隨著我國路由行業(yè)的發(fā)展，也推動了動態(tài)路由技術(shù)的更新升級，這里我們主要講解了用動態(tài)路由技術(shù)在防火墻中的實際應(yīng)用，該方案的本質(zhì)就是將防火墻當(dāng)作安全交換機來考慮，純粹是通過網(wǎng)絡(luò)技術(shù)來實現(xiàn)的備份。所以不建議在防火墻上再啟用nat、map等通訊策略。

防火墻上要做的工作就是，將最后一個接口用于STP狀態(tài)傳輸，其它接口放在同一個透明組。然后只啟用訪問策略，防火墻只做安全訪問控制即可。當(dāng)網(wǎng)絡(luò)中采用的動態(tài)

現(xiàn)在我們來討論下面的一個典型的銀行網(wǎng)絡(luò)三級結(jié)構(gòu)。在圖中的下方是省行路由器R3、R4， 地市行的路由R1、R2,  一般為了保證網(wǎng)絡(luò)的穩(wěn)定性，省行到地市行都是采用的雙鏈路、雙路由器的備份方式，同時這些路由器R1、R2、R3、R4都應(yīng)該運行的是OSPF動態(tài)路由技術(shù)，處于根區(qū)域AREA而對于地市行的路由器R3、R4和核心三層交換機S1、S2也應(yīng)該采用的是OSPF動態(tài)路由技術(shù)，處于區(qū)域AREA 1。各縣行或其它分支機構(gòu)，由于接入的不同，也可能會采用OSPF動態(tài)路由技術(shù)，在這里我們不作討論。我們主要來看添加防火墻后，地市行中全交叉的解決方式：

在上圖全交叉的網(wǎng)絡(luò)中，通常使用了4個網(wǎng)段，同處于OSPF AREA 1，這樣對網(wǎng)絡(luò)動態(tài)路由技術(shù)的控制和排錯比較方便。防火墻上只需要將同網(wǎng)段的兩個接口劃為同一個透明組。同樣，不建議在防火墻上再啟用nat、map等通訊策略。 防火墻上要做的工作就是，將最后一個接口用于STP狀態(tài)傳輸，其它接口放在兩個透明組。然后只啟用訪問策略，防火墻只做安全訪問控制即可。
 
那么，剩下的問題就是切換時間了，此方案中冗余的切換時間取決于動態(tài)路由技術(shù)OSPF的收斂時間，只需調(diào)整OSPF的hello時間即可。OSPF的最小hello時間可以調(diào)整到1秒，加上5秒的最短路徑算法的延時，收斂時間也就是網(wǎng)絡(luò)切換時間可以控制在6秒以內(nèi)。