有几种方法可以连接建筑物，具体取决于您拥有的开关类型。根据您的图表，如果您只能将两个路由器连接在一起，那么是的，您需要一个防火墙，正如您所指出的那样。

但更好的设计是使用光纤直接连接两个主开关。您是否可以这样做取决于交换机的功能，并且会取消一台路由器。

我假设您在一个单独的网络中，并且在单独的建筑物中使用两个单独的 vlan。因此，您不需要两个防火墙。如果您的主交换机具有第 3 层设施，您可以在主交换机与主交换机之间建立连接。向核心（主）交换机提供直接互联网连接根本不是一个好主意。

你有两个主开关，如果它有功能，你可以启用 VSS 并可以作为一个单一的开关工作。那么第二个交换机不需要特殊的路由。

始终将您的网络放在防火墙后面。这是必要的。

如果您想与网络 1 和网络 2 分开，您可以从防火墙连接到 01 楼的主交换机。

对于主楼，我在路由器之前放置了防火墙

根据您的绘图，您已将防火墙放置在路由器之后，换句话说，防火墙不保护路由器本身，而是位于它的下游。

这不一定有什么问题，只是这意味着从 1 号楼到您的主楼的上行链路如果连接到主楼的路由器，则不会受到现有防火墙的保护。

在我看来，针对您的情况使用两个防火墙会引入不必要的复杂性、成本和管理。相反，请考虑通过将两台路由器与位于2 号楼路由器外部的防火墙互连在一起，或者将两台“主”交换机连接在一起，将 1 号楼连接到现有建筑物。在任何一种情况下，两座建筑物的网络都将受到现有防火墙的保护，免受互联网的影响。

假设如果您使用作为主核心交换机连接的第 3 层交换机并且在该交换机中配置了所有 VLAN，那么如果您的交换机不具有 SFP 端口兼容性，则您可以从核心交换机获得光纤连接，请使用媒体转换器并作为访问端口连接如果另一栋建筑物正在使用多个 VLAN 流量，则允许特定的 VLAN 并连接到另一栋建筑物中的另一个第 2 层交换机意味着允许中继端口 .. 这样，如果您的核心层，两个建筑物都可以使用部署在主建筑物中的单个防火墙连接到核心交换机3 不兼容或不配备 SFP 端口，然后使用光纤模块或媒体转换器...这种连接允许您使用相同的防火墙来构建流量，并且易于监控和管理。

please refer below diagram for overview topology for this requirement