未部署防火墙前的拓扑:

部署防火墙后的拓扑:

部署防火墙后,修改配置如下:

         报文流程:

        1、client->server,报文在交换机上路由,从vlan2021发出,报文在防火墙上更换vlan tag为21,返回,到达服务器。

        2、server->client,报文在交换机上交换,从vlan21发出,报文在防火墙上更换vlan tag为2021,返回,到达客户端。

          总结:

          飞塔防火墙的vlan桥接,可以不改变原来的拓扑,并将流量引流通过防火墙。查了其他家的资料,包括思科、h3c都不支持此功能。思科有vlan桥接,但是是针对非IP协议。这个功能可能最早是netscreen提出的。