Создание брандмауэра сети, работающего на канальном уровне (OSI Layer 2): 1. Возможно создание файрвола как на основе сервера с OS Linux, так и на основе Cisco ASA - идеология и принцип работы одинаковый. 2. Вся коммутация происходит на одном свиче Cisco Catalyst благодаря тому, что номера VLAN одних и тех же сетей на нижнем и верхнем периметре файрвола разные. Трафик из сетей находящихся ниже файрвола ни как не сможет попасть на маршрутизатор минуя фильтрацию на файрволе и перебивку тега VLAN. 3. Возможна организация файрвола вообще без IP-адреса, без Layer 3 интерфейсов. Благодаря этому на файрвол невозможно будет попасть из сети. Данная схема проверена и работает. На подобной схеме есть опыт обслуживания около 200 пользователей: весь трафик между подсетями пользователей и Интернетом проходит через Linux-файрвол и нет ни каких нареканий по поводу производительности.