[GTER] Sugestões - Performance de Roteamento e Switching

[Carlos Eduardo Veiga]

Boa noite!

Estou analisando uma situação atípica onde um firewall é o Core de rede de
um determinado ambiente.
Ele faz o roteamento entre as VLANs e está conectado inline a um ambiente
de IPS (IBM Proventia) para analisar este tráfego por questões de
segurança, e justamente por este motivo (análise do tráfego de LAN pelo
IPS) acaba sendo o Core da rede LAN, visto que não seria possível (a
priori) ligar o IPS no switch (a não ser que limitasse a função do
Proventia a IDS, sem opções de prevenção).
O firewall em questão executa o CheckPoint SPLAT, em hardware da HP
robusto, com 16 núcleos de CPU, 32GB RAM e 24 interfaces de rede com alguns
aggragations.

Gostaria de sugestões e observações baseadas na experiência dos colegas em
relação a alguns pontos dessa topologia:
- O firewall pode se tornar um gargalo no tráfego entre as VLANs (estaçoes
de trabalho com servidores por exemplo)?
- Existe alguma maneira de posicionar o IPS para que não perca
funcionalidades mas o tráfego entre as VLANs seja roteador por um switch
como Core (Cisco 4500 ou 6500 no caso)?
- Além da confiabilidade/resiliência, quais outros parâmetros poderiam
justificar a utilização de um switch como Core em substituição ao firewall
(cujo hardware é um servidor HP convencional)?

Importante notar que é pré-requisito do ambiente a análise do tráfego de
LAN pelo IPS, normalmente atípico... mas o IPS em questão possue throughput
de 8Gpbs assegurado por uma LAG que trafega o trunk de VLANs com o referido
firewall.

Agradeço imensamente a atenção!

Abraços,

Carlos