隨著我國路由行業(yè)的發(fā)展，也推動了動態(tài)路由技術的更新升級，這里我們主要講解了用動態(tài)路由技術在防火墻中的實際應用，該方案的本質就是將防火墻當作安全交換機來考慮，純粹是通過網(wǎng)絡技術來實現(xiàn)的備份。所以不建議在防火墻上再啟用nat、map等通訊策略。

防火墻上要做的工作就是，將最后一個接口用于STP狀態(tài)傳輸，其它接口放在同一個透明組。然后只啟用訪問策略，防火墻只做安全訪問控制即可。當網(wǎng)絡中采用的動態(tài)路由技術時，上面提到的方式可能就不太適合了。下文提供了另外解決一種方案，通過OSPF動態(tài)路由技術，來實現(xiàn)防火墻在全交叉環(huán)境中。

現(xiàn)在我們來討論下面的一個典型的銀行網(wǎng)絡三級結構。在圖中的下方是省行路由器R3、R4， 地市行的路由R1、R2,  一般為了保證網(wǎng)絡的穩(wěn)定性，省行到地市行都是采用的雙鏈路、雙路由器的備份方式，同時這些路由器R1、R2、R3、R4都應該運行的是OSPF動態(tài)路由技術，處于根區(qū)域AREA而對于地市行的路由器R3、R4和核心三層交換機S1、S2也應該采用的是OSPF動態(tài)路由技術，處于區(qū)域AREA 1。各縣行或其它分支機構，由于接入的不同，也可能會采用OSPF動態(tài)路由技術，在這里我們不作討論。我們主要來看添加防火墻后，地市行中全交叉的解決方式：

在上圖全交叉的網(wǎng)絡中，通常使用了4個網(wǎng)段，同處于OSPF AREA 1，這樣對網(wǎng)絡動態(tài)路由技術的控制和排錯比較方便。防火墻上只需要將同網(wǎng)段的兩個接口劃為同一個透明組。同樣，不建議在防火墻上再啟用nat、map等通訊策略。 防火墻上要做的工作就是，將最后一個接口用于STP狀態(tài)傳輸，其它接口放在兩個透明組。然后只啟用訪問策略，防火墻只做安全訪問控制即可。
 
那么，剩下的問題就是切換時間了，此方案中冗余的切換時間取決于動態(tài)路由技術OSPF的收斂時間，只需調整OSPF的hello時間即可。OSPF的最小hello時間可以調整到1秒，加上5秒的最短路徑算法的延時，收斂時間也就是網(wǎng)絡切換時間可以控制在6秒以內。