虽然我使用的是思科套件,但这实际上与思科无关,而是更通用的网络设计。
过去,我曾将互联网连接直接连接到第 3 层核心交换机、3750X、6509 和 H3C 12504。双互联网连接(相同或不同的提供商)进入核心交换机,它是特定 VLAN(假设为 VLAN 900)的访问端口。然后,我将 HA 防火墙对与外部接口连接到交换机上的访问端口,该端口也位于 VLAN 900 上。防火墙当然会将内部和 DMZ 接口连接到其各自 VLAN 中的交换机。
我从来没有遇到过这个问题,也没有人就此向我提出质疑,但后来有人质疑这样做不安全,如果我直接连接到防火墙会更好。但是,我的问题是,通过将所有 4 根电缆连接到交换机(2 个互联网连接和每个防火墙的 1 个外部接口),我为互联网连接或防火墙故障提供了完全的弹性。我们可以通过添加另一个核心交换机来增加更多的弹性,因此 1 个防火墙和 1 个互联网连接到一个核心交换机,另一个 FW 和互联网连接到另一个核心交换机。
对我来说,这是明智、可靠和安全的。然而,这里或我上一份工作中没有人对网络有足够的了解,因此不会质疑这一点,但我的上级(他承认自己不是网络专家)正在质疑,并希望得到比我能给出的更好的答案。因此,与其坚持自己的立场,不如把这个问题抛到一边,问问自己是否做得对,并听听其他人的看法。
感谢您的时间