防火墙旁挂核心交换机VRF部署方案

背景：

在大二层架构下，各区域交换机全部接入到核心使得传统的区域串接部署防火墙隔离方案不适用，同时旁挂过滤方案也可减轻成本压力和设备性能开销。

需求：

内网各区域互访和访问互联网需要经过防火墙过滤后才能互通。

需求拆分：

内网各区域网关在核心交换机，交换机划分3个VRF区域，各VRF区域与旁挂防火墙建立OSPF路由，防火墙与核心使用聚合口配置TRUNK 配置互联和业务VLANIF并放行。核心在VRF里面宣告业务和互联网段与防火墙建立OSPF。VRF与Public区互通。

规划拓扑:

据流转示意图:

1、各vrf间互通是通过与外部防火墙建立ospf路由打通，再使用防火墙ACL和安全策略。

2、各vrf访问非vfr的地址路由时，也就是要访问public的网段，那就需要将默认0的路由指向public系统，public再回指各自的vrf网段到各自的vrf实例名上。

3、例如：

各vrf与防火墙组OSPF，vrf1pc访问vrf2pc的时候，流量的下一跳就是vlan100的接口IP，再下一跳就是vrf2的接口IP，最终到到达pc。