Архитектура PfSense для центра обработки данных малого бизнеса

Question 1

Проект заключается в размещении структуры малого центра обработки данных (локально для целей разработки и хостинга (WebServer)) за межсетевыми экранами PFsense. Мы получили несколько HP DL360 G5, готовых к использованию для этого, поэтому впереди структуру проекта, которую я намереваюсь построить:

Модем / маршрутизатор интернет-провайдера
[ 118] Брандмауэр Pfsense: 3x Pfsense для основного использования безопасности + 3 Зеркальное отображение основных брандмауэров PFsense с помощью Fail.
Структура постоянного тока Ubuntu MaaS (включая Juju и т. Д.) : 1x контроллер области + 2 контроллера стойки для 2-х отдельных серверных блоков Rack.

Мой план - создать несколько брандмауэров с помощью PFsense. Я надеюсь, что логическая архитектура верна:

                              Provider Router/Modem
                                         |
            PFs1---------------------------------------------------PFs1m
             |                                                        |
            PFs2---------------------------------------------------PFs2m  
             |                                                        |
            PFs3---------------------------------------------------PFs3m
                                         |
                              MaaS Region Controller
                                         /\
                                        /  \
                                       /    \
    MaaS Rack Controller---------------      -----------------MaaS Rack Controller  
      /           \                                            /          \
    Nodes         Nodes                                      Nodes        Nodes

Легенда:
PFs {number} = PFsense
PFs {number} m = PFsense (зеркало для HA) [ 1111]

Можно ли использовать несколько брандмауэров PFsense для «повышения» безопасности с большим количеством брандмауэров? Как это сделать?

Question 2

Ответ на этот вопрос ДА, Вы можете!

CARP является Лучшим Методом для этого использования.

Можно настроить столько Брандмауэров, сколько Вы хотите. Все, что Вы собираетесь сделать, Зеркально отражает первый Брандмауэр как клон. Пример: Вы получаете 3 Брандмауэра (FW1, FW2, FW3)

FW1 является основным 0
FW2 является клоном 1
FW3 является клоном 2

Итак, если:
1: FW1 произошел->, FW2 произошел->, FW3 произошел =, FW1 работает (FW2 + FW3 как клон)
2: FW1 снижается->, FW2 произошел->, FW3 произошел =, FW2 работает (FW3 как клон)
3: FW1 снижается->, FW2 снижается->, FW3 произошел =, FW3 работает (никакой клон)
4: FW1 произошел->, FW2 ВНИЗ/->, FW3 ВНИЗ / =, FW1 работает (FW2 + FW3 как клон).
.
.
и так далее.

Поиск вокруг CARP+PFSense+Ubuntu также на форумах PFSense вокруг.

Gianni · Accepted Answer · 8 December 2019 в 04:05