未部署防火墙前的拓扑:部署防火墙后的拓扑:部署防火墙后,修改配置如下: 删除VLAN21的地址,在核心交换机上新建VLAN2021,把原本定义在VLAN21上的地址放在VLAN2021上。使用TRUN
.
未部署防火墙前的拓扑:
部署防火墙后的拓扑:
部署防火墙后,修改配置如下:
删除VLAN21的地址,在核心交换机上新建VLAN2021,把原本定义在VLAN21上的地址放在VLAN2021上。使用TRUNK与飞塔防火墙相连,TRUNK内包含VLAN2021和VLAN21。客户端通过此模式可以访问到服务器,并经过防火墙。
报文流程:
1、client->server,报文在交换机上路由,从vlan2021发出,报文在防火墙上更换vlan tag为21,返回,到达服务器。
2、server->client,报文在交换机上交换,从vlan21发出,报文在防火墙上更换vlan tag为2021,返回,到达客户端。
总结:
飞塔防火墙的vlan桥接,可以不改变原来的拓扑,并将流量引流通过防火墙。查了其他家的资料,包括思科、h3c都不支持此功能。思科有vlan桥接,但是是针对非IP协议。这个功能可能最早是netscreen提出的。
引申:一般交换机只有一个mac地址,交换机判断ARP/IP报文是否是本地报文,不是直接查看报文的目的mac地址,而是首先检查vlan是否具有IP地址,没有则交换;有则再判断mac地址是否到本地,ARP/IP报文是否本地处理。
