案例描述

在大型園區出口，核心交換機上行通過路由器訪問外網。防火墻旁掛于核心交換機，對業務流量提供安全過濾功能。核心交換機作為用戶網關，為用戶分配IP地址。具體組網要求如下：

?為了簡化網絡并提高可靠性，核心層交換機通常部署集群。

?在防火墻上部署雙機熱備（主備模式），當其中一臺故障時，業務可以平滑切換到另一臺。

?核心交換機雙歸接入兩臺出口路由器，路由器之間部署VRRP確?？煽啃浴?/span>

?為提高鏈路可靠性，核心交換機與出口路由器之間，核心交換機與防火墻之間，兩臺防火墻之間均通過Eth-Trunk互連。

本案例中，匯聚層的兩臺交換機與核心交換機相連，對于核心層以下組網場景請參見園區內基礎網絡連通部署案例。

圖1 防火墻旁掛的園區出口組網圖

在一般的三層轉發環境下，園區內外部之間的流量將直接通過交換機轉發，不會經過FWA或FWB。當流量需要從交換機轉發至FW，經FW檢測后再轉發回交換機，就需要在交換機上配置VRF功能，將交換機隔離成兩個相互獨立的虛擬交換機VRF-A和根交換機Public。

如圖2所示，Public作為連接出口路由器的交換機。對于下行流量，它將外網進來的流量轉發給FW進行檢測；對于上行流量，它接收經FW檢測后的流量，并轉發到路由器。

VRF-A作為連接內網側的交換機。對于下行流量，它接收經FW檢測后的流量，并轉發到內網；對于上行流量，它將內網的流量轉發到FW去檢測。

圖2 防火墻旁掛的園區出口的物理接口連接示意圖