关于防火墙三层旁挂核心交换机引流的问题

交换机默认路由指向路由器。

交换机侧配置策略路由，下一跳指向防火墙与核心互联的接口即可。

策略路由的感兴趣流，匹配你所属于过墙的业务网段即可。出入方向都需要

1.2.1  旁挂部署三层引流

旁挂部署三层引流是一种三层的SecBlade插卡部署方式，这种部署方式路由器采用策略路由引流，SecBlade插卡工作模式为路由模式。该部署方式一般用在上下游不同网段且不希望改变原有组网的场景下。

如下图所示，SecBlade插卡安装在路由器的2号槽位，需要对Host和Internet之间的流量做安全检测。两个网络处于不同网段，路由器做它们的网关。

图1-5 旁挂部署三层引流逻辑图

‌

旁挂部署三层引流的工作方式：

·     路由器上下行接口划分在不同网段，通过配置策略路由将上下行流量的下一跳指向SecBlade插卡。

·     SecBlade插卡接口工作在三层，报文通过查路由表转发。

·     路由器收到SecBlade插卡回注流量后三层转发给上下游设备。

旁挂部署三层引流的优缺点：

·     优点：部署时无需改变已有的网络拓扑，可以更快部署SecBlade插卡，可以只引流需要安全功能的业务，其它流量仍按原路径转发，支持丰富的路由和安全功能，比如OSPF、NAT、LB、SecPolicy和DPI等。

·     缺点：引流策略复杂，增加了维护难度，不能和快速转发负载分担功能同时使用。