Embora eu esteja usando o kit da Cisco, isso não é realmente um design de rede mais geral relacionado à Cisco.
No passado, conectei conexões de internet diretamente a um switch de camada 3, 3750X, 6509 e H3C 12504. Conexão dupla com a Internet (do mesmo provedor ou diferente) para o comutador principal, que é uma porta de acesso para uma VLAN específica, digamos VLAN 900. Eu tenho meu par de firewalls HA conectado com a interface Externa ao comutador em um acesso porta também na VLAN 900. O firewall, é claro, terá as interfaces Inside e DMZ conectadas ao switch em suas respectivas VLANs.
Eu nunca tive um problema com isso e ninguém me questionou sobre isso no entanto, desde então, vem para questionar que isso não é seguro e muito melhor se eu entrar direto para o firewall. No entanto, meu problema aqui é que conectando todos os 4 cabos ao switch (2 conexões de internet e 1 interface externa de cada firewall) estou dando resiliência total a uma conexão à Internet ou à morte do firewall. Podemos adicionar mais resiliência adicionando outro switch de núcleo para que 1 firewall e 1 conexão de internet a um switch de núcleo e outro FW e conexão de internet ao outro switch de núcleo.
Para mim, isso é sensato, confiável e seguro. No entanto, ninguém aqui, ou no meu último emprego, conhecia redes suficientes para questionar isso, mas alguém acima de mim, que admite não ser uma pessoa da rede, está questionando e gostaria de uma resposta melhor do que eu posso dar. Então, em vez de ser otimista e manter o meu terreno, eu queria jogar isso no ar e perguntar se estou fazendo a coisa certa e ouvir outras perspectivas.
Obrigado pelo seu tempo
Tags internet networking firewall switch