Я ищу брандмауэр, поддерживающий высокую доступность и связующее дерево.
У меня есть два узла ha-cluster, и я хочу защитить их брандмауэром. Чтобы избежать единой точки отказа, я хотел бы иметь два межсетевых экрана с поддержкой ha. И поскольку мне тоже нужны резервные коммутаторы, брандмауэр должен поддерживать протокол связующего дерева.
Моя предпочтительная установка:
+------------+ +----------+ +--------------+
lan 1 --| firewall 1 |--| switch 1 |--| ha cluster 1 |
+------------+ +----------+ +--------------+
\/ |
/\ |
+------------+ +----------+ +--------------+
lan 2 --| firewall 2 |--| switch 2 |--| ha cluster 2 |
+------------+ +----------+ +--------------+
Ваш брандмауэр работает на уровне 3/4 и поэтому не должен поддерживать связующее дерево.
Если ваш основной узел в вашем кластере высокой доступности выйдет из строя, второй перейдет на другой, и коммутатор выполнит переключение на этот узел.
Если ваш коммутатор выходит из строя, то с агрегацией ссылок (аварийное переключение, не lacp) трафик будет отправлен на второй коммутатор.
Если ваш брандмауэр выйдет из строя, другой возьмет на себя управление и отправит трафик на правильный коммутатор.
OpenBSD и FreeBSD справятся с этим без проблем. Они используют один и тот же IP-адрес в каждом сегменте локальной сети, аварийное переключение выполняется с помощью сеансов TCP / UDP / сохранения состояния. Это прозрачно для коммутатора.
Cisco ASA и FWSM серии 65xx могут это сделать.
pfSense (на основе FreeBSD и pf, полностью бесплатно) и Vyatta (на основе Linux, открытое ядро: /) могут делать это на стандартном оборудовании и даже на виртуальных машинах.