千家信息网

防火墙的桥接

发表于:2024-11-24 作者:千家信息网编辑
千家信息网最后更新 2024年11月24日,未部署防火墙前的拓扑:部署防火墙后的拓扑:部署防火墙后,修改配置如下:删除VLAN21的地址,在核心交换机上新建VLAN2021,把原本定义在VLAN21上的地址放在VLAN2021上。使用TRUNK
千家信息网最后更新 2024年11月24日防火墙的桥接

未部署防火墙前的拓扑:

部署防火墙后的拓扑:

部署防火墙后,修改配置如下:

删除VLAN21的地址,在核心交换机上新建VLAN2021,把原本定义在VLAN21上的地址放在VLAN2021上。使用TRUNK与飞塔防火墙相 连,TRUNK内包含VLAN2021和VLAN21。客户端通过此模式可以访问到服务器,并经过防火墙。

报文流程:

1、client->server,报文在交换机上路由,从vlan2021发出,报文在防火墙上更换vlan tag为21,返回,到达服务器。

2、server->client,报文在交换机上交换,从vlan21发出,报文在防火墙上更换vlan tag为2021,返回,到达客户端。

总结:

飞塔防火墙的vlan桥接,可以不改变原来的拓扑,并将流量引流通过防火墙。查了其他家的资料,包括思科、h4c都不支持此功能。思科有vlan桥接,但是是针对非IP协议。这个功能可能最早是netscreen提出的。

引申:一般交换机只有一个mac地址,交换机判断ARP/IP报文是否是本地报文,不是直接查看报文的目的mac地址,而是首先检查vlan是否具有IP地址,没有则交换;有则再判断mac地址是否到本地,ARP/IP报文是否本地处理。


0