我正在研究 Palo-Alto 850 防火墙的配置。目前,我们的设施中有 4 个 ISP 路由器(1 个 MPLS/光纤、1 个电缆和 2 个 DSL)。我们希望将它们连接到 L3 交换机,以便我们可以设置 vLan,并从那里将光纤连接到我们的 PA-850 HA 集。是否可以在 PA 上创建 4 个虚拟路由器,并为每个路由器分配一条到特定 vLan/ISP 路由器的路由。
我研究过 PA 文档,它列出了最多 2 个连接的多 ISP 选项,但专门配置为连接故障转移,而不仅仅是根据源/目标 vLans 分离流量。
答案1
虽然我不熟悉特定的 Palo Alto,但我想说您可以在 PANOS 中创建任意数量的虚拟路由器,但您需要进行大量配置工作才能让它们正确地将流量路由到 WAN 链路。虚拟路由器本质上是独立的,因此如果您的链路用于特定目的,则不会太难。还要查看您是否可以获得与 ISP 路由器配合使用的路由协议,如果您可以从 ISP 路由器获得路由广告,那么这会容易得多,也更简洁。
还请记住 PA-850 的带宽限制,这样您就不会要求它们处理超出其能力的流量。PA 的估算相当保守,其评级是“开启所有安全功能”,但仍然要记住这一点。