防火墻一般布置在邏輯區(qū)域的入口處,位于三層網(wǎng)絡(luò)架構(gòu)的核心和匯聚之間,起到隔離邏輯區(qū)域,為邏輯區(qū)域創(chuàng)建安全策略的作用。
上面就是應(yīng)用區(qū)的防火墻布置方式,他布置在應(yīng)用區(qū),可以為應(yīng)用區(qū)的服務(wù)器創(chuàng)建安全策略,比如只能允許特定的ip的去訪問(wèn),或者應(yīng)用區(qū)只能訪問(wèn)某些IP或IP段。
一般為了提高系統(tǒng)可靠性,防火墻采用主備部署,中間的HA為主備的心跳線進(jìn)行主備的協(xié)商和存活檢測(cè)。上面和下面的交換機(jī)都采用irf堆疊部署。
那么這時(shí)候交換機(jī)和防火墻一般是怎么配置的呢?我見(jiàn)過(guò)以下幾種玩法,和大家分享一下:
第一種 VRRP方式
防火墻是一個(gè)三層設(shè)備,三層地址是一個(gè)虛擬地址192.168.2.1。兩個(gè)防火墻通過(guò)心跳線協(xié)商來(lái)決定誰(shuí)能擁有這個(gè)地址,這就決定了交換機(jī)抓發(fā)數(shù)據(jù)包的時(shí)候轉(zhuǎn)發(fā)給誰(shuí)。比如協(xié)商成功后左面的是主,那么交換機(jī)抓發(fā)數(shù)據(jù)包的時(shí)候查找下一跳路由是192.168.2.1,左邊的防火墻就會(huì)回復(fù)ARP請(qǐng)求,讓交換機(jī)把數(shù)據(jù)都轉(zhuǎn)發(fā)給主。一旦主掛了,右面的防火墻變成主,承擔(dān)轉(zhuǎn)發(fā)流量的作用。
第二種方式 依靠路由進(jìn)行選路
防火墻全是二層,上下連都是二層口。核心和匯聚與防火墻連接的接口配置三層口。他們運(yùn)行OSPF,那么從核心上看進(jìn)入應(yīng)用區(qū)的路由就有兩條路徑,一個(gè)下一跳是192.168.1.2,一個(gè)是192.168.2.2。這時(shí)候我們可以把主防火墻這一側(cè)的路由的cost值調(diào)小一點(diǎn),或者右邊調(diào)大點(diǎn)。這樣,根據(jù)路由選路的原則,流量就會(huì)選擇下一跳為192.168.1.2這條路徑。
第三種 負(fù)載模式
這時(shí)候兩個(gè)防火墻都轉(zhuǎn)發(fā)流量,就不是主備的關(guān)系了,而是雙活的關(guān)系。這時(shí)候防火墻的上下聯(lián)接口可以做鏈路捆綁,配置成二層接口
交換機(jī)側(cè)也做鏈路捆綁,三層通過(guò)SVI互聯(lián),捆綁鏈路放行相應(yīng)vlan。那么匯聚交換機(jī)去往核心交換機(jī)的下一跳就是port-channel 1。Port-channel 1的成員接口有兩個(gè),那么數(shù)據(jù)包就會(huì)根據(jù)五元組進(jìn)行hash發(fā)送到兩個(gè)防火墻上,每個(gè)防火墻都可以進(jìn)行轉(zhuǎn)發(fā)。
