防火墙的桥接

未部署防火墙前的拓扑：

部署防火墙后的拓扑：

部署防火墙后，修改配置如下：

删除VLAN21的地址，在核心交换机上新建VLAN2021，把原本定义在VLAN21上的地址放在VLAN2021上。使用TRUNK与飞塔防火墙相 连，TRUNK内包含VLAN2021和VLAN21。客户端通过此模式可以访问到服务器，并经过防火墙。

报文流程：

1、client->server，报文在交换机上路由，从vlan2021发出，报文在防火墙上更换vlan tag为21，返回，到达服务器。

2、server->client，报文在交换机上交换，从vlan21发出，报文在防火墙上更换vlan tag为2021，返回，到达客户端。

总结：

飞塔防火墙的vlan桥接，可以不改变原来的拓扑，并将流量引流通过防火墙。查了其他家的资料，包括思科、h4c都不支持此功能。思科有vlan桥接，但是是针对非IP协议。这个功能可能最早是netscreen提出的。

引申：一般交换机只有一个mac地址，交换机判断ARP/IP报文是否是本地报文，不是直接查看报文的目的mac地址，而是首先检查vlan是否具有IP地址，没有则交换；有则再判断mac地址是否到本地，ARP/IP报文是否本地处理。