Firewall que suporta HighAvailability e Spanning Tree

2

Estou procurando um appliance de firewall que suporte alta disponibilidade e árvore de abrangência.

Eu tenho dois nós de ha-cluster e gostaria de protegê-los com um firewall. Para evitar um único ponto de falha, gostaria de ter dois firewalls habilitados para ha. E como também preciso de switches redundantes, o firewall deve suportar o protocolo spanning tree.

Minha configuração preferida:

        +------------+  +----------+  +--------------+
lan 1 --| firewall 1 |--| switch 1 |--| ha cluster 1 |
        +------------+  +----------+  +--------------+
                      \/     |
                      /\     |
        +------------+  +----------+  +--------------+
lan 2 --| firewall 2 |--| switch 2 |--| ha cluster 2 |
        +------------+  +----------+  +--------------+
    
por chris 17.11.2010 / 14:51

3 respostas

1

Cisco ASAs e FWSM série 65xx podem fazer isso.

    
por 17.11.2010 / 14:58
1

O seu firewall está trabalhando na Camada 3/4 e, portanto, não deve estar ciente do spanning tree.

  • Se o seu nó principal em seu cluster de HA falhar, o outro assumirá e o switch fará a comutação para o nó.

  • Se o seu switch falhar, então com uma agregação de link (failover, não lacp), o tráfego será enviado para o segundo switch

  • Se o seu firewall falhar, o outro assumirá e enviará o tráfego para o switch correto.

O OpenBSD e o FreeBSD vão lidar com isso sem problemas. Eles compartilham um mesmo IP em cada segmento da LAN, o failover é feito com sessões TCP / UDP / statefullness. Isso é transparente para o switch.

    
por 25.07.2012 / 16:40
0

O pfSense (baseado no FreeBSD e pf, totalmente Free) e o Vyatta (baseado no Linux, open core: /) podem fazer isso em hardware padrão e até mesmo em máquinas virtuais.

    
por 25.07.2012 / 16:26