<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

 

 

1,  以前提供的参考方案采用的是HSRP和浮动静态路由技术。

 

  该方案的本质就是将防火墙当作安全交换机来考虑,纯粹是通过网络技术来实现的备份。所以不建议在防火墙上再启用natmap等通讯策略。 防火墙上要做的工作就是,将最后一个接口用于STP状态传输,其它接口放在同一个透明组。然后只启用访问策略,防火墙只做安全访问控制即可。

 

 

2 , 当网络中采用的动态路由技术时,上面提到的方式可能就不太适合了。

 

下文提供了另外解决一种方案,通过OSPF动态路由,来实现防火墙在全交叉环境中。

 

    现在我们来讨论下面的一个典型的银行网络三级结构。在图中的下方是省行路由器R3R4, 地市行的路由R1R2,  一般为了保证网络的稳定性,省行到地市行都是采用的双链路、双路由器的备份方式,同时这些路由器R1R2R3R4都应该运行的是OSPF动态路由协议,处于根区域AREA 0   

    而对于地市行的路由器R3R4和核心三层交换机S1S2也应该采用的是OSPF动态路由协议,处于区域AREA 1

    各县行或其它分支机构,由于接入的不同,也可能会采用OSPF动态路由协议,在这里我们不作讨论。

 

4560746_0500.jpg 
<?xml:namespace prefix = v ns = "urn:schemas-microsoft-com:vml" />

  

  我们主要来看添加防火墙后,地市行中全交叉的解决方式:

 

 

4560750_0500.jpg 

 

    在上图全交叉的网络中,通常使用了4个网段,同处于OSPF AREA 1,这样对网络路由的控制和排错比较方便。

  防火墙上只需要将同网段的两个接口划为同一个透明组。同样,不建议在防火墙上再启用natmap等通讯策略。 防火墙上要做的工作就是,将最后一个接口用于STP状态传输,其它接口放在两个透明组。然后只启用访问策略,防火墙只做安全访问控制即可。

 

    那么,剩下的问题就是切换时间了,此方案中冗余的切换时间取决于动态路由协议OSPF的收敛时间,只需调整OSPFhello时间即可。OSPF的最小hello时间可以调整到1秒,加上5秒的最短路径算法的延时,收敛时间也就是网络切换时间可以控制在6秒以内。