具体的技术细节尚未进行验证。其实可以自行设计实验，规划地址段对这个纸上谈兵的方案进行可行性验证。

前几天有个网友咨询了我一个问题，直接给我画了一张草图。

他让我给他把方案设计一下，说一个思路即可。

其实一看到那张草图，基本上就可以看出来，两个RT之间是要跑动态路由的了，而COR-SW、DS之间最好设计成三层链路。防火墙就老老实实跑静态路由了。

看起来不算困难，但有一个要求，就是分支单位的办公网段上网，需要通过路由器RT，走中心单位的ADSL上网，而分支单位的服务网段上网，就直接走分支单位的专线。这个流量用下图来表示：

要给它说一个设计思路，咱们还是先按照标准和规矩来吧。

既然图中都给了你两个RT路由器了，又连接在COR-SW（核心交换机）上，那肯定，你让RT路由器和COR-SE之间，跑一个OSPF的动态路由，准没错！

还有，在分支单位这边，办公和服务网段都连接在DS（汇聚交换机）下，则可以把办公网段和服务网段都放在汇聚交换机上，让汇聚交换机和COR-SW也跑OSPF。

这样，分支单位和中心单位之间的路由，就通过DS、COR-SW、RT1、RT2、COR-SW0就打通了。

对于防火墙来说，还是老老实实让它跑静态路由吧。不要认为说静态路由会增加工程师额外的工作量，如果你把内部网络的网段规划好了，静态路由还是相当轻松的。

先来看中心单位的静态路由及重分发的规划，如下图（从右往左看）

但是这样一来的话，分支单位服务的流量，也要被引入到中心单位的ADSL，那么又改如何处理呢？

这种场景就是典型的：不同的源地址要分别定位到不同的链路上，所以要做一个基于源地址的策略路由，把源地址是分支单位服务的网段，在COR-SW上，强制定位到FW-2的方向。但是在做策略路由之前，你需要先在COR-SW上把基础路由做通。

FW-1和FW-2，对专线方向写默认路由，对下行方向写明细/聚合路由就不说了，都这么做的。关键是在COR-SW上的路由怎么做？先看下图，注意左侧红色发黄光的字：

让分支单位办公网络从RT1、RT2走中心单位上网作为一般流量，把服务器走FW-2、FW-1、专线作为特殊流量，在COR-SW上设置策略路由。

最终达到的预期效果如下：

1、分支单位办公网段优先走COR-SW、RT1到中心单位，由RT2、COR-SW0、FW、ADSL访问互联网。当RT2、COR-SW0、FW、ADSL之间任意一条连读断开，COR-SW没收到优先级更高的OSPF默认路由，于是它上面写的优先级数值为180的默认路由浮出路由表，使分支单位办公网也可以走FW-2、FW-1、专线访问互联网。

2、分支单位服务网段，在DS上走默认路由到COR-SW，在COR-SW入口处被策略路由顶入FW-2，又FW-2上记录的默认路由走FW-1到专线，再由FW-1、FW-2写的静态路由回包到COR-SW。

3、当FW-1、FW-2、COR-SW之间任意一条链路断开，NQA探测的地址不可达，此时策略路由失效，服务网段访问互联网根据OSPF默认路由走RT1、RT2、COR-SW01、FW访问互联网。

当然了哈，你可以自己去想一下，能不能把分支单位办公流量用策略路由重定向到RT1，然后把分支单位服务流量当成一般流量，用默认路由走FW-2呢？

反正我是觉得这么做不太好。