数据中心防火墙部署.docx

数据中心防火墙部署.docx

《数据中心防火墙部署.docx》由会员分享，可在线阅读，更多相关《数据中心防火墙部署.docx（43页珍藏版）》请在冰豆网上搜索。

数据中心防火墙部署

红塔烟草（集团）万兆以太网建设项目

数据中心防火墙部署改造方案

（V1.4）

北京联信永益信息技术有限公司

2010年2月

一、概述-1-

二、人员及时间-2-

1、参与人员-2-

2、操作时间-2-

三、业务影响-2-

四、前期准备工作-2-

五、网络拓扑图-3-

六、数据中心设备配置-6-

1.数据中心两台6509E设备VSS部署及设备配置-6-

2.数据中心两台6509E防火墙FWSM透明模式配置-28-

七、防火墙失效切换测试-30-

八、应急方案-30-

一、概述

数据中心网络现状：

一台部署在商务楼4楼机房数据中心汇聚交换机6509E与一台部署在技术中心机房数据中心汇聚交换机6509E分别通过1条10GE上联到核心6509E交换机，两台汇聚交换机之间通过一条10GE链路Trunk互联；放置在商务楼的数据中心服务器和放置在技术中心的数据中心服务器通过单链路，分别连接到对应区域的数据中心交换机上，所有服务器网关指向部署在商务楼4楼数据中心交换机上对应的vlan实地址。

两台数据中心交换机上分别部署一块FWSM防火墙模块，通过Failover技术实现对数据中心网络安全保护。

本次工程将部署在技术中心的数据汇聚6509E交换机搬迁到商务楼1楼新机房，在两台数据中心6509E设备上部署VSS，采用VirtualSwitchingSupervisor72010GE引擎板卡上的万兆以太网上行链路端口进行互联，同时使用两条万兆链路进行捆绑，保证VSS系统的可靠性。

采用两条10GE链路捆绑与核心设备互联，同时对防火墙模块部署透明模式。

二、人员及时间

1、参与人员

序号

姓名

职责

手机

1

卢立杰

项目经理（整体协调）

2

何沿平

割接操作（设备调试）

3

扎西

割接操作（配合设备调试）

4

朱洺奇

监督协调

5

代宁

厂商技术支持

2、操作时间

2010年2月9日－2010年2月9日

三、业务影响

本次割接操作将对数据中心6509E设备部署VSS，同时，防火墙FWSM模块部署透明模式，对数据中心网络进行规划和调试。

因此会影响数据中心服务器与集团网络间的互相访问。

四、前期准备工作

以下为联信永益需要准备的工作

1、软件版本测试通过；

2、核对设备配置、端口类型、端口状态；

3、文件

序号

文件名称

数量

1

割接方案

3份

2

测试报告

3份

4、工具

序号

物品名称

数量

1

静电带

1

2

十字、一字螺丝刀

2

以下为红塔集团信息网络科需要准备的工作

1、配合割接人员进入机房；

2、提供console配置权限登陆口令；

五、网络拓扑图

现状：

数据中心FWSM路由模式拓扑图

备注：

1、HT_SWLDA_4F_6509E_01、HT_SWLDA_1F_6509E_01设备上的InterfaceVlan411接口为OSPF路由协议报文传递使用。

2、Vlan402为服务器业务使用（inside接口）；Vlan413、Vlan414为两台6509E设备上防火墙模块的Failover协议使用，HT_SWLDA_4F_6509E_01上的防火墙模块为Primary，HT_SWLDA_1F_6509E_01上的防火墙模块为Secondary；Vlan412为两台6509E与其防火墙模块的Outside接口连接使用，两台6509E的InterfaceVlan412接口启用HSRP协议，HT_SWLDA_4F_6509E_01为Active，HT_SWLDA_1F_6509E_01为Standby。

改造后：

数据中心FWSM透明模式拓扑图

备注：

1、Gi1/3/48、Gi2/3/48接口为BFD使用。

2、vlan402为服务器业务使用；vlan402为inside接口；Vlan413、Vlan414为两台6509E设备上防火墙模块的Failover协议使用，商务楼4楼6509E设备上的防火墙模块为Primary，商务楼1楼6509E上的防火墙模块为Secondary；Vlan412为两台6509E与其防火墙模块的Outside接口连接使用，vlan402服务器的网关指向vlan412的接口ip地址。

六、数据中心设备配置

1.数据中心两台6509E设备VSS部署及设备配置

割接内容：

两台数据中心6509E设备调试

割接时间：

2010.02.07

割接地点：

商务楼4楼、商务楼1楼

操作人：

配置：

联信永益：

卢立杰电话：

联信永益：

何沿平

联信永益：

扎西

配合人：

信息科：

朱洺奇电话：

1、备份设备配置

copyrunningbootflash:

wr

2、两台数据中心6509E设备间互联链路及VSS调试

!

switchvirtualdomain100?

switch1?

!

interfaceport-channel110

switchvirtuallink1

noshut

!

interfacerangeTen5/4-5

channel-group110modeon

noshut

!

platformhardwarevslpfcmodepfc3c

switchconvertmodevirtual

!

switchvirtualdomain100

switch2

!

interfaceport-channel120

switchvirtuallink2

noshut

!

interfacerangeTen5/4-5

channel-group120modeon

noshut

!

platformhardwarevslpfcmodepfc3c

switchconvertmodevirtual

!

switchacceptmodevirtual

!

interfacegigabitethernet1/3/48

descriptionVSS_FOR_BFD

noswitchport

ipaddress77252

bfdinterval100min_rx100multiplier3

noshut

interfacegigabitethernet2/3/48

descriptionVSS_FOR_BFD

noswitchport

ipaddress81.252

bfdinterval100min_rx100multiplier3

noshut

!

switchvirtualdomain100

dual-activedetectionbfd

dual-activepairinterfaceg1/3/48interfaceg2/3/48bfd

!

3、核心6509E设备基础信息配置调试

!

hostnameHT_SWLDA_4F_6509E_01

!

servicetimestampsdebugdatetimelocaltime

servicetimestampslogdatetimelocaltime

!

clocktimezoneGMT8

!

noipdomain-lookup

!

interfaceLoopback1

ipaddress2

noshut

!

loggingfacilitylocal6

loggingsource-interfaceLoopback1

logging

logging

!

snmp-servercommunityhongtpublicRO

snmp-servercommunityhongtprivateRW

!

linecon0

exec-timeout50

loggingsynchronous

password0admin@ht

login

linevty04

exec-timeout50

password0admin@ht

login

！

ntpserver

！

4、设备接口及路由调试

HT_BONE_4F_6509E_01：

!

interfacePort-channel6

noswitchport

descriptionconnecttoHT_SWLDA_4F_6509E_01

ipaddress

noshut

!

interfaceTenGigabitEthernet1/4/1

noswitchport

noipaddress

descriptionconnecttoHT_SWLDA_4F_6509E_01

channel-group6modeon

noshut

!

interfaceTenGigabitEthernet2/4/1

noswitchport

noipaddress

descriptionconnecttoHT_SWLDA_4F_6509E_01

channel-group6modeon

noshut

!

routerospf877

nopassive-interfacePort-channel6

nonetwork0.0.0.3area0

！

HT_SWLDA_4F_6509E_01：

!

interfacePort-channel6

noswitchport

descriptionconnecttoHT_BONE_4F_6509E_01

ipaddress

noshut

!

interfaceTenGigabitEthernet1/1/1

noswitchport

descriptionconnecttoHT_BONE_4F_6509E_01

channel-group6modeon

noshut

!

interfaceTenGigabitEthernet2/1/1

noswitchport

descriptionconnecttoHT_BONE_4F_6509E_01

channel-group6modeon

noshut

！

Vlan402

Vlan403

Vlan404

Vlan405

Vlan406

Vlan411

Vlan412

Vlan413

Vlan414

Vlan500

namesniffer

!

interfaceVlan403

ipaddress

ipflowingress

ipflowegress

noshut

!

interfaceVlan404

ipaddress

ipflowingress

ipflowegress

noshut

!

interfaceVlan405

ipaddress

ipflowingress

ipflowegress

noshut

!

interfaceVlan406

ipaddress

ipflowingress

ipflowegress

noshut

!

interfaceVlan412

ipaddress10.96.0.10

ipflowingress

ipflowegress

noshut

!

routerospf877

router-id

log-adjacency-changes

passive-interfacedefault

nopassive-interfaceTenGigabitEthernet1/1/1

nopassive-interfaceTenGigabitEthernet2/1/1

nopassive-interfaceport-channel6

network0.0.0.63area0

network0.0.0.63area0

network0.0.0.63area0

network0.0.0.63area0

network0.0.0.0area0

network0.0.0.3area0

network10.96.0.00.0.0.255area0

!

interfaceGigabitEthernet1/3/1

switchport

switchportaccessvlan402

switchportmodeaccess

load-interval30

noshut

!

interfaceGigabitEthernet1/3/2

descriptionconnecttoHT_SWLDA_1F_3750_01

switchport

switchporttrunkencapsulationdot1q

switchportmodetrunk

spanning-treeportfast

noshut

!

interfaceGigabitEthernet1/3/3

descriptionconnecttoHT_JSZXDA_2F_3750_01

switchport

switchporttrunkencapsulationdot1q

switchportmodetrunk

spanning-treeportfast

noshut

!

interfaceGigabitEthernet1/7/1

switchport

switchportaccessvlan403

switchportmodeaccess

noshut

!

interfaceGigabitEthernet1/7/2

switchport

switchportaccessvlan403

switchportmodeaccess

noshut

!

interfacerangegi1/7/3–10

noshut

!

interfaceGigabitEthernet1/7/11

switchport

switchportaccessvlan403

switchportmodeaccess

noshut

!

interfaceGigabitEthernet1/7/12

switchport

switchportaccessvlan402

switchportmodeaccess

load-interval30

noshut

!

interfaceGigabitEthernet1/7/13

switchport

switchportaccessvlan402

switchportmodeaccess

storm-controlbroadcastlevel0.10

storm-controlmulticastlevel0.10

noshut

!

interfaceGigabitEthernet1/7/14

switchport

switchportaccessvlan402

switchportmodeaccess

storm-controlbroadcastlevel0.10

storm-controlmulticastlevel0.10

noshut

!

interfaceGigabitEthernet1/7/15

switchport

switchportaccessvlan402

switchportmodeaccess

storm-controlbroadcastlevel0.10

storm-controlmulticastlevel0.10

noshut

!

interfaceGigabitEthernet1/7/16

switchport

switchportaccessvlan402

switchportmodeaccess

load-interval30

noshut

!

interfaceGigabitEthernet1/7/17

switchport

switchportaccessvlan402

switchportmodeaccess

storm-controlbroadcastlevel0.10

storm-controlmulticastlevel0.10

noshut

!

interfaceGigabitEthernet1/7/18

switchport

switchportaccessvlan402

switchportmodeaccess

storm-controlbroadcastlevel0.10

storm-controlmulticastlevel0.10

noshut

!

interfaceGigabitEthernet1/7/19

switchport

switchportaccessvlan402

switchportmodeaccess

storm-controlbroadcastlevel0.10

storm-controlmulticastlevel0.10

noshut

!

interfaceGigabitEthernet1/7/20

switchport

switchportaccessvlan402

switchportmodeaccess

storm-controlbroadcastlevel0.10

storm-controlmulticastlevel0.10

noshut

!

interfaceGigabitEthernet1/7/21

switchport

switchportaccessvlan402

switchportmodeaccess

storm-controlbroadcastlevel0.10

storm-controlmulticastlevel0.10

noshut

!

interfaceGigabitEthernet1/7/22

switchport

switchportaccessvlan402

switchportmodeaccess

storm-controlbroadcastlevel0.10

storm-controlmulticastlevel0.10

noshut

!

interfaceGigabitEthernet1/7/23

switchport

switchportaccessvlan402

switchportmodeaccess

load-interval30

storm-controlbroadcastlevel0.10

storm-controlmulticastlevel0.10

noshut

!

interfaceGigabitEthernet1/7/24

switchport

switchportaccessvlan402

switchportmodeaccess

storm-controlbroadcastlevel0.10

storm-controlmulticastlevel0.10

noshut

!

interfaceGigabitEthernet1/7/25

switchport

switchportaccessvlan406

switchportmodeaccess

storm-controlbroadcastlevel0.10

storm-controlmulticastlevel0.10

noshut

!

interfaceGigabitEthernet1/7/26

switchport

switchportaccessvlan402

switchportmodeaccess

storm-controlbroadcastlevel0.10

storm-controlmulticastlevel0.10

noshut

!

interfaceGigabitEthernet1/7/27

switchport

switchportaccessvlan402

switchportmodeaccess

storm-controlbroadcastlevel0.10

storm-controlmulticastlevel0.10

noshut

!

interfaceGigabitEthernet1/7/28

switchport

switchportaccessvlan402

switchportmodeaccess

storm-controlbroadcastlevel0.10

storm-controlmulticastlevel0.10

noshut

!

interfaceGigabitEthernet1/7/29

switchport

switchportaccessvlan402

switchportmodeaccess

storm-controlbroadcastlevel0.10

storm-controlmulticastlevel0.10

noshut

!

interfaceGigabitEthernet1/7/30

switchport

switchportaccessvlan402

switchportmodeaccess

storm-controlbroadcastlevel0.10

storm-controlmulticastlevel0.10

noshut

!

interfaceGigabitEthernet1/7/31

switchport

switchportaccessvlan402

switchportmodeaccess

storm-controlbroadcastlevel0.10

storm-controlmulticastlevel0.10

noshut

!

interfaceGigabitEthernet1/7/32

switchport

switchportaccessvlan402

switchportmodeaccess

storm-controlbroadcastlevel0.10

storm-controlmulticastlevel0.10

noshut

!

interfaceGigabitEthernet1/7/33

switchport

switchportaccessvlan402

switchportmodeaccess

storm-controlbroadcastlevel0.10

storm-controlmulticastlevel0.10

noshut

!

interfaceGigabitEthernet1/7/34

switchport

switchportaccessvlan402

switchportmodeaccess

load-interval30

storm-controlbroadcastlevel0.10

storm-controlmulticastlevel0.10

noshut

!

interfaceGigabitEthernet1/7/35

switchport

switchportaccessvlan402

switchportmodeaccess

storm-controlbroadcastlevel0.10

storm-controlmulticastlevel0.10

noshut

!

interfaceGigabitEthernet1/7/36

switchport

switchportaccessvlan402

switchportmodeaccess

storm-controlbroadcastlev