交換機和防火墻一般是怎么配置的呢?我見過以下幾種玩法,和大家分享一下:
第一種 VRRP方式
防火墻是一個三層設備,三層地址是一個虛擬地址192.168.2.1。兩個防火墻通過心跳線協商來決定誰能擁有這個地址,這就決定了交換機抓發數據包的時候轉發給誰。比如協商成功后左面的是主,那么交換機抓發數據包的時候查找下一跳路由是192.168.2.1,左邊的防火墻就會回復ARP請求,讓交換機把數據都轉發給主。一旦主掛了,右面的防火墻變成主,承擔轉發流量的作用。
第二種方式 依靠路由進行選路
防火墻全是二層,上下連都是二層口。核心和匯聚與防火墻連接的接口配置三層口。他們運行OSPF,那么從核心上看進入應用區的路由就有兩條路徑,一個下一跳是192.168.1.2,一個是192.168.2.2。這時候我們可以把主防火墻這一側的路由的cost值調小一點,或者右邊調大點。這樣,根據路由選路的原則,流量就會選擇下一跳為192.168.1.2這條路徑。
第三種 負載模式
這時候兩個防火墻都轉發流量,就不是主備的關系了,而是雙活的關系。這時候防火墻的上下聯接口可以做鏈路捆綁,配置成二層接口
交換機側也做鏈路捆綁,三層通過SVI互聯,捆綁鏈路放行相應vlan。那么匯聚交換機去往核心交換機的下一跳就是port-channel 1。Port-channel 1的成員接口有兩個,那么數據包就會根據五元組進行hash發送到兩個防火墻上,每個防火墻都可以進行轉發。
