我有两个连接到 PA-200 防火墙的 Cisco 1941 路由器。每个路由器都有几个连接到它的交换机。我想实现这个网络。

我已经定义了 8 个防火墙区域的列表：

Zone 1 BYOD:           10.1.0.0/16 
Zone 2 DMZ:            10.2.0.0/24
Zone 3 FrontOffice:    10.2.1.0/24
Zone 4 BackOffice:     10.2.2.0/24
....

在 PA 防火墙上，我想定义不同区域之间的访问策略。网络内的所有流量都需要通过防火墙，因此它可以决定例如来自 VLAN/区域 1 的客户端是否可以发送/接收来自/到 VLAN/区域 2 的数据包。

路由器需要冗余，以便 PC0 可以到达防火墙，即使 R1 发生故障。然后它应该采用路径 SW1->SW3->R2->FW。

老实说，我不知道如何完全配置它，这是我试图通过提出这个问题来弄清楚的。实际上，我对三件事感到困惑。

问题 1：如何告诉我的 cisco 路由器将所有流量转发到我的防火墙？

我只能猜测这与设置具有 IP 地址的虚拟路由器有关，该 IP 地址可以用作客户端可以使用的默认网关。但是，我不确定这是否可行，因为 PC 可能无法看到防火墙的 mac 地址，因为它位于路由器后面......

问题 2：如何仅使用两个物理接口（每个路由器一个）映射我的区域？

有人告诉我，我需要一个中继链路和 8 个逻辑子接口，因为我在每个路由器和 FW 之间使用一根电缆（而不是 8 根，每个 VLAN/区域一根）。如何配置这个？

但是，我认为中继只能在交换机上实现？不在路由器和防火墙之间？例如，在棒配置的路由器中，您可以使用 定义交换机上的中继端口switchport mode trunk，而在路由器上，您将使用子接口并使用命令告诉它们属于哪个 vlan encapsulation dot1q vlan。这不会使路由器端口成为中继端口，对吗？

问题 3：我需要使用 STP 或 FHRP 等冗余协议吗？还是我的网络没有环路？