AF部署 100

路由器做了网关，AF这种怎么部署？{我是第一次部署步骤请讲详细一些}

啥设备 需要部署单臂路由，每个都不太一样，单臂路由就是指在一个接口上出很多的子接口，通过该子接口划分不同VLAN互相隔离，需要看下具体需求，才能具体分析

这种就有个问题了，为啥防火墙和上网行为管理管理会在路由器上面，我们可以改变下拓扑，拿路由器当网关，防火墙与AC透明串进网络中，实现安全防护和审计

就直接拿防火墙替换现有的路由器，稍微改变下当前的网络，防火墙做出口，AC串在防火墙和核心交换机中间；
1、防火墙，接口区域配置，路由配置，源地址转换NAT，应用控制策略；
2、AC做网桥，策略后面慢慢加。。。

拿掉路由器，AF做网关，ac透明模式部署

确实如上面同事说的这点，个人认为AC设备和交换机之间的路由器是完全没有必要的。当然咱这边这样规划也可能有咱这边的道理哈。一般来说为了避免多余的开销，我们建议的方案是出口AF路由部署，AC串在中间，下联核心交换机这样子。希望能够帮助到你。

防火墙替代路由器做网管，AC透明部署

AC可以透明部署，然后AF和路由器之间采用路由互联（写静态路由就OK），在防火墙上，配置WAN   LAN接口区域，AF上配置回指路由，默认路由出去，配置源地址转换NAT，配置应用控制策略；
我理解是这样哈，你内网所有的终端、服务器的网关地址都可以写在路由器上。

就现在的拓扑，得看防火墙上面还有没有其他设备。
1，如果是防火墙直接接运营商，可以用路由模式，默认路由往外指，精细路由往内网指，此时防火墙即进行路由选路，又进行访问控制；
2，如果防火墙设备上面还有其他的三层设备，可以把防火墙做透明串联（类似于一个交换机）部署，此时防火墙只做访问控制，不做路由选路。

或者  可以改变一下部署架构，把上网行为和防火墙全部都透明串联到路由器下面，防火墙只做访问控制，上网行为只做上网行为管控，路由器进行路由选路，连接运营商。