防火墻一般布置在邏輯區(qū)域的入口處，位于三層網(wǎng)絡(luò)架構(gòu)的核心和匯聚之間，起到隔離邏輯區(qū)域，為邏輯區(qū)域創(chuàng)建安全策略的作用。

上面就是應(yīng)用區(qū)的防火墻布置方式，他布置在應(yīng)用區(qū)，可以為應(yīng)用區(qū)的服務(wù)器創(chuàng)建安全策略，比如只能允許特定的ip的去訪問，或者應(yīng)用區(qū)只能訪問某些IP或IP段。

一般為了提高系統(tǒng)可靠性，防火墻采用主備部署，中間的HA為主備的心跳線進(jìn)行主備的協(xié)商和存活檢測。上面和下面的交換機(jī)都采用irf堆疊部署。

那么這時(shí)候交換機(jī)和防火墻一般是怎么配置的呢？我見過以下幾種玩法，和大家分享一下：

第一種 VRRP方式

防火墻是一個(gè)三層設(shè)備，三層地址是一個(gè)虛擬地址192.168.2.1。兩個(gè)防火墻通過心跳線協(xié)商來決定誰能擁有這個(gè)地址，這就決定了交換機(jī)抓發(fā)數(shù)據(jù)包的時(shí)候轉(zhuǎn)發(fā)給誰。比如協(xié)商成功后左面的是主，那么交換機(jī)抓發(fā)數(shù)據(jù)包的時(shí)候查找下一跳路由是192.168.2.1，左邊的防火墻就會回復(fù)ARP請求，讓交換機(jī)把數(shù)據(jù)都轉(zhuǎn)發(fā)給主。一旦主掛了，右面的防火墻變成主，承擔(dān)轉(zhuǎn)發(fā)流量的作用。

第二種方式 依靠路由進(jìn)行選路

防火墻全是二層，上下連都是二層口。核心和匯聚與防火墻連接的接口配置三層口。他們運(yùn)行OSPF，那么從核心上看進(jìn)入應(yīng)用區(qū)的路由就有兩條路徑，一個(gè)下一跳是192.168.1.2，一個(gè)是192.168.2.2。這時(shí)候我們可以把主防火墻這一側(cè)的路由的cost值調(diào)小一點(diǎn)，或者右邊調(diào)大點(diǎn)。這樣，根據(jù)路由選路的原則，流量就會選擇下一跳為192.168.1.2這條路徑。

第三種 負(fù)載模式

這時(shí)候兩個(gè)防火墻都轉(zhuǎn)發(fā)流量，就不是主備的關(guān)系了，而是雙活的關(guān)系。這時(shí)候防火墻的上下聯(lián)接口可以做鏈路捆綁，配置成二層接口

交換機(jī)側(cè)也做鏈路捆綁，三層通過SVI互聯(lián)，捆綁鏈路放行相應(yīng)vlan。那么匯聚交換機(jī)去往核心交換機(jī)的下一跳就是port-channel 1。Port-channel 1的成員接口有兩個(gè)，那么數(shù)據(jù)包就會根據(jù)五元組進(jìn)行hash發(fā)送到兩個(gè)防火墻上，每個(gè)防火墻都可以進(jìn)行轉(zhuǎn)發(fā)。