大型园区出口配置示例防火墙直连部署.docx
- 文档编号:27828687
- 上传时间:2023-07-05
- 格式:DOCX
- 页数:57
- 大小:368.94KB
大型园区出口配置示例防火墙直连部署.docx
《大型园区出口配置示例防火墙直连部署.docx》由会员分享,可在线阅读,更多相关《大型园区出口配置示例防火墙直连部署.docx(57页珍藏版)》请在冰豆网上搜索。
大型园区出口配置示例防火墙直连部署
1大型园区出口配置示例(防火墙直连部署)
组网需求
如图1-1所示,在大型园区出口,核心交换机上行和防火墙进行直连,通过防火墙连接到出口网关,对出入园区的业务流量提供安全过滤功能,为网络安全提供保,网络要求如下:
内网用户使用私网IP地址,用户的IP地址使用DHCP自动分配。
部门A用户能够访问Internet,部门B用户不能访问Internet。
内外网用户都可以访问HTTP服务器。
保证网络的可靠性,每个节点都进行冗余设计。
图1-1园区出口组网图(防火墙直连)
Inernet
接入点
接入点
GE0/0/2
GE0/0/2
Router1
Router2
GE0/0/1
GE1/0/1
FW1
FW2
GE2/0/3
Eth-Trunk10
Eth-Trunk20
HTTP服务器
;Switch3(主)
Switch4(备):
AGG2
;Switch5(主)=、Switch6(备)/
L*」
OSPF2
GE0/0/1
GE2/0/3
OSPF0
GE1/0/1
■GE1/0/7GE1/0/7
、GE2/0/4
GE2/0/4
Swich1(主)
Swich2(备)
Ospf1/Eth-Trunk100
Eth-Trunk200
L.
AGG1/
•、:
部门B
部署要点
路由部署:
-RouterID:
为每台设备配置一个Loopback地址,作为设备的RouterID。
-出口路由器、防火墙、核心交换机作为OSPF骨干区域AreaO,出口路由器作
为ASBR,核心交换机为ABR。
-部门A和部门B的的OSPF区域分别配置为Area1和Area2,并配置为NSSA区域,减少LSA在区域间的传播。
-为了引导各设备的上行流量,在核心交换机上配置一条缺省路由,下一跳指向防火墙,在防火墙上配置一条缺省路由,下一跳指向出口路由器,出口路由器上配置一条缺省路由,下一跳指向运行商网络设备的对接地址(公网网关)。
可靠性部署:
推荐使用CSS+iStack+Eth-trunk无环以太网技术,让可靠性变得简单。
-在核心交换机部署集群(CSS),汇聚交换机部署堆叠(iStack),保证设备级可靠性。
-为提高链路可靠性、在核心交换机与防火墙之间、核心交换机和汇聚交换机
之间、汇聚交换机和接入交换机之间均通过Eth-Trunk互连。
-在防火墙上部署双机热备,两台防火墙之间实现负载分担。
DHCP部署:
-核心交换机配置DHCP服务器,为用户自动分配IP地址。
-在汇聚交换机上配置DHCPRelay,保证能够通过DHCP服务为用户分配IP地址。
NAT部署:
-为了使内网用户访问Internet,在两台出口路由器的上行口配置NAT,实现私
网地址和公网地址之间的转换。
通过ACL匹配部门A的源IP地址,从而实
现部门A的用户可以访问Internet,而部门B的用户不能访问Internet。
-为了保证外网用户能够访问HTTP服务器,在两台出口路由器上配置NAT
Server。
安全部署:
防火墙配置安全策略,对流量进行过滤,保证网络安全。
设备规划
设备类型
设备型号
路由器Router1、Router2
华为AR3600系列路由器
防火墙FW1、FW2
华为USG9000系列防火墙
核心交换机做CSS
华为S7700/S9700/S12700交换机
汇聚交换机做iStack
华为S5720EI系列交换机,使用业务口做堆叠
数据规划
设备
接口编号
成员接
口
VLANI
F
IP地址
对端设备
对端接口编号
Routerl
GE0/0/1
-
-
10.1.1.1/
24
FW1
GE1/0/1
GE0/0/2
202.10.1.1/24
假设此接口用于连接运营商设备接口,IP地址为运营商分配的公网IP。
Router2
GE0/0/1
-
-
10.2.1.1/
24
FW2
GE1/0/1
GE0/0/2
202.10.2.1/24
假设此接口用于连接运营商设备接口,IP地址为运营商分配的公网IP。
FW1
GE1/0/1
-
-
10.1.1.2/
24
Router1
GE0/0/1
GE1/0/7
-
-
10.10.1.
1/24
FW2
GE1/0/7
Eth-Trunk10
GE2/0/3
GE2/0/4
-
10.3.1.1/
24
CSS
Eth-Trunk
10
FW2
GE1/0/1
-
-
10.2.1.2/
24
Router2
GE0/0/1
GE1/0/7
-
-
10.10.1.
2/24
FW1
GE1/0/7
Eth-
Trunk20
GE2/0/3
GE2/0/4
-
10.4.1.1/
24
CSS
Eth-Trunk:
20
CSS
GE1/1/0/
10
-
VLANIF
300
10.100.1.1
HTTP
服务器
以太网接口
Eth-Trunk10
GE1/1/0/3
GE2/1/0/
3
10.3.1.2/
24
FW1
Eth-Trunk‘
10
Eth-Trunk20
GE1/1/0/
4
GE2/1/0/
4
10.4.1.2/
24
FW2
Eth-Trunk:
20
Eth-
Trunk10
0
GE1/2/0/
3
GE2/2/0/
3
VLANIF
100
10.5.1.1/
24
AGG1
Eth-Trunk‘
100
设备
接口编
号
成员接
口
VLANI
F
IP地址
对端设备
对端接口编号
Eth-Trunk200
GE1/2/0/
4
GE2/2/0/
4
VLANIF
200
1061.1/
24
AGG2
Eth-Trunk:
200
AGG1
Eth-
Trunk10
0
GE1/0/1
GE2/0/1
VLANIF
100
10.5.1.2/
24
CSS
Eth-Trunk‘
100
Eth-Trunk
500
GE1/0/5
GE2/0/5
VLANIF
500
192.168.
1.1/24
假设此接匚并作为部门
1用于连接部
]A用户的
门A,
网关
AGG2
Eth-Trunk100
GE1/0/1
GE2/0/1
VLANIF
200
10.6.1.2/
24
CSS
Eth-Trunk
600
GE1/0/5
GE2/0/5
VLANIF
600
192.168.
2.1/24
假设此接匚并作为部门
1用于连接部
]B用户的
门B,
网关
HTTP
服务器
以太网
接口
-
-
10.100.1.10/24
CSS
GE1/1/0/
10
配置思路
采用如下思路配置园区出口:
步骤
配置思路
涉及产品
1
1)核心交换机配置集群(CSS)
2)汇聚交换机配置堆叠(iStack)
核心交换机Switch1和Switch2,汇聚交换机Switch3、Switch4、Switch5、Switch6
2
配置接口,为提高链路可靠性
1)核心交换机(CSS)和防火墙之间配置Eth-
Trunk
2)核心交换机(CSS)和汇聚交换机(AGG)之间配置Eth-Trunk
3)汇聚交换机和接入交换机之间的Eth-
Trunk
核心交换机(CSS)、防火墙(FW1、FW2)、汇聚交换机(AGG1、
AGG2)
3
配置各接口IP地址
1)配置Router上下行接口IP地址
路由器(Router1、
Router2)、防火墙
步骤
配置思路
涉及产品
2)配置FW上下行接口IP地址
3)配置核心交换机上下行接口IP地址
4)配置汇聚交换机上下行接口IP地址
(FW1、FW2)、核心交换机(CSS)、汇聚交换机(AGG1、AGG2)
4
配置路由协议,内网使用OSPF协议
1)路由器、防火墙、核心交换机上行接口配置为骨干区域Area0
2)核心交换机下行接口、汇聚交换机配置为NSSA区域Areal、Area2
3)在核心交换机上配置一条缺省路由,下一跳指向防火墙,在防火墙上配置一条缺省路由,下一跳指向出口路由器,出口路由器上配置一条缺省路由,下一跳指向运行商网络设备的对接地址(公网网关)
路由器(Router1、Router2)、防火墙
(FW1、FW2)、核心交换机(CSS)
5
配置防火墙各接口所属安全区域
1)将连接外网的接口加入到Untrust区域
2)将连接内网的接口加入到Trust区域
3)将双机热备心跳线加入到DMZ区域
防火墙(FW1、FW2)
6
配置双机热备
1)配置VGMP监控上下行接口
2)指定心跳线,启用双机热备
3)使能快速备份功能,保证两台防火墙实现负载分担
防火墙(FW1、FW2)
7
配置DHCP
1)在核心交换机上配置DCHP服务器功能,指定地址池和网关
2)在汇聚交换上配置是DHCP中继功能
核心交换机(CSS)、汇聚
交换机(AGG1、
AGG2)
8
配置NAT
1)在两台出口路由器上配置NAT,让部门A的用户可以访冋Internet,部门B用户不能访问Internet
2)在在两台出口路由器上配置NAT
Server,保证外部用户能够访冋HTTP服务
器
出口路由器Router1、
Router2
9
配置攻击防范,在防火墙上开启SYN
Flood、HTTPFlood攻击防范功能,保护内部服务器不受攻击
防火墙
操作步骤
步骤1核心交换机:
配置交换机集群
1.连接集群卡的线缆,下图以EH1D2VS08000集群卡连线为例。
■*
匚二I组1匚二I组2壬集群线纽
00说明
一块集群卡只能与对框一块集群卡相连,不能连接到多块集群卡,且不能与本框集群卡相连。
集群卡上组1的任意接口只能与对框集群卡上组1的任意接口相连,组2的要求同组1。
每块集群卡上连接集群线缆的数量相同(如果不相同会影响总的集群带宽),且两端按照接
口编号的顺序对接。
2.在Switch1上配置集群,集群连接方式为集群卡(缺省值,不需配置)。
集群ID
采用缺省值1(不需配置),优先级为100
[HUAWEI]setcssmodecss-card//设备缺省值,不需再执行命令配置,此步骤仅用作示范命令
[HUAWEI]setcssid1//设备缺省值,不需再执行命令配置,此步骤仅用作示范命令
[HUAWEI]setcsspriority100//集群优先级缺省为1,修改主交换机的优先级大于备交换机
[HUAWEI]cssenable
Warning:
TheCSSconfigurationtakeseffectonlyafterthesystemisrebooted.
ThenextCSSmodeisCSS-Card.Rebootnow?
[Y/N]:
Y//重启交换机
3.在Switch2上配置集群。
集群连接方式为集群卡(缺省值,不需配置)。
集群ID
为2。
优先级采用缺省值1(不需配置)。
[HUAWEI]setcssid2//集群ID缺省为1,修改备交换机的ID为2
[HUAWEI]cssenable
Warning:
TheCSSconfigurationtakeseffectonlyafterthesystemisrebooted.
Y//重启交换机
ThenextCSSmodeisCSS-Card.Rebootnow?
[Y/N]:
4.交换机完成重启后,查看集群状态
集群系统主的CSSMASTER灯绿色常亮,如dc_cfg_campus_001#fig_dc_cfg_campus_00103所示。
-Switch1的两块主控板上编号为1的CSSID灯绿色常亮,Switch2的两块主控板上编号为2的CSSID灯绿色常亮。
-集群卡上有集群线缆连接的端口LINK/ALM灯绿色常亮。
-主框上所有集群卡的MASTER灯绿色常亮,备框上所有集群卡的MASTER
灯常灭。
1334567®
F——
CSS
L—MASTER.
丄…
iiti申肓■■I-t
H■一于n丁Xs|
田丨王删樹袖
RUWALM•
LINK/ALM
•••••••
••••••••
□□说明
集群建立后,后续交换机的配置都在主交换机上进行,数据会自动同步到备交换机。
在集群系
统中,接口编号会变为4维,例如,10GE1/1/0/9。
其中左边第一位表示集群ID。
步骤2汇聚交换机:
配置堆叠(iStack),这里以S5720EI系列交换机为例,使用业务口做堆
叠
以Switch3和Swtich4为例,Switch5和Swtich6做堆叠类似,不做赘述。
在配置堆叠前,先不要连线,等配置完成之后再连线
1.配置逻辑堆叠端口并加入物理成员接口
①说明
本端设备逻辑堆叠端口stack-portn/1里的物理成员端口只能与对端设备逻辑堆叠端口stack-port
n/2里的物理成员端口相连。
#配置Switch3的业务口GE0/0/28为物理成员端口,并加入到相应的逻辑堆叠端
口。
[Switch3]interfacestack-port0/1
[Switch3-stack-port0/1]portinterfacegigabitethernet0/0/28enable
Warning:
Enablingstackfunctionmaycauseconfigurationlossontheinterface,
continue?
[Y/N]:
Y
Info:
Thisoperationmaytakeafewseconds.Pleasewaitforamoment
[Switch3-stack-port0/1]quit
#配置Switch4的业务口GE0/0/28为物理成员端口,并加入到相应的逻辑堆叠端口。
[Switch4]interfacestack-port0/2
[Switch4-stack-port0/2]portinterfacegigabitethernet0/0/28enable
Warning:
Enablingstackfunctionmaycauseconfigurationlossontheinterface,continue?
[Y/N]:
Y
Info:
Thisoperationmaytakeafewseconds.Pleasewaitforamoment
[Switch4-stack-port0/2]quit
2.配置堆叠ID和堆叠优先级
#配置Switch3的堆叠优先级为200。
[Switch3]stackslot0priority200
Warning:
PleasedonotfrequentlymodifyPriority,itwillmakethestacksplit,continue?
[Y/N]:
Y
#配置Switch3的堆叠ID为1。
[Switch3]stackslot0renumber1
Warning:
AlltheconfigurationsrelatedtotheslotIDwillbelostafterthe
slotIDismodified.
PleasedonotfrequentlymodifyslotID,itwillmakethestacksplit.
Continue?
[Y/N]:
Y
Info:
Stackconfigurationhasbeenchanged,andthedeviceneedstorestartto
maketheconfigurationeffective.
#配置Switch4的堆叠ID为2。
[Switch4]stackslot0renumber2
Warning:
AlltheconfigurationsrelatedtotheslotIDwillbelostafterthe
slotIDismodified.
PleasedonotfrequentlymodifyslotID,itwillmakethestacksplit.Continue?
[Y/N]:
Y
Info:
Stackconfigurationhasbeenchanged,andthedeviceneedstorestartto
maketheconfigurationeffective.
3.Switch3、Switch4下电,使用SFP+电缆连接GE0/0/28接口做堆叠口。
□□说明
下电前,建议通过命令save保存配置。
本设备的stack-port0/1必须连接邻设备的stack-port0/2,否则堆叠组建不成功。
4.设备上电
Switch3做为
如果用户希望某台交换机为主交换机可以先为其上电,例如:
希望主设备,可以先给Switch3上电,再为Switch4上电。
5.检查堆叠是否建立成功
[Switch3]displaystack
Stacktopologytype:
Link
StacksystemMAC:
0018-82b1-6eb4
MACswitchdelaytime:
2min
Stackreservedvlan:
4093
Slotoftheactivemanagementport:
-
SlotRoleMacaddressPriorityDevicetype
可以看到一主一备,堆叠建立成功。
步骤3部署Eth-Trunk接口:
配置CSS与FW、汇聚交换机之间的跨框Eth-Trunk口
1.防火墙FW:
配置和核心交换机CSS之间互联的Eth-Trunk接口
#在FW1上创建Eth-Trunk10,用于连接核心交换机CSS,并加入Eth-Trunk成
员接口。
[FW1]interfaceeth-trunk10//创建Eth-Trunk10接口,和CSS对接
[FW1-Eth-Trunk10]quit
[FW1]interfacegigabitethernet2/0/3
[FW1-GigabitEthernet2/0/3]eth-trunk10
[FW1-GigabitEthernet2/0/3]quit
[FW1]interfacegigabitethernet2/0/4
[FW1-GigabitEthernet2/0/4]eth-trunk10
[FW1-GigabitEthernet2/0/4]quit
#在FW2上创建Eth-Trunk20,用于连接核心交换机CSS,并加入Eth-Trunk成
员接口。
[FW2]interfaceeth-trunk20//创建Eth-Trunk20接口,和CSS对接
[FW2-Eth-Trunk20]quit
[FW2]interfacegigabitethernet2/0/3
[FW2-GigabitEthernet2/0/3]eth-trunk20
[FW2-GigabitEthernet2/0/3]quit
[FW2]interfacegigabitethernet2/0/4[FW2-GigabitEthernet2/0/4]eth-trunk20
[FW2-GigabitEthernet2/0/4]quit
2.核心交换机CSS:
配置CSS和FW之间、CSS和汇聚交换机的跨框Eth-Trunk
#在CSS上创建Eth-Trunk10,用于连接FW1,并加入Eth-Trunk成员接口。
[CSS]interfaceeth-trunk10//创建Eth-Trunk10接口,和FW1对接
[CSS-Eth-Trunk10]quit
[CSS]interfacegigabitethernet1/1/0/3
[CSS-GigabitEthernet1/1/0/3]eth-trunk10
[CSS-GigabitEthernet1/1/0/3]quit
[CSS]interfacegigabitethernet2/1/0/3
[CSS-GigabitEthernet2/1/0/3]eth-trunk10
3.汇聚交换机:
配置汇聚交换机之间互联的Eth-Trunk接口
AGG和核心交换机
CSS、汇聚交换机和接入交换机
#在CSS上创建Eth-Trunk20,用于连接FW2,并加入Eth-Trunk成员接口。
[CSS]interfaceeth-trunk20//创建Eth-Trunk20接口,和FW2对接
[CSS-Eth-Trunk20]quit
[CSS]interfacegigabitethernet1/1/0/4
[CSS-GigabitEthernet1/1/0/4]eth-trunk20
[CSS-GigabitEthernet1/1/0/4]quit
[CSS]interfacegigabitethernet2/1/0/4
[CSS-GigabitEthernet2/1/0/4]eth-trunk20
[CSS-GigabitEthernet2/1/0/4]quit
#配置AGG1。
[AGG1]interfaceeth-trunk100//创建Eth-Trunk100
[AGG1-Eth-Trunk100]quit
[AGG1]interfa
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 大型 出口 配置 示例 防火墙 部署