参考以下 Cisco SAFE 设计:http : //www.cisco.com/c/en/us/td/docs/solutions/Enterprise/Small_Enterprise_Design_Profile/SEDP/chap5.html#wp1058019
为什么要在防火墙前使用 L3 交换机?为什么不让防火墙做所有的路由,而是放置一个 L2 交换机呢?根据我的理解,防火墙无论如何都必须路由。在我看来,“菊花链”的路由设备太多了。
我指的是 Cisco SAFE,因为它代表了我经常看到的那种设计。
谢谢!
您当然可以使用 L2 交换机,它可能会正常工作。但以下是 L3 交换机可能是更好选择的几个原因:
您可能希望将服务器隔离到不同的 VLAN 中,以简化访问控制、应用 QoS、限制故障域等。L3 交换机将使这变得更加容易。
虽然防火墙可以运行路由协议,但它们的性能似乎不如路由器,除非是最简单的情况。
路由器上的网络管理功能通常比防火墙更成熟。
在许多组织中,防火墙由安全团队管理(一个坏主意,IMO),因此如果需要更改路由,他们需要参与。如果网络路由由单个管理组控制会更好。
在您提供的简单图表中,需要做出的路由决策并不多(只有一个数据路径),因此静态路由可能就足够了。但是如果您开始添加具有冗余路径的冗余交换机,那么您需要能够检测和响应拓扑变化的设备——即运行路由协议。除非网络非常大,否则“菊花链”路由器不会引起问题。