案例描述

在大型園區(qū)出口，核心交換機(jī)上行通過(guò)路由器訪(fǎng)問(wèn)外網(wǎng),。防火墻旁?huà)煊诤诵?a href='http://yunseas.com/huawei/' target='_blank' title='交換機(jī)' >交換機(jī),，對(duì)業(yè)務(wù)流量提供安全過(guò)濾功能。核心交換機(jī)作為用戶(hù)網(wǎng)關(guān),，為用戶(hù)分配IP地址,。具體組網(wǎng)要求如下：

?為了簡(jiǎn)化網(wǎng)絡(luò)并提高可靠性，核心層交換機(jī)通常部署集群,。

?在防火墻上部署雙機(jī)熱備（主備模式）,，當(dāng)其中一臺(tái)故障時(shí)，業(yè)務(wù)可以平滑切換到另一臺(tái),。

?核心交換機(jī)雙歸接入兩臺(tái)出口路由器,，路由器之間部署VRRP確?？煽啃?。

?為提高鏈路可靠性,，核心交換機(jī)與出口路由器之間，核心交換機(jī)與防火墻之間,，兩臺(tái)防火墻之間均通過(guò)Eth-Trunk互連,。

本案例中，匯聚層的兩臺(tái)交換機(jī)與核心交換機(jī)相連,，對(duì)于核心層以下組網(wǎng)場(chǎng)景請(qǐng)參見(jiàn)園區(qū)內(nèi)基礎(chǔ)網(wǎng)絡(luò)連通部署案例,。

圖1 防火墻旁?huà)斓膱@區(qū)出口組網(wǎng)圖

在一般的三層轉(zhuǎn)發(fā)環(huán)境下，園區(qū)內(nèi)外部之間的流量將直接通過(guò)交換機(jī)轉(zhuǎn)發(fā),，不會(huì)經(jīng)過(guò)FWA或FWB,。當(dāng)流量需要從交換機(jī)轉(zhuǎn)發(fā)至FW，經(jīng)FW檢測(cè)后再轉(zhuǎn)發(fā)回交換機(jī),，就需要在交換機(jī)上配置VRF功能,，將交換機(jī)隔離成兩個(gè)相互獨(dú)立的虛擬交換機(jī)VRF-A和根交換機(jī)Public。

如圖2所示,，Public作為連接出口路由器的交換機(jī),。對(duì)于下行流量，它將外網(wǎng)進(jìn)來(lái)的流量轉(zhuǎn)發(fā)給FW進(jìn)行檢測(cè),；對(duì)于上行流量,，它接收經(jīng)FW檢測(cè)后的流量，并轉(zhuǎn)發(fā)到路由器,。

VRF-A作為連接內(nèi)網(wǎng)側(cè)的交換機(jī),。對(duì)于下行流量，它接收經(jīng)FW檢測(cè)后的流量,，并轉(zhuǎn)發(fā)到內(nèi)網(wǎng),；對(duì)于上行流量，它將內(nèi)網(wǎng)的流量轉(zhuǎn)發(fā)到FW去檢測(cè),。

圖2 防火墻旁?huà)斓膱@區(qū)出口的物理接口連接示意圖