说到安全这个话题，其实有很多想要表达，更多的是无奈。网络设备只能启到辅助作用，更多的还是安全意识的缺乏...安全设备能够阻挡一些来自外部或者安全级别较低区域的攻击，但是无法阻挡来自内部的问题。言归正传...下面说一下拓扑:架构比较简单，3台核心3个墙模块，墙的作用只是用于在服务器区域做阻挡(几个服务器网段)，所以采用了透明模式--vlan的bridge这种形式。其中2台防火墙做ha，另外一台用于灾备，3台核心之间使用trunk方式互联。网关在核心上主备使用hsrp，异地也是hsrp，优先级最低处于listen状态，当主或者备故障时自动与未故障核心协商。

故障现象:
完成配置之后，数据包会出现丢包，使用ping命令测试基本是通一阵，丢一阵，上网，业务肯定是无法正常开展了。
故障分析:
由于这个架构带来的弊病，三台核心使用二层链路互联，数据包从接入到核心主，核心主再往备和异地发包过防火墙，inside-vlan进outside-vlan出到达网关，这个时候看哪个边网关先响应，如果是主或备先响应正常，如果异地响应了会出现丢包。
解决方法:
由于vmare的原因，三台核心之间必须是trunk，不能跑三层。所以我采用以下2种方法解决。
1、主备与异地之间的inside vlan变更，例如:主备使用vlan10作为inside vlan100作为outside，异地使用vlan11作为inside，vlan100作为outside
2、主备与异地互联的trunk链路去除inside vlan通过。
其目的都是为了数据包到网关之前避免往异地走....当时为了这个坑没少挨客户批...都是眼泪。:(:(