1.通过PBR,将相应的流量抓出来,然后设置相应的next-hop,就可以把流量扔到防火墙上,注意返回的流量也需要设置pbr,用来保证数据来回路径是一致的。缺点:基于你的环境,配置量有点多,且得双向应用,很麻烦。
2.通过VRF进行隔离,使防火墙两个接口属于不同的VRF,这个种配置方式基本上不会有干扰,但需要设备支持,模拟器基本没戏。
3.搭配nat,设置一个额外的地址池,将池子的IP指向其中一个接口,根据路由指向接口的不同,配置trust-unstrust或者untrust-trust方向的nat(如果将池子指向了untrust接口,那么从就将内部出来的流量转换成池子里面的IP即可,稍稍有点绕,自己捋一下吧),配和nat,可以实现流量穿墙,另外注意路由的问题,以前面将地址池指向untrust为例,外部的主机不能有内部的路由,否则就完蛋了,因为你编址和拓扑设计的问题,并没有将内外两个的三层真实隔离出来,倘若路由写的有问题,那流量一样不会过墙的。
如果单纯想隔离可以直接搞串接,三层连接或者透明墙都可以。但看拓扑来说,不知道你这意图是什么,边界不清晰,数据流也未知。
好了,仅供参考吧!
