Сценарий: одно подключение к Интернету с необходимостью брандмауэра очень большого количества пакетов в секунду без необходимости инвестировать в дорогостоящие аппаратные брандмауэры. У меня нет определенного количества очков в секунду, но мне нужно поддерживать их как можно больше. Поэтому я пытаюсь определить, есть ли какие-либо масштабируемые методы для достижения этой цели. Мне не нужна государственная проверка.
Мысль: можно ли будет завершить подключение к Интернету в коммутаторе, а затем в том же самом коммутаторе, например, 2, 3 или 4 порта, чтобы перейти на другой коммутатор. Есть ли между двумя коммутаторами отдельный сервер межсетевого экрана, на котором выполняется iptables без сохранения состояния на каждом из 2, 3 или 4 соединений? Задача состояла в том, чтобы сбалансировать нагрузку большого количества пакетов в секунду на разных серверах межсетевого экрана. Типа активный / активный / активный кластер iptables.
Кто-нибудь знает, возможно ли это и потребуется ли что-то конкретное? Я не могу найти ничего похожего при поиске в Google. Я предполагаю, что серверы брандмауэра должны быть каким-то образом полностью прозрачными, чтобы два коммутатора думали, что они обмениваются трафиком напрямую по единому связанному / агрегированному / объединенному каналу?
Вам придется настроить порты коммутатора на «дамп» агрегации (без LACP или другого протокола управления). В окне Linux вам понадобится ebtables для фильтрации трафика.
Имейте в виду, что распределение трафика между портами коммутатора в группе портов зависит от алгоритма хеширования, используемого коммутатором. Например, Cisco может распределять трафик по смеси IP src / dst, если настроена для этого. Juniper использует информацию L4 (порты) там, где она доступна по умолчанию.
Я не знаю, чтобы кто-нибудь использовал такую установку, так что это будет первым. ;)
Еще одна вещь, о которой следует подумать: я не знаю, что вам нужно для межсетевого экрана, но, если возможно, попробуйте использовать ACL на маршрутизаторе, если маршрутизатор поддерживает аппаратные ACL. Кремний на маршрутизаторе, вероятно, намного мощнее любого Linux-устройства.