- 三层组网架构
- 核心层通常为高端框式交换机,可以独立部署也堆叠部署(一般是采用独立部署,考虑堆叠有裂开的风险,核心之间只和汇聚有互联,核心之间无互联)
- 汇聚和接入层一般采用堆叠破除环路,汇聚和核心之间采用三层链路互联,用OSPF协议交换路由。
- 防火墙采用旁挂的方式,在汇聚交换机上划分VRF分离不同的“等保”汇聚交换机上的VRF和防火墙上对应的安全区域互联,达到流量控制 的目的。
物理连接如下 :
汇聚层,接入层,防火墙通常是双机或者堆叠,可以将上图重新绘制成如下 ;
相同安全级别的业务无需经过防火墙(单一等保),也就是汇聚下方的所有业务可以直接互相访问。
内部路由逻辑如下 :
将防火墙放置在全局路由和VRF 之间,一个“单一等保”级别的,化旁路为串联的流量图就完成了
2个等保级别,就要求了2个等保级别内的业务在互访时,流量需要经过防火墙,这里一个等保对应一个VRF ,不同等保级别的流量要放在不同的VRF 。
如果是2个等保级别之间的业务互联,流量必须经过防火墙,在画双等保逻辑流量的时候,仍然把双机结构画成单机结构 ,防火墙和汇聚之间需要3条线,总之,汇聚下有N个等保,汇聚和防火墙之间就画N+1 条线。
