防火墙的桥接-创新互联

未部署防火墙前的拓扑:

为泰山等地区用户提供了全套网页设计制作服务,及泰山网站建设行业解决方案。主营业务为网站设计、做网站、泰山网站设计,以传统方式定制建设网站,并提供域名空间备案等一条龙服务,秉承以专业、用心的态度为用户提供真诚的服务。我们深信只要达到每一位用户的要求,就会得到认可,从而选择与我们长期合作。这样,我们也可以走得更远!

防火墙的桥接

部署防火墙后的拓扑:

防火墙的桥接

部署防火墙后,修改配置如下:

          删除VLAN21的地址,在核心交换机上新建VLAN2021,把原本定义在VLAN21上的地址放在VLAN2021上。使用TRUNK与飞塔防火墙相 连,TRUNK内包含VLAN2021和VLAN21。客户端通过此模式可以访问到服务器,并经过防火墙。

        报文流程:

       1、client->server,报文在交换机上路由,从vlan2021发出,报文在防火墙上更换vlan tag为21,返回,到达服务器。

       2、server->client,报文在交换机上交换,从vlan21发出,报文在防火墙上更换vlan tag为2021,返回,到达客户端。

         总结:

         飞塔防火墙的vlan桥接,可以不改变原来的拓扑,并将流量引流通过防火墙。查了其他家的资料,包括思科、h4c都不支持此功能。思科有vlan桥接,但是是针对非IP协议。这个功能可能最早是netscreen提出的。

       引申:一般交换机只有一个mac地址,交换机判断ARP/IP报文是否是本地报文,不是直接查看报文的目的mac地址,而是首先检查vlan是否具有IP地址,没有则交换;有则再判断mac地址是否到本地,ARP/IP报文是否本地处理。

另外有需要云服务器可以了解下创新互联scvps.cn,海内外云服务器15元起步,三天无理由+7*72小时售后在线,公司持有idc许可证,提供“云服务器、裸金属服务器、高防服务器、香港服务器、美国服务器、虚拟主机、免备案服务器”等云主机租用服务以及企业上云的综合解决方案,具有“安全稳定、简单易用、服务可用性高、性价比高”等特点与优势,专为企业上云打造定制,能够满足用户丰富、多元化的应用场景需求。


网站标题:防火墙的桥接-创新互联
文章分享:http://scyanting.com/article/cojscj.html