大型园区出口配置示例防火墙直连部署分析Word文档格式.docx
- 文档编号:20247571
- 上传时间:2023-01-21
- 格式:DOCX
- 页数:46
- 大小:111.97KB
大型园区出口配置示例防火墙直连部署分析Word文档格式.docx
《大型园区出口配置示例防火墙直连部署分析Word文档格式.docx》由会员分享,可在线阅读,更多相关《大型园区出口配置示例防火墙直连部署分析Word文档格式.docx(46页珍藏版)》请在冰豆网上搜索。
设备规划
设备类型
设备型号
路由器Router1、Router2
华为AR3600系列路由器
防火墙FW1、FW2
华为USG9000系列防火墙
核心交换机做CSS
华为S7700/S9700/S12700交换机
汇聚交换机做iStack
华为S5720EI系列交换机,使用业务口做堆叠
数据规划
设备
接口编号
成员接口
VLANIF
IP地址
对端设备
对端接口编号
Router1
GE0/0/1
-
10.1.1.1/24
FW1
GE1/0/1
GE0/0/2
202.10.1.1/24
假设此接口用于连接运营商设备接口,IP地址为运营商分配的公网IP。
Router2
10.2.1.1/24
FW2
202.10.2.1/24
10.1.1.2/24
GE1/0/7
10.10.1.1/24
Eth-Trunk10
GE2/0/3
10.3.1.1/24
CSS
GE2/0/4
10.2.1.2/24
10.10.1.2/24
Eth-Trunk20
10.4.1.1/24
GE1/1/0/10
VLANIF300
10.100.1.1
HTTP服务器
以太网接口
GE1/1/0/3
10.3.1.2/24
GE2/1/0/3
GE1/1/0/4
10.4.1.2/24
GE2/1/0/4
Eth-Trunk100
GE1/2/0/3
VLANIF100
10.5.1.1/24
AGG1
GE2/2/0/3
Eth-Trunk200
GE1/2/0/4
VLANIF200
10.6.1.1/24
AGG2
GE2/2/0/4
10.5.1.2/24
GE2/0/1
Eth-Trunk500
GE1/0/5
VLANIF500
192.168.1.1/24
假设此接口用于连接部门A,并作为部门A用户的网关
GE2/0/5
10.6.1.2/24
Eth-Trunk600
VLANIF600
192.168.2.1/24
假设此接口用于连接部门B,并作为部门B用户的网关
10.100.1.10/24
配置思路
采用如下思路配置园区出口:
步骤
涉及产品
1
1)核心交换机配置集群(CSS)
2)汇聚交换机配置堆叠(iStack)
核心交换机Switch1和Switch2,汇聚交换机Switch3、Switch4、Switch5、Switch6
2
配置接口,为提高链路可靠性
1)核心交换机(CSS)和防火墙之间配置Eth-Trunk
2)核心交换机(CSS)和汇聚交换机(AGG)之间配置Eth-Trunk
3)汇聚交换机和接入交换机之间的Eth-Trunk
核心交换机(CSS)、防火墙(FW1、FW2)、汇聚交换机(AGG1、AGG2)
3
配置各接口IP地址
1)配置Router上下行接口IP地址
2)配置FW上下行接口IP地址
3)配置核心交换机上下行接口IP地址
4)配置汇聚交换机上下行接口IP地址
路由器(Router1、Router2)、防火墙(FW1、FW2)、核心交换机(CSS)、汇聚交换机(AGG1、AGG2)
4
配置路由协议,内网使用OSPF协议
1)路由器、防火墙、核心交换机上行接口配置为骨干区域Area0
2)核心交换机下行接口、汇聚交换机配置为NSSA区域Area1、Area2
3)在核心交换机上配置一条缺省路由,下一跳指向防火墙,在防火墙上配置一条缺省路由,下一跳指向出口路由器,出口路由器上配置一条缺省路由,下一跳指向运行商网络设备的对接地址(公网网关)
路由器(Router1、Router2)、防火墙(FW1、FW2)、核心交换机(CSS)
5
配置防火墙各接口所属安全区域
1)将连接外网的接口加入到Untrust区域
2)将连接内网的接口加入到Trust区域
3)将双机热备心跳线加入到DMZ区域
防火墙(FW1、FW2)
6
配置双机热备
1)配置VGMP监控上下行接口
2)指定心跳线,启用双机热备
3)使能快速备份功能,保证两台防火墙实现负载分担
7
配置DHCP
1)在核心交换机上配置DCHP服务器功能,指定地址池和网关
2)在汇聚交换上配置是DHCP中继功能
核心交换机(CSS)、汇聚交换机(AGG1、AGG2)
8
配置NAT
1)在两台出口路由器上配置NAT,让部门A的用户可以访问Internet,部门B用户不能访问Internet
2)在在两台出口路由器上配置NATServer,保证外部用户能够访问HTTP服务器
出口路由器Router1、Router2
9
配置攻击防范,在防火墙上开启SYNFlood、HTTPFlood攻击防范功能,保护内部服务器不受攻击
防火墙
操作步骤
步骤1核心交换机:
配置交换机集群
1.连接集群卡的线缆,下图以EH1D2VS08000集群卡连线为例。
●一块集群卡只能与对框一块集群卡相连,不能连接到多块集群卡,且不能与本框集群卡相连。
●集群卡上组1的任意接口只能与对框集群卡上组1的任意接口相连,组2的要求同组1。
●每块集群卡上连接集群线缆的数量相同(如果不相同会影响总的集群带宽),且两端按照接口编号的顺序对接。
2.在Switch1上配置集群,集群连接方式为集群卡(缺省值,不需配置)。
集群ID采用缺省值1(不需配置),优先级为100
<
HUAWEI>
system-view
[HUAWEI]setcssmodecss-card//设备缺省值,不需再执行命令配置,此步骤仅用作示范命令
[HUAWEI]setcssid1//设备缺省值,不需再执行命令配置,此步骤仅用作示范命令
[HUAWEI]setcsspriority100//集群优先级缺省为1,修改主交换机的优先级大于备交换机
[HUAWEI]cssenable
Warning:
TheCSSconfigurationtakeseffectonlyafterthesystemisrebooted.ThenextCSSmodeisCSS-Card.Rebootnow?
[Y/N]:
Y//重启交换机
3.在Switch2上配置集群。
集群连接方式为集群卡(缺省值,不需配置)。
集群ID为2。
优先级采用缺省值1(不需配置)。
[HUAWEI]setcssid2//集群ID缺省为1,修改备交换机的ID为2
4.交换机完成重启后,查看集群状态
集群系统主的CSSMASTER灯绿色常亮,如dc_cfg_campus_001#fig_dc_cfg_campus_00103所示。
−Switch1的两块主控板上编号为1的CSSID灯绿色常亮,Switch2的两块主控板上编号为2的CSSID灯绿色常亮。
−集群卡上有集群线缆连接的端口LINK/ALM灯绿色常亮。
−主框上所有集群卡的MASTER灯绿色常亮,备框上所有集群卡的MASTER灯常灭。
集群建立后,后续交换机的配置都在主交换机上进行,数据会自动同步到备交换机。
在集群系统中,接口编号会变为4维,例如,10GE1/1/0/9。
其中左边第一位表示集群ID。
步骤2汇聚交换机:
配置堆叠(iStack),这里以S5720EI系列交换机为例,使用业务口做堆叠
以Switch3和Swtich4为例,Switch5和Swtich6做堆叠类似,不做赘述。
在配置堆叠前,先不要连线,等配置完成之后再连线
5.配置逻辑堆叠端口并加入物理成员接口
本端设备逻辑堆叠端口stack-portn/1里的物理成员端口只能与对端设备逻辑堆叠端口stack-portn/2里的物理成员端口相连。
#配置Switch3的业务口GE0/0/28为物理成员端口,并加入到相应的逻辑堆叠端口。
[Switch3]interfacestack-port0/1
[Switch3-stack-port0/1]portinterfacegigabitethernet0/0/28enable
Enablingstackfunctionmaycauseconfigurationlossontheinterface,continue?
[Y/N]:
Y
Info:
Thisoperationmaytakeafewseconds.Pleasewaitforamoment.......
[Switch3-stack-port0/1]quit
#配置Switch4的业务口GE0/0/28为物理成员端口,并加入到相应的逻辑堆叠端口。
[Switch4]interfacestack-port0/2
[Switch4-stack-port0/2]portinterfacegigabitethernet0/0/28enable
[Switch4-stack-port0/2]quit
6.配置堆叠ID和堆叠优先级
#配置Switch3的堆叠优先级为200。
[Switch3]stackslot0priority200
PleasedonotfrequentlymodifyPriority,itwillmakethestacksplit,continue?
#配置Switch3的堆叠ID为1。
[Switch3]stackslot0renumber1
AlltheconfigurationsrelatedtotheslotIDwillbelostaftertheslotIDismodified.
PleasedonotfrequentlymodifyslotID,itwillmakethestacksplit.Continue?
Stackconfigurationhasbeenchanged,andthedeviceneedstorestarttomaketheconfigurationeffective.
#配置Switch4的堆叠ID为2。
[Switch4]stackslot0renumber2
7.Switch3、Switch4下电,使用SFP+电缆连接GE0/0/28接口做堆叠口。
下电前,建议通过命令save保存配置。
本设备的stack-port0/1必须连接邻设备的stack-port0/2,否则堆叠组建不成功。
8.设备上电
如果用户希望某台交换机为主交换机可以先为其上电,例如:
希望Switch3做为主设备,可以先给Switch3上电,再为Switch4上电。
9.检查堆叠是否建立成功
[Switch3]displaystack
Stacktopologytype:
Link
StacksystemMAC:
0018-82b1-6eb4
MACswitchdelaytime:
2min
Stackreservedvlan:
4093
Slotoftheactivemanagementport:
--
SlotRoleMacaddressPriorityDevicetype
-------------------------------------------------------------
1Master0018-82b1-6eb4200S5720-36C-EI-AC
2Standby0018-82b1-6eba150S5720-36C-EI-AC
可以看到一主一备,堆叠建立成功。
步骤3部署Eth-Trunk接口:
配置CSS与FW、汇聚交换机之间的跨框Eth-Trunk口
10.防火墙FW:
配置和核心交换机CSS之间互联的Eth-Trunk接口
#在FW1上创建Eth-Trunk10,用于连接核心交换机CSS,并加入Eth-Trunk成员接口。
[FW1]interfaceeth-trunk10//创建Eth-Trunk10接口,和CSS对接
[FW1-Eth-Trunk10]quit
[FW1]interfacegigabitethernet2/0/3
[FW1-GigabitEthernet2/0/3]eth-trunk10
[FW1-GigabitEthernet2/0/3]quit
[FW1]interfacegigabitethernet2/0/4
[FW1-GigabitEthernet2/0/4]eth-trunk10
[FW1-GigabitEthernet2/0/4]quit
#在FW2上创建Eth-Trunk20,用于连接核心交换机CSS,并加入Eth-Trunk成员接口。
[FW2]interfaceeth-trunk20//创建Eth-Trunk20接口,和CSS对接
[FW2-Eth-Trunk20]quit
[FW2]interfacegigabitethernet2/0/3
[FW2-GigabitEthernet2/0/3]eth-trunk20
[FW2-GigabitEthernet2/0/3]quit
[FW2]interfacegigabitethernet2/0/4
[FW2-GigabitEthernet2/0/4]eth-trunk20
[FW2-GigabitEthernet2/0/4]quit
11.核心交换机CSS:
配置CSS和FW之间、CSS和汇聚交换机的跨框Eth-Trunk
#在CSS上创建Eth-Trunk10,用于连接FW1,并加入Eth-Trunk成员接口。
[CSS]interfaceeth-trunk10//创建Eth-Trunk10接口,和FW1对接
[CSS-Eth-Trunk10]quit
[CSS]interfacegigabitethernet1/1/0/3
[CSS-GigabitEthernet1/1/0/3]eth-trunk10
[CSS-GigabitEthernet1/1/0/3]quit
[CSS]interfacegigabitethernet2/1/0/3
[CSS-GigabitEthernet2/1/0/3]eth-trunk10
[CSS-GigabitEthernet2/1/0/3]quit
#在CSS上创建Eth-Trunk20,用于连接FW2,并加入Eth-Trunk成员接口。
[CSS]interfaceeth-trunk20//创建Eth-Trunk20接口,和FW2对接
[CSS-Eth-Trunk20]quit
[CSS]interfacegigabitethernet1/1/0/4
[CSS-GigabitEthernet1/1/0/4]eth-trunk20
[CSS-GigabitEthernet1/1/0/4]quit
[CSS]interfacegigabitethernet2/1/0/4
[CSS-GigabitEthernet2/1/0/4]eth-trunk20
[CSS-GigabitEthernet2/1/0/4]quit
#在CSS上创建Eth-Trunk100,用于连接汇聚交换机AGG1,并加入Eth-Trunk成员接口。
[CSS]interfaceeth-trunk100//创建Eth-Trunk100接口,和AGG1相连
[CSS-Eth-Trunk100]quit
[CSS]interfacegigabitethernet1/2/0/3
[CSS-GigabitEthernet1/2/0/3]eth-trunk100
[CSS-GigabitEthernet1/2/0/3]quit
[CSS]interfacegigabitethernet2/2/0/3
[CSS-GigabitEthernet2/2/0/3]eth-trunk100
[CSS-GigabitEthernet2/2/0/3]quit
#在CSS上创建Eth-Trunk200,用于连接汇聚交换机AGG2,并加入Eth-Trunk成员接口。
[CSS]interfaceeth-trunk200//创建Eth-Trunk200接口,和AGG2相连
[CSS-Eth-Trunk200]quit
[CSS]interfacegigabitethernet1/2/0/4
[CSS-GigabitEthernet1/2/0/4]eth-trunk200
[CSS-GigabitEthernet1/2/0/4]quit
[CSS]interfacegigabitethernet2/2/0/4
[CSS-GigabitEthernet2/2/0/4]eth-trunk200
[CSS-GigabitEthernet2/2/0/4]quit
12.汇聚交换机
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 大型 出口 配置 示例 防火墙 部署 分析