随着企业对IT安全重视程度逐步增加，安全产品逐渐融合进企业总体基础架构基本规划中，网络产品=EN-US>(交换机、路由器)与安全产品(防火墙、IPS)成为支撑企业IT系统的基本构件。

H3C基于总体网络安全提供集成化最佳实践设计，目标是向企业客户提供在实际部署中的详细指导。

1.IRF2对网络安全设计的提升

大多企业对于安全与网络在规划、设计、部署过程中的一体化结合存在着问题，如重视架构却不重视实践，重视组件齐全却忽略了网络与安全的配合对接。而在一般安全设计过程中，考虑到网络设备、安全设备冗余性等高可靠性能，会出现多种复杂的设计拓扑，这些对实现安全目标提出了挑战。

当前H3C提出了全网IRF2架构，达到简化网络结构、简化网络规划设计、简化部署实施、简化运行管理，同时极大简化网络设备与安全设备之间的对接设计，进一步提升有效安全、可靠性安全。

2.IRF2交换网络&防火墙组合设计

2.1         IRF2交换网络与独立防火墙组合设计思路

当前，在的防火墙部署方案中，设计人员越来越倾向于使用更简单的组网结构来简化总体安全策略设计，使得在出现网络故障时更易于快速定位问题，或是安全事件发生时能够基于简单拓扑进行快速判定。如图1所示，左图是一种常见的防火墙与交换机组网，右图采用IRF2技术后，网络拓扑并没有改变，但在设计上有了不同的考虑。

图1 防火墙交换机基本组网结构

H3C的防火墙都具备会话同步的热备份功能，使用专用的一条或两条带外线缆(双机热备专线)进行两台防火墙的会话信息进行同步，配合交换网络流量切换，可保证单台防火墙故障时应用流量不会中断。经典的设计方式有路由模式和透明模式，双机冗余下均支持Active-Active和Active-Standby方式。

如图2所示为防火墙双机热备工作在透明模式下，与IRF2交换机组的两种组网方式。

左图的方式：两组IRF2与两台防火墙的互联接口配置两组连接网段，交换机对防火墙的端口均采用untagged方式，因此，可以保证两台防火墙在VLAN的配置上也达到一致，防火墙同时启动流路径非对称能力。两组IRF2交换系统之间可以运行动态路由协议(防火墙允许相应的协议数据通过)，所有数据流通过等价路由分担到两台防火墙所在的链路上，由于防火墙支持路径非对称功能，因此当某条数据流下行经过一台防火墙而上行经过另一台防火墙时，双机的状态会话仍能同步保持。

右图采用了一种更简单的方式进行组网：利用防火墙inline转发方式，即防火墙端口配对转发而不进行MAC地址查表转发，将交换机IRF2系统中不同成员的端口与两台防火墙分别连接，只在交换机IRF2系统端进行两条链路的LACP捆绑，这样将网络流量分担到不同防火墙，而在交换机IRF2系统不需要使用等价路由。防火墙允许LACP协议报文通过，从而保证聚合链路的可靠性连接。数据流在防火墙往返路径不一致的情况仍由路径非对称功能解决。

图2 双活透明防火墙+交换IRF2

独立防火墙路由模式与交换机IRF2的组网基本也有两种方式，如图3所示。无论哪种方式下，防火墙之间的带外状态同步专线需要可靠连接。

图3 防火墙路由模式+交换网络IRF2

左图方案：双机防火墙对上游、下游交换机IRF2系统均配置VRRP备份组，交换机组对防火墙只需要一个VLAN三层接口，防火墙备份组接口成员以Active/Standby方式运行，需在两台防火墙上配置相同的对外静态路由下一跳分别指向交换机接口(10.1.1.1或10.2.1.1)，而在每组IRF2交换机则只需配置一个三层接口和一条静态路由。

右图方案：各防火墙作为独立路由运行节点与IRF2交换系统组成动态路由区域，完全由路由协议控制数据流经的防火墙，两台防火墙之间相互同步会话状态信息，支持非对称流量安全检测。