案例描述

在大型園區(qū)出口，核心交換機(jī)上行通過路由器訪問外網(wǎng)。防火墻旁掛于核心交換機(jī)，對(duì)業(yè)務(wù)流量提供安全過濾功能。核心交換機(jī)作為用戶網(wǎng)關(guān)，為用戶分配IP地址。具體組網(wǎng)要求如下：

?為了簡化網(wǎng)絡(luò)并提高可靠性，核心層交換機(jī)通常部署集群。

?在防火墻上部署雙機(jī)熱備（主備模式），當(dāng)其中一臺(tái)故障時(shí)，業(yè)務(wù)可以平滑切換到另一臺(tái)。

?核心交換機(jī)雙歸接入兩臺(tái)出口路由器，路由器之間部署VRRP確保可靠性。

?為提高鏈路可靠性，核心交換機(jī)與出口路由器之間，核心交換機(jī)與防火墻之間，兩臺(tái)防火墻之間均通過Eth-Trunk互連。

本案例中，匯聚層的兩臺(tái)交換機(jī)與核心交換機(jī)相連，對(duì)于核心層以下組網(wǎng)場景請(qǐng)參見園區(qū)內(nèi)基礎(chǔ)網(wǎng)絡(luò)連通部署案例。

圖1 防火墻旁掛的園區(qū)出口組網(wǎng)圖

在一般的三層轉(zhuǎn)發(fā)環(huán)境下，園區(qū)內(nèi)外部之間的流量將直接通過交換機(jī)轉(zhuǎn)發(fā)，不會(huì)經(jīng)過FWA或FWB。當(dāng)流量需要從交換機(jī)轉(zhuǎn)發(fā)至FW，經(jīng)FW檢測后再轉(zhuǎn)發(fā)回交換機(jī)，就需要在交換機(jī)上配置VRF功能，將交換機(jī)隔離成兩個(gè)相互獨(dú)立的虛擬交換機(jī)VRF-A和根交換機(jī)Public。

如圖2所示，Public作為連接出口路由器的交換機(jī)。對(duì)于下行流量，它將外網(wǎng)進(jìn)來的流量轉(zhuǎn)發(fā)給FW進(jìn)行檢測；對(duì)于上行流量，它接收經(jīng)FW檢測后的流量，并轉(zhuǎn)發(fā)到路由器。

VRF-A作為連接內(nèi)網(wǎng)側(cè)的交換機(jī)。對(duì)于下行流量，它接收經(jīng)FW檢測后的流量，并轉(zhuǎn)發(fā)到內(nèi)網(wǎng)；對(duì)于上行流量，它將內(nèi)網(wǎng)的流量轉(zhuǎn)發(fā)到FW去檢測。

圖2 防火墻旁掛的園區(qū)出口的物理接口連接示意圖