隨著我國路由行業(yè)的發(fā)展，也推動(dòng)了動(dòng)態(tài)路由技術(shù)的更新升級(jí)，這里我們主要講解了用動(dòng)態(tài)路由技術(shù)在防火墻中的實(shí)際應(yīng)用，該方案的本質(zhì)就是將防火墻當(dāng)作安全交換機(jī)來考慮，純粹是通過網(wǎng)絡(luò)技術(shù)來實(shí)現(xiàn)的備份。所以不建議在防火墻上再啟用nat、map等通訊策略。

防火墻上要做的工作就是，將最后一個(gè)接口用于STP狀態(tài)傳輸，其它接口放在同一個(gè)透明組。然后只啟用訪問策略，防火墻只做安全訪問控制即可。當(dāng)網(wǎng)絡(luò)中采用的動(dòng)態(tài)路由技術(shù)時(shí)，上面提到的方式可能就不太適合了。下文提供了另外解決一種方案，通過OSPF動(dòng)態(tài)路由技術(shù)，來實(shí)現(xiàn)防火墻在全交叉環(huán)境中。

現(xiàn)在我們來討論下面的一個(gè)典型的銀行網(wǎng)絡(luò)三級(jí)結(jié)構(gòu)。在圖中的下方是省行路由器R3、R4， 地市行的路由R1、R2,  一般為了保證網(wǎng)絡(luò)的穩(wěn)定性，省行到地市行都是采用的雙鏈路、雙路由器的備份方式，同時(shí)這些路由器R1、R2、R3、R4都應(yīng)該運(yùn)行的是OSPF動(dòng)態(tài)路由技術(shù)，處于根區(qū)域AREA而對(duì)于地市行的路由器R3、R4和核心三層交換機(jī)S1、S2也應(yīng)該采用的是OSPF動(dòng)態(tài)路由技術(shù)，處于區(qū)域AREA 1。各縣行或其它分支機(jī)構(gòu)，由于接入的不同，也可能會(huì)采用OSPF動(dòng)態(tài)路由技術(shù)，在這里我們不作討論。我們主要來看添加防火墻后，地市行中全交叉的解決方式：

在上圖全交叉的網(wǎng)絡(luò)中，通常使用了4個(gè)網(wǎng)段，同處于OSPF AREA 1，這樣對(duì)網(wǎng)絡(luò)動(dòng)態(tài)路由技術(shù)的控制和排錯(cuò)比較方便。防火墻上只需要將同網(wǎng)段的兩個(gè)接口劃為同一個(gè)透明組。同樣，不建議在防火墻上再啟用nat、map等通訊策略。 防火墻上要做的工作就是，將最后一個(gè)接口用于STP狀態(tài)傳輸，其它接口放在兩個(gè)透明組。然后只啟用訪問策略，防火墻只做安全訪問控制即可。
 
那么，剩下的問題就是切換時(shí)間了，此方案中冗余的切換時(shí)間取決于動(dòng)態(tài)路由技術(shù)OSPF的收斂時(shí)間，只需調(diào)整OSPF的hello時(shí)間即可。OSPF的最小hello時(shí)間可以調(diào)整到1秒，加上5秒的最短路徑算法的延時(shí)，收斂時(shí)間也就是網(wǎng)絡(luò)切換時(shí)間可以控制在6秒以內(nèi)。