主备模式防火墙在网络里的布置方式 _主备模式防火墙

防火墙一般布置在逻辑区域的入口处，位于三层网络架构的核心和汇聚之间，起到隔离逻辑区域，为逻辑区域创建安全策略的作用。

文章插图

上面就是应用区的防火墙布置方式，他布置在应用区，可以为应用区的服务器创建安全策略，比如只能允许特定的ip的去访问，或者应用区只能访问某些IP或IP段。
一般为了提高系统可靠性，防火墙采用主备部署，中间的HA为主备的心跳线进行主备的协商和存活检测。上面和下面的交换机都采用irf堆叠部署。
那么这时候交换机和防火墙一般是怎么配置的呢？我见过以下几种玩法，和大家分享一下：
第一种 VRRP方式

文章插图

防火墙是一个三层设备，三层地址是一个虚拟地址192.168.2.1 。两个防火墙通过心跳线协商来决定谁能拥有这个地址，这就决定了交换机抓发数据包的时候转发给谁。比如协商成功后左面的是主，那么交换机抓发数据包的时候查找下一跳路由是192.168.2.1 ，左边的防火墙就会回复ARP请求，让交换机把数据都转发给主。一旦主挂了，右面的防火墙变成主，承担转发流量的作用。
第二种方式依靠路由进行选路

文章插图

防火墙全是二层，上下连都是二层口。核心和汇聚与防火墙连接的接口配置三层口。他们运行OSPF ，那么从核心上看进入应用区的路由就有两条路径，一个下一跳是192.168.1.2 ，一个是192.168.2.2 。这时候我们可以把主防火墙这一侧的路由的cost值调小一点，或者右边调大点。这样，根据路由选路的原则，流量就会选择下一跳为192.168.1.2这条路径。
第三种负载模式
【主备模式防火墙在网络里的布置方式】这时候两个防火墙都转发流量，就不是主备的关系了，而是双活的关系。这时候防火墙的上下联接口可以做链路捆绑，配置成二层接口