大型园区出口配置示例防火墙直连部署Word文件下载.docx
- 文档编号:15304849
- 上传时间:2022-10-29
- 格式:DOCX
- 页数:47
- 大小:123.05KB
大型园区出口配置示例防火墙直连部署Word文件下载.docx
《大型园区出口配置示例防火墙直连部署Word文件下载.docx》由会员分享,可在线阅读,更多相关《大型园区出口配置示例防火墙直连部署Word文件下载.docx(47页珍藏版)》请在冰豆网上搜索。
−为提高链路可靠性、在核心交换机与防火墙之间、核心交换机与汇聚交换机之间、汇聚交换机与接入交换机之间均通过Eth-Trunk互连。
−在防火墙上部署双机热备,两台防火墙之间实现负载分担。
●DHCP部署:
−核心交换机配置DHCP服务器,为用户自动分配IP地址。
−在汇聚交换机上配置DHCPRelay,保证能够通过DHCP服务为用户分配IP地址。
●NAT部署:
−为了使内网用户访问Internet,在两台出口路由器得上行口配置NAT,实现私网地址与公网地址之间得转换。
通过ACL匹配部门A得源IP地址,从而实现部门A得用户可以访问Internet,而部门B得用户不能访问Internet。
−为了保证外网用户能够访问HTTP服务器,在两台出口路由器上配置NATServer。
●安全部署:
防火墙配置安全策略,对流量进行过滤,保证网络安全。
设备规划
设备类型
设备型号
路由器Router1、Router2
华为AR3600系列路由器
防火墙FW1、FW2
华为USG9000系列防火墙
核心交换机做CSS
华为S7700/S9700/S12700交换机
汇聚交换机做iStack
华为S5720EI系列交换机,使用业务口做堆叠
数据规划
设备
接口编号
成员接口
VLANIF
IP地址
对端设备
对端接口编号
Router1
GE0/0/1
-
10、1、1、1/24
FW1
GE1/0/1
GE0/0/2
202、10、1、1/24
假设此接口用于连接运营商设备接口,IP地址为运营商分配得公网IP。
Router2
10、2、1、1/24
FW2
202、10、2、1/24
10、1、1、2/24
GE1/0/7
10、10、1、1/24
Eth-Trunk10
GE2/0/3
10、3、1、1/24
CSS
GE2/0/4
10、2、1、2/24
10、10、1、2/24
Eth-Trunk20
10、4、1、1/24
GE1/1/0/10
VLANIF300
10、100、1、1
HTTP服务器
以太网接口
GE1/1/0/3
10、3、1、2/24
GE2/1/0/3
GE1/1/0/4
10、4、1、2/24
GE2/1/0/4
Eth-Trunk100
GE1/2/0/3
VLANIF100
10、5、1、1/24
AGG1
GE2/2/0/3
Eth-Trunk200
GE1/2/0/4
VLANIF200
10、6、1、1/24
AGG2
GE2/2/0/4
10、5、1、2/24
GE2/0/1
Eth-Trunk500
GE1/0/5
VLANIF500
192、168、1、1/24
假设此接口用于连接部门A,并作为部门A用户得网关
GE2/0/5
10、6、1、2/24
Eth-Trunk600
VLANIF600
192、168、2、1/24
假设此接口用于连接部门B,并作为部门B用户得网关
10、100、1、10/24
配置思路
采用如下思路配置园区出口:
步骤
涉及产品
1
1)核心交换机配置集群(CSS)
2)汇聚交换机配置堆叠(iStack)
核心交换机Switch1与Switch2,汇聚交换机Switch3、Switch4、Switch5、Switch6
2
配置接口,为提高链路可靠性
1)核心交换机(CSS)与防火墙之间配置Eth-Trunk
2)核心交换机(CSS)与汇聚交换机(AGG)之间配置Eth-Trunk
3)汇聚交换机与接入交换机之间得Eth-Trunk
核心交换机(CSS)、防火墙(FW1、FW2)、汇聚交换机(AGG1、AGG2)
3
配置各接口IP地址
1)配置Router上下行接口IP地址
2)配置FW上下行接口IP地址
3)配置核心交换机上下行接口IP地址
4)配置汇聚交换机上下行接口IP地址
路由器(Router1、Router2)、防火墙(FW1、FW2)、核心交换机(CSS)、汇聚交换机(AGG1、AGG2)
4
配置路由协议,内网使用OSPF协议
1)路由器、防火墙、核心交换机上行接口配置为骨干区域Area0
2)核心交换机下行接口、汇聚交换机配置为NSSA区域Area1、Area2
3)在核心交换机上配置一条缺省路由,下一跳指向防火墙,在防火墙上配置一条缺省路由,下一跳指向出口路由器,出口路由器上配置一条缺省路由,下一跳指向运行商网络设备得对接地址(公网网关)
路由器(Router1、Router2)、防火墙(FW1、FW2)、核心交换机(CSS)
5
配置防火墙各接口所属安全区域
1)将连接外网得接口加入到Untrust区域
2)将连接内网得接口加入到Trust区域
3)将双机热备心跳线加入到DMZ区域
防火墙(FW1、FW2)
6
配置双机热备
1)配置VGMP监控上下行接口
2)指定心跳线,启用双机热备
3)使能快速备份功能,保证两台防火墙实现负载分担
7
配置DHCP
1)在核心交换机上配置DCHP服务器功能,指定地址池与网关
2)在汇聚交换上配置就是DHCP中继功能
核心交换机(CSS)、汇聚交换机(AGG1、AGG2)
8
配置NAT
1)在两台出口路由器上配置NAT,让部门A得用户可以访问Internet,部门B用户不能访问Internet
2)在在两台出口路由器上配置NATServer,保证外部用户能够访问HTTP服务器
出口路由器Router1、Router2
9
配置攻击防范,在防火墙上开启SYNFlood、HTTPFlood攻击防范功能,保护内部服务器不受攻击
防火墙
操作步骤
步骤1核心交换机:
配置交换机集群
1.连接集群卡得线缆,下图以EH1D2VS08000集群卡连线为例。
●一块集群卡只能与对框一块集群卡相连,不能连接到多块集群卡,且不能与本框集群卡相连。
●集群卡上组1得任意接口只能与对框集群卡上组1得任意接口相连,组2得要求同组1。
●每块集群卡上连接集群线缆得数量相同(如果不相同会影响总得集群带宽),且两端按照接口编号得顺序对接。
2.在Switch1上配置集群,集群连接方式为集群卡(缺省值,不需配置)。
集群ID采用缺省值1(不需配置),优先级为100
<
HUAWEI>
system-view
[HUAWEI]setcssmodecss-card//设备缺省值,不需再执行命令配置,此步骤仅用作示范命令
[HUAWEI]setcssid1//设备缺省值,不需再执行命令配置,此步骤仅用作示范命令
[HUAWEI]setcsspriority100//集群优先级缺省为1,修改主交换机得优先级大于备交换机
[HUAWEI]cssenable
Warning:
TheCSSconfigurationtakeseffectonlyafterthesystemisrebooted、ThenextCSSmodeisCSS-Card、Rebootnow?
[Y/N]:
Y//重启交换机
3.在Switch2上配置集群。
集群连接方式为集群卡(缺省值,不需配置)。
集群ID为2。
优先级采用缺省值1(不需配置)。
[HUAWEI]setcssid2//集群ID缺省为1,修改备交换机得ID为2
4.交换机完成重启后,查瞧集群状态
集群系统主得CSSMASTER灯绿色常亮,如dc_cfg_campus_001#fig_dc_cfg_campus_00103所示。
−Switch1得两块主控板上编号为1得CSSID灯绿色常亮,Switch2得两块主控板上编号为2得CSSID灯绿色常亮。
−集群卡上有集群线缆连接得端口LINK/ALM灯绿色常亮。
−主框上所有集群卡得MASTER灯绿色常亮,备框上所
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 大型 出口 配置 示例 防火墙 部署