案例描述

在大型園區出口，核心交換機上行通過(guò)路由器訪(fǎng)問(wèn)外網(wǎng)。防火墻旁?huà)煊诤诵?a href='http://zh-luzhi.com/huawei/' target='_blank' title='交換機' >交換機，對業(yè)務(wù)流量提供安全過(guò)濾功能。核心交換機作為用戶(hù)網(wǎng)關(guān)，為用戶(hù)分配IP地址。具體組網(wǎng)要求如下：

?為了簡(jiǎn)化網(wǎng)絡(luò )并提高可靠性，核心層交換機通常部署集群。

?在防火墻上部署雙機熱備（主備模式），當其中一臺故障時(shí)，業(yè)務(wù)可以平滑切換到另一臺。

?核心交換機雙歸接入兩臺出口路由器，路由器之間部署VRRP確?？煽啃?。

?為提高鏈路可靠性，核心交換機與出口路由器之間，核心交換機與防火墻之間，兩臺防火墻之間均通過(guò)Eth-Trunk互連。

本案例中，匯聚層的兩臺交換機與核心交換機相連，對于核心層以下組網(wǎng)場(chǎng)景請參見(jiàn)園區內基礎網(wǎng)絡(luò )連通部署案例。

圖1 防火墻旁?huà)斓膱@區出口組網(wǎng)圖

在一般的三層轉發(fā)環(huán)境下，園區內外部之間的流量將直接通過(guò)交換機轉發(fā)，不會(huì )經(jīng)過(guò)FWA或FWB。當流量需要從交換機轉發(fā)至FW，經(jīng)FW檢測后再轉發(fā)回交換機，就需要在交換機上配置VRF功能，將交換機隔離成兩個(gè)相互獨立的虛擬交換機VRF-A和根交換機Public。

如圖2所示，Public作為連接出口路由器的交換機。對于下行流量，它將外網(wǎng)進(jìn)來(lái)的流量轉發(fā)給FW進(jìn)行檢測；對于上行流量，它接收經(jīng)FW檢測后的流量，并轉發(fā)到路由器。

VRF-A作為連接內網(wǎng)側的交換機。對于下行流量，它接收經(jīng)FW檢測后的流量，并轉發(fā)到內網(wǎng)；對于上行流量，它將內網(wǎng)的流量轉發(fā)到FW去檢測。

圖2 防火墻旁?huà)斓膱@區出口的物理接口連接示意圖