在此方案中数据流的均衡，依靠对端交换机或路由器的链路捆绑算法或者等价路由、策略路由算法来完成。当出现链路故障出现流量异步时，思科下一代集群利用自有的防火墙寻回算法，自动将流量送回有对应会话的火墙进行处理。同时，如果对端路由设备链路负载均担算法不够均匀（当然通常可以通过调整无状态负载均担的算法避免这个问题的出现）。群内防火墙也可以按照设定，自动负载均衡到其他防火墙，解决了负载均衡不均的问题，使方案近乎完美。

整个方案使用无状态负载均衡的方式，分担流量到集群内每台防火墙，没有负载均衡性能瓶颈。集群处理性能随着加入防火墙的数量实现了线性增长。

更灵活的防火墙多活冗余

为了避免在防火墙出现故障时造成的业务影响，通常我们都会选择冗余部署。传统的防火墙冗余方式使用两台防火墙主备冗余或者双活方式。思科的“下一代防火墙集群”可以很容易将原来的两台防火墙的双活模式扩展为三活、四活到最大8台设备同时工作在主用状态。

我们以8台举例，群内每台防火墙都是主用状态，防火墙之间使用8备8方式。任何1台防火墙的会话，均匀的备份到其他防火墙上。如果这台防火墙出现故障，7台防火墙同时帮忙处理这台防火墙的业务流量，能够实现无缝切换，不会有业务影响。

在添加火墙到集群或者从集群剔除过程中，同样业务没有影响。并且可以实现无缝防火墙软件升级。

借鉴思科成熟的VPC技术，“思科下一代防火墙集群”技术实现了集群内多个防火墙的多链路捆绑，我们称之为“跨机箱链路捆绑”技术(scEC: span-clustering EC)。它能够把集群内多个防火墙的链路捆绑在一个Ethernet Channel，通过这种方式防火墙集群可以与对端路由交换机的VPC或者VSS对接，实现数据流全路的“设备及链路多虚一”，从而避免了生成树影响。

下图是下一代防火墙集群与思科数据中心交换机Nexus的VPC互联的方案：

更完备的单点管理方式

当多台防火墙部署集群时，为了方便管理，通常维护人员都希望能够通过一个管理界面统一管理群内所有防火墙。“思科下一代防火墙集群”非常好的实现了统一管理。这其中包括了单点配置、单点查看各种统计信息、日志。另外，能够实现基于群的故障查询，例如，群内抓取数据包，查看群内数据包处理流程，会话查询等等。完全像管理一个防火墙一样方便。

“思科下一代防火墙集群”能够对防火墙的吞吐、新建会话、并发连接、NAT连接进行性能扩展。能够提供更高的多活冗余方式，实现单台设备故障的无缝切换。同时能够提供非常完美的统一管理。

集群适用于大部分防火墙部署场景，包括当前的热点“双活数据中心”的安全部署，能够通过集群对多个数据中心统一提供安全保护。

利用“思科下一代防火墙集群技术”，我们在初期采购时，可以按照现有业务需求，采购两台防火墙，将两台组成集群。在享受到集群给部署带来的统一管理，快速无缝切换的好处的同时。还能够在后期业务增长，现有防火墙性能不够时，通过购买新的防火墙动态加入集群，提高防火墙集群的扩展能力。降低了TCO的同时也极大提高了ROI，是非常好的防火墙部署方式的选择。