我们有多个分支机构，由一台或多台 2960 系列交换机和一台 55xx 系列防火墙组成。交换机通常是堆叠的，并且至少具有 IP Base 功能集。

在大多数办公室中，交换机都设置为路由，VLAN 接口充当本地 VLAN 的默认网关。然后，ASA 在连接到交换机的内部接口上有一个单独的 IP 地址，并且数据包从交换机上的 VLAN 接口路由到内部接口。从那里，它要么通过 NAT 连接到互联网，要么通过站点到站点 VPN 返回到主要站点之一。

我们即将建立一个新的分支机构，使用相同的 2960 和 ASA 设置，我想就推荐的设置获得一些建议。

1. 我们应该坚持我们现在拥有的吗？我喜欢让交换机承担一些路由负载，特别是对于本地目的地，但是这种设置似乎有点混乱，并且内部接口上的单独 IP 地址需要针对某些事情（例如 NAT）的解决方法。
2. 如果我们让 ASA 处理路由，设置使用从交换机到 ASA 的中继链路，然后在 ASA 的内部接口上为每个 VLAN 设置子接口（我相信我们也可以按照 http:/ /www.amirmontazeri.com/?p=18）。
3. 最后，是否可以将 VLAN 中继到 ASA，将内部接口作为交换端口，并通过 VLAN 接口在 ASA 上处理路由？我确信我在早期的 CCNA-S 安全日看到过这个例子，但是我不确定它是否仍然可能/当前/推荐。

编辑：

感谢您的回复和您富有洞察力的反馈。关于让交换机处理本地路由的要点是有道理的，这是我已经考虑过的事情，并且很好维护。

两个后续问题：

首先，我们在本地为用户、服务器、管理、打印机、公司和访客 WiFi 等定义了各种 VLAN。如果我们确实保留现有选项，使用 L3 交换机处理路由，并且防火墙充当下一个路由跳点，我们将为防火墙上的内部接口的 IP 地址分配哪个网段（然后是下一个路由跃点）？最好将现有网段/VLAN 中的一个子网划分（例如，管理网络，作为 /24 子网，不需要 254 个地址），并为防火墙 IP 创建一个新网段？

其次，如果我们确实坚持使用交换机处理路由，是否有任何方法可以设置从交换机到防火墙的以太通道？从防火墙端，我们可以配置 L3 etherchannel，但是我可以将 L3 的防火墙端（防火墙的内部接口，下一个路由跃点）与另一端 L2 配置为具有我想要的任何 VLAN 的中继允许外部网络？我还应该补充一点，交换机将被堆叠。