防火墙

您好，请知：

1.核心交换机部分：是不是我看做核心交换机有两个出口，防火墙A，防火墙B，然后做策略路由或者静态路由就可以了？ 

答：交换机部署了IRF，而且有两个上行接口，本来就是有两个出口了，防火墙由于是独立的A、B机，只需要配置静态路由指向即可，策略路由可以在核心交换机上做。

2.路由器和防火墙连接部分：因为要达到冗余的话，是不是我路由器分别配置配置两个网段的回程路由就可以了？ 

答：要在路由器上实现冗余，需要配置两个网段，分别和防火墙A、B互联，并做好回程路由。

3、因为如果达到冗余的话，路由器一定要配置A网段下一跳是防火墙1，B网段下一跳是防火墙1的回程路由的，相反防火墙2连接路由器也是一样。这样的话不是同时有四条回程路由了吗? 这样不会出现问题吗？ 

答：以路由器为基准，因为路由器有两个接口分别去到防火墙A和防火墙B，且防火墙是独立的运行两台设备，主要是看业务网段有多少个，有多少个业务网段就有多少个回程路由。为了避免出现问题，可以在核心交换机上的路由做主备或者路由器上的路由做主备，通过增加路由的优先级来实现。

3.防火墙部分的话，就是写对应网段的回程路由就好了？也不用做其他，看做单台配置就OK了？然后在防火墙外网口配置来回路径一致，为了防止来回路径不一致，就好了？

答：因为防火墙没有做堆叠，无法看做是单台，该配置的路由指向还需要配置，为了防止来回路由不一致，可以在核心交换机上或路由器的路由做主备或者路由器上的路由做主备，通过增加路由的优先级来实现。