Posso mettere 2 firewall trasparenti in cluster senza loop?
Inviato: lun 04 gen , 2016 3:57 pm
Ciao,
ho una rete 10.0.8.0/25 GW10.0.8.122
Tra i client e il GW ho installato un firewall trasparente (bridge tra due interfacce di rete) usando pfsense come firewall.
Tutto funziona bene, ma vorrei mettere un secondo firewall in cluster evitando però di creare loop.
In pratica dovrebbe essere una cosa tipo;
SwitchClient1 -> BridgeFirewall1_IF_LAN | BridgeFirewall1_IF_WAN -> SwitchWAN1 -> IF_ethernet_Router
SwitchClient1 -> BridgeFirewall2_IF_LAN | BridgeFirewall2_IF_WAN -> SwitchWAN1 -> IF_ethernet_Router
La mia idea sarebbe quella di dare un peso alle porte dello SwitchClient1;
interface GigabitEthernet1/0/1
description Firewall - Primary Bridge
switchport access vlan 1
spanning-tree vlan 1 port-priority 64
no cdp enable
interface GigabitEthernet2/0/1
description Firewall - Secondary Bridge
switchport access vlan 1
spanning-tree vlan 1 cost 500
no cdp enable
Secondo voi sarebbe sufficiente lavorare di STP solo sulle due interfacce di SwitchClient1, o devo fare la stessa cosa anche per le 2 interfacce che devo usare su SwitchWAN1??? (spero di no perché switchWAN1 è unmanaged e mi toccherebbe quindi di cambiarlo
)
grazie per ogni suggerimento
ho una rete 10.0.8.0/25 GW10.0.8.122
Tra i client e il GW ho installato un firewall trasparente (bridge tra due interfacce di rete) usando pfsense come firewall.
Tutto funziona bene, ma vorrei mettere un secondo firewall in cluster evitando però di creare loop.
In pratica dovrebbe essere una cosa tipo;
SwitchClient1 -> BridgeFirewall1_IF_LAN | BridgeFirewall1_IF_WAN -> SwitchWAN1 -> IF_ethernet_Router
SwitchClient1 -> BridgeFirewall2_IF_LAN | BridgeFirewall2_IF_WAN -> SwitchWAN1 -> IF_ethernet_Router
La mia idea sarebbe quella di dare un peso alle porte dello SwitchClient1;
interface GigabitEthernet1/0/1
description Firewall - Primary Bridge
switchport access vlan 1
spanning-tree vlan 1 port-priority 64
no cdp enable
interface GigabitEthernet2/0/1
description Firewall - Secondary Bridge
switchport access vlan 1
spanning-tree vlan 1 cost 500
no cdp enable
Secondo voi sarebbe sufficiente lavorare di STP solo sulle due interfacce di SwitchClient1, o devo fare la stessa cosa anche per le 2 interfacce che devo usare su SwitchWAN1??? (spero di no perché switchWAN1 è unmanaged e mi toccherebbe quindi di cambiarlo
)grazie per ogni suggerimento