Брандмауэр, который поддерживает HighAvailability и Spanning Tree
Я ищу устройство брандмауэра, которое поддерживает высокую доступность и связующее дерево.
У меня есть два узла ha-cluster, и я хотел бы защитить их с помощью брандмауэра. Чтобы избежать единой точки отказа, я бы хотел иметь два межсетевых экрана с поддержкой ha. И поскольку мне тоже нужны избыточные коммутаторы, брандмауэр должен поддерживать протокол связующего дерева.
Моя предпочтительная настройка:
+------------+ +----------+ +--------------+
lan 1 --| firewall 1 |--| switch 1 |--| ha cluster 1 |
+------------+ +----------+ +--------------+
\/ |
/\ |
+------------+ +----------+ +--------------+
lan 2 --| firewall 2 |--| switch 2 |--| ha cluster 2 |
+------------+ +----------+ +--------------+
3 ответа
Ваш брандмауэр работает на уровне 3 / 4 и, следовательно, не должен быть осведомлен о связующем дереве.
Если ваш основной узел в кластере высокой доступности выходит из строя, другой переходит в режим управления, и коммутатор выполняет переключение на узел.
Если ваш коммутатор выходит из строя, то при агрегации канала (аварийное переключение, а не lacp) трафик будет отправлен на второй коммутатор
Если ваш брандмауэр выходит из строя, другой захватит и отправит трафик на правильный коммутатор.
OpenBSD и FreeBSD справятся с этим без проблем. Они используют один и тот же IP-адрес в каждом сегменте ЛВС, аварийное переключение выполняется с помощью сеансов TCP/UDP /statefullness. Это прозрачно для коммутатора.
pfSense (на основе FreeBSD и pf, полностью Free) и Vyatta (на базе Linux, open core:/) могут делать это на стандартном оборудовании и даже на виртуальных машинах.