我正在寻找支持高可用性和生成树的防火墙设备。
我有两个 ha-cluster 节点,我想用防火墙保护它们。为了避免单点故障,我想有两个支持 ha 的防火墙。而且由于我也需要冗余交换机,所以防火墙必须支持生成树协议。
我喜欢的设置:
+------------+ +----------+ +--------------+
lan 1 --| firewall 1 |--| switch 1 |--| ha cluster 1 |
+------------+ +----------+ +--------------+
\/ |
/\ |
+------------+ +----------+ +--------------+
lan 2 --| firewall 2 |--| switch 2 |--| ha cluster 2 |
+------------+ +----------+ +--------------+
答案1
Cisco ASA 和 65xx 系列 FWSM 可以做到这一点。
答案2
您的防火墙在第 3/4 层工作,因此不应该具备生成树意识。
如果 HA 集群中的主节点发生故障,则另一个节点将接管,并且交换机将切换到该节点。
如果您的交换机发生故障,则通过链路聚合(故障转移,而不是 LACP),流量将被发送到第二台交换机
如果您的防火墙出现故障,另一个防火墙将接管并将流量发送到正确的交换机。
OpenBSD 和 FreeBSD 可以毫无问题地处理这个问题。它们在每个 LAN 段上共享同一个 IP,故障转移通过 TCP/UDP 会话/状态完成。这对交换机来说是透明的。
答案3
pfSense(基于 FreeBSD 和 pf,完全免费)和 Vyatta(基于 Linux,开放核心 :/ )可以在标准硬件甚至虚拟机上做到这一点。