场景:一个互联网连接需要防火墙处理大量的pps,而不必投资昂贵的硬件防火墙。我没有特定的pps目标,但我需要尽可能地支持。因此,我试图确定是否有任何可扩展的方法来实现这一点。我不需要状态检查。
想法:是否可以在交换机中终止互联网连接,然后在同一交换机中聚合(例如 2、3 或 4 个端口)以转到另一个交换机。在两个交换机之间,然后在 2、3 或 4 个连接上分别运行无状态 iptables 的单独防火墙服务器?目标是在不同的防火墙服务器上对大量 pps 进行负载平衡。有点像主动/主动/主动 iptables 集群。
有人知道这是否可行,是否需要任何具体的东西吗?我在谷歌上搜索时似乎找不到任何类似的东西。我假设防火墙服务器必须以某种方式完全透明,以便两个交换机认为它们正在通过单个绑定/聚合/组合链路直接交换流量?
答案1
您必须将交换机端口设置为“转储”聚合(无 LACP 或其他控制协议)。在 Linux 机器上,您需要ebtables过滤流量。
请注意,端口组中交换机端口之间的流量分配取决于交换机使用的哈希算法。例如,如果配置为这样做,Cisco 可以在源/目标 IP 组合上分配流量。默认情况下,Juniper 使用可用的 L4 信息(端口)。
我不知道有人使用这样的设置,所以这将是第一次。;)
还有一件事需要考虑:我不知道您的防火墙“需求”是什么,但如果可能的话,如果路由器支持硬件 ACL,请尝试在路由器上使用 ACL。路由器上的硅片可能比任何 Linux 机器都强大得多。