防火墙的桥接

未部署防火墙前的拓扑：

成都创新互联专业为企业提供桥东网站建设、桥东做网站、桥东网站设计、桥东网站制作等企业网站建设、网页设计与制作、桥东企业网站模板建站服务，10余年桥东做网站经验，不只是建网站，更提供有价值的思路和整体网络服务。

部署防火墙后的拓扑：

部署防火墙后，修改配置如下：

          删除VLAN21的地址，在核心交换机上新建VLAN2021，把原本定义在VLAN21上的地址放在VLAN2021上。使用TRUNK与飞塔防火墙相 连，TRUNK内包含VLAN2021和VLAN21。客户端通过此模式可以访问到服务器，并经过防火墙。

         报文流程：

        1、client->server，报文在交换机上路由，从vlan2021发出，报文在防火墙上更换vlan tag为21，返回，到达服务器。

        2、server->client，报文在交换机上交换，从vlan21发出，报文在防火墙上更换vlan tag为2021，返回，到达客户端。

          总结：

          飞塔防火墙的vlan桥接，可以不改变原来的拓扑，并将流量引流通过防火墙。查了其他家的资料，包括思科、h4c都不支持此功能。思科有vlan桥接，但是是针对非IP协议。这个功能可能最早是netscreen提出的。

           引申：一般交换机只有一个mac地址，交换机判断ARP/IP报文是否是本地报文，不是直接查看报文的目的mac地址，而是首先检查vlan是否具有IP地址，没有则交换；有则再判断mac地址是否到本地，ARP/IP报文是否本地处理。