Хотя я использую комплект Cisco, это на самом деле не связано с Cisco, это более общий дизайн сети.
Раньше я подключал Интернет-соединения прямо к коммутатору уровня 3, 3750X, 6509 и H3C 12504. Двойное подключение к Интернету (один и тот же провайдер или другой) к базовому коммутатору, который является портом доступа для конкретной VLAN, скажем, VLAN 900. Затем у меня есть пара межсетевых экранов высокой доступности, подключенных к внешнему интерфейсу к коммутатору при доступе. порт также в VLAN 900. Конечно, межсетевой экран будет иметь интерфейсы Inside и DMZ, подключенные к коммутатору в их соответствующих VLAN.
У меня никогда не было проблем с этим, и никто не спрашивал меня об этом, однако с тех пор возник вопрос, что это небезопасно и гораздо лучше, если я подключусь прямо к брандмауэру. Однако моя проблема здесь в том, что, подключив все 4 кабеля к коммутатору (2 x интернет-соединения и 1 внешний интерфейс от каждого брандмауэра), я обеспечиваю полную отказоустойчивость к выходу из строя интернет-соединения или брандмауэра. Мы можем повысить отказоустойчивость, добавив еще один базовый коммутатор: 1 брандмауэр и 1 подключение к Интернету к одному коммутатору ядра, а другое FW и подключение к Интернету - к другому коммутатору ядра.
Для меня это разумно, надежно и безопасно. Однако никто здесь или на моей последней работе не знал сетей достаточно, чтобы ставить под сомнение это, но кто-то выше меня, который признает, что не является сетевым человеком, задается вопросом и хотел бы получить лучший ответ, чем то, что я могу дать. Так что вместо того, чтобы быть оптимистичным и стоять на своем, я хотел подбросить это в воздух и спросить, правильно ли я поступаю, и услышать другие точки зрения.
Спасибо за уделенное время