Cisco ASAs e FWSM série 65xx podem fazer isso.
Estou procurando um appliance de firewall que suporte alta disponibilidade e árvore de abrangência.
Eu tenho dois nós de ha-cluster e gostaria de protegê-los com um firewall. Para evitar um único ponto de falha, gostaria de ter dois firewalls habilitados para ha. E como também preciso de switches redundantes, o firewall deve suportar o protocolo spanning tree.
Minha configuração preferida:
+------------+ +----------+ +--------------+
lan 1 --| firewall 1 |--| switch 1 |--| ha cluster 1 |
+------------+ +----------+ +--------------+
\/ |
/\ |
+------------+ +----------+ +--------------+
lan 2 --| firewall 2 |--| switch 2 |--| ha cluster 2 |
+------------+ +----------+ +--------------+
O seu firewall está trabalhando na Camada 3/4 e, portanto, não deve estar ciente do spanning tree.
Se o seu nó principal em seu cluster de HA falhar, o outro assumirá e o switch fará a comutação para o nó.
Se o seu switch falhar, então com uma agregação de link (failover, não lacp), o tráfego será enviado para o segundo switch
Se o seu firewall falhar, o outro assumirá e enviará o tráfego para o switch correto.
O OpenBSD e o FreeBSD vão lidar com isso sem problemas. Eles compartilham um mesmo IP em cada segmento da LAN, o failover é feito com sessões TCP / UDP / statefullness. Isso é transparente para o switch.
O pfSense (baseado no FreeBSD e pf, totalmente Free) e o Vyatta (baseado no Linux, open core: /) podem fazer isso em hardware padrão e até mesmo em máquinas virtuais.