大型園區(qū)出口配置示例(防火墻直連部署)

./大型園區(qū)出口配置示例〔防火墻直連部署組網(wǎng)需求如\o""圖1-1所示,在大型園區(qū)出口,核心交換機上行和防火墻進行直連,通過防火墻連接到出口網(wǎng)關,對出入園區(qū)的業(yè)務流量提供安全過濾功能,為網(wǎng)絡安全提供保,網(wǎng)絡要求如下：網(wǎng)用戶使用私網(wǎng)IP地址,用戶的IP地址使用DHCP自動分配。部門A用戶能夠訪問Internet,部門B用戶不能訪問Internet。外網(wǎng)用戶都可以訪問HTTP服務器。保證網(wǎng)絡的可靠性,每個節(jié)點都進行冗余設計。部署要點路由部署：RouterID：為每臺設備配置一個Loopback地址,作為設備的RouterID。出口路由器、防火墻、核心交換機作為OSPF骨干區(qū)域Area0,出口路由器作為ASBR,核心交換機為ABR。部門A和部門B的的OSPF區(qū)域分別配置為Area1和Area2,并配置為NSSA區(qū)域,減少LSA在區(qū)域間的傳播。為了引導各設備的上行流量,在核心交換機上配置一條缺省路由,下一跳指向防火墻,在防火墻上配置一條缺省路由,下一跳指向出口路由器,出口路由器上配置一條缺省路由,下一跳指向運行商網(wǎng)絡設備的對接地址〔公網(wǎng)網(wǎng)關?？煽啃圆渴穑和扑]使用CSS+iStack+Eth-trunk無環(huán)以太網(wǎng)技術,讓可靠性變得簡單。在核心交換機部署集群〔CSS,匯聚交換機部署堆疊〔iStack,保證設備級可靠性。為提高鏈路可靠性、在核心交換機與防火墻之間、核心交換機和匯聚交換機之間、匯聚交換機和接入交換機之間均通過Eth-Trunk互連。在防火墻上部署雙機熱備,兩臺防火墻之間實現(xiàn)負載分擔。DHCP部署：核心交換機配置DHCP服務器,為用戶自動分配IP地址。在匯聚交換機上配置DHCPRelay,保證能夠通過DHCP服務為用戶分配IP地址。NAT部署：為了使網(wǎng)用戶訪問Internet,在兩臺出口路由器的上行口配置NAT,實現(xiàn)私網(wǎng)地址和公網(wǎng)地址之間的轉換。通過ACL匹配部門A的源IP地址,從而實現(xiàn)部門A的用戶可以訪問Internet,而部門B的用戶不能訪問Internet。為了保證外網(wǎng)用戶能夠訪問HTTP服務器,在兩臺出口路由器上配置NATServer。安全部署：防火墻配置安全策略,對流量進行過濾,保證網(wǎng)絡安全。設備規(guī)劃設備類型設備型號路由器Router1、Router2華為AR3600系列路由器防火墻FW1、FW2華為USG9000系列防火墻核心交換機做CSS華為S7700/S9700/S12700交換機匯聚交換機做iStack華為S5720EI系列交換機,使用業(yè)務口做堆疊數(shù)據(jù)規(guī)劃設備接口編號成員接口VLANIFIP地址對端設備對端接口編號Router1GE0/0/1--FW1GE1/0/1GE0/0/2--假設此接口用于連接運營商設備接口,IP地址為運營商分配的公網(wǎng)IP。Router2GE0/0/1--FW2GE1/0/1GE0/0/2假設此接口用于連接運營商設備接口,IP地址為運營商分配的公網(wǎng)IP。FW1GE1/0/1--Router1GE0/0/1GE1/0/7--FW2GE1/0/7Eth-Trunk10GE2/0/3-4CSSEth-Trunk10GE2/0/4FW2GE1/0/1--Router2GE0/0/1GE1/0/7--FW1GE1/0/7Eth-Trunk20GE2/0/3-CSSEth-Trunk20GE2/0/4CSSGE1/1/0/10-VLANIF300HTTP服務器以太網(wǎng)接口Eth-Trunk10GE1/1/0/3-FW1Eth-Trunk10GE2/1/0/3Eth-Trunk20GE1/1/0/4-FW2Eth-Trunk20GE2/1/0/4Eth-Trunk100GE1/2/0/3VLANIF100AGG1Eth-Trunk100GE2/2/0/3Eth-Trunk200GE1/2/0/4VLANIF200AGG2Eth-Trunk200GE2/2/0/4AGG1Eth-Trunk100GE1/0/1VLANIF100CSSEth-Trunk100GE2/0/1Eth-Trunk500GE1/0/5VLANIF500假設此接口用于連接部門A,并作為部門A用戶的網(wǎng)關GE2/0/5AGG2Eth-Trunk100GE1/0/1VLANIF200CSSGE2/0/1Eth-Trunk600GE1/0/5VLANIF600假設此接口用于連接部門B,并作為部門B用戶的網(wǎng)關GE2/0/5HTTP服務器以太網(wǎng)接口--CSSGE1/1/0/10配置思路采用如下思路配置園區(qū)出口：步驟配置思路涉及產(chǎn)品11核心交換機配置集群〔CSS2匯聚交換機配置堆疊<iStack>核心交換機Switch1和Switch2,匯聚交換機Switch3、Switch4、Switch5、Switch62配置接口,為提高鏈路可靠性1核心交換機<CSS>和防火墻之間配置Eth-Trunk2核心交換機<CSS>和匯聚交換機<AGG>之間配置Eth-Trunk3匯聚交換機和接入交換機之間的Eth-Trunk核心交換機〔CSS、防火墻〔FW1、FW2、匯聚交換機〔AGG1、AGG23配置各接口IP地址1配置Router上下行接口IP地址2配置FW上下行接口IP地址3配置核心交換機上下行接口IP地址4配置匯聚交換機上下行接口IP地址路由器〔Router1、Router2、防火墻〔FW1、FW2、核心交換機〔CSS、匯聚交換機〔AGG1、AGG24配置路由協(xié)議,網(wǎng)使用OSPF協(xié)議1路由器、防火墻、核心交換機上行接口配置為骨干區(qū)域Area02核心交換機下行接口、匯聚交換機配置為NSSA區(qū)域Area1、Area23在核心交換機上配置一條缺省路由,下一跳指向防火墻,在防火墻上配置一條缺省路由,下一跳指向出口路由器,出口路由器上配置一條缺省路由,下一跳指向運行商網(wǎng)絡設備的對接地址〔公網(wǎng)網(wǎng)關路由器〔Router1、Router2、防火墻〔FW1、FW2、核心交換機〔CSS5配置防火墻各接口所屬安全區(qū)域1將連接外網(wǎng)的接口加入到Untrust區(qū)域2將連接網(wǎng)的接口加入到Trust區(qū)域3將雙機熱備心跳線加入到DMZ區(qū)域防火墻〔FW1、FW26配置雙機熱備1配置VGMP監(jiān)控上下行接口2指定心跳線,啟用雙機熱備3使能快速備份功能,保證兩臺防火墻實現(xiàn)負載分擔防火墻〔FW1、FW27配置DHCP1在核心交換機上配置DCHP服務器功能,指定地址池和網(wǎng)關2在匯聚交換上配置是DHCP中繼功能核心交換機<CSS>、匯聚交換機〔AGG1、AGG28配置NAT1在兩臺出口路由器上配置NAT,讓部門A的用戶可以訪問Internet,部門B用戶不能訪問Internet2在在兩臺出口路由器上配置NATServer,保證外部用戶能夠訪問HTTP服務器出口路由器Router1、Router29配置攻擊防,在防火墻上開啟SYNFlood、HTTPFlood攻擊防功能,保護部服務器不受攻擊防火墻操作步驟核心交換機：配置交換機集群連接集群卡的線纜,下圖以EH1D2VS08000集群卡連線為例。一塊集群卡只能與對框一塊集群卡相連,不能連接到多塊集群卡,且不能與本框集群卡相連。集群卡上組1的任意接口只能與對框集群卡上組1的任意接口相連,組2的要求同組1。每塊集群卡上連接集群線纜的數(shù)量相同〔如果不相同會影響總的集群帶寬,且兩端按照接口編號的順序?qū)?。在Switch1上配置集群,集群連接方式為集群卡〔缺省值,不需配置。集群ID采用缺省值1〔不需配置,優(yōu)先級為100在Switch2上配置集群。集群連接方式為集群卡〔缺省值,不需配置。集群ID為2。優(yōu)先級采用缺省值1〔不需配置。交換機完成重啟后,查看集群狀態(tài)集群系統(tǒng)主的CSSMASTER燈綠色常亮,如dc_cfg_campus_001#fig_dc_cfg_campus_00103所示。Switch1的兩塊主控板上編號為1的CSSID燈綠色常亮,Switch2的兩塊主控板上編號為2的CSSID燈綠色常亮。集群卡上有集群線纜連接的端口LINK/ALM燈綠色常亮。主框上所有集群卡的MASTER燈綠色常亮,備框上所有集群卡的MASTER燈常滅。集群建立后,后續(xù)交換機的配置都在主交換機上進行,數(shù)據(jù)會自動同步到備交換機。在集群系統(tǒng)中,接口編號會變?yōu)?維,例如,10GE1/1/0/9。其中左邊第一位表示集群ID。匯聚交換機：配置堆疊〔iStack,這里以S5720EI系列交換機為例,使用業(yè)務口做堆疊以Switch3和Swtich4為例,Switch5和Swtich6做堆疊類似,不做贅述。在配置堆疊前,先不要連線,等配置完成之后再連線配置邏輯堆疊端口并加入物理成員接口本端設備邏輯堆疊端口stack-portn/1里的物理成員端口只能與對端設備邏輯堆疊端口stack-portn/2里的物理成員端口相連。#配置Switch3的業(yè)務口GE0/0/28為物理成員端口,并加入到相應的邏輯堆疊端口。#配置Switch4的業(yè)務口GE0/0/28為物理成員端口,并加入到相應的邏輯堆疊端口。配置堆疊ID和堆疊優(yōu)先級#配置Switch3的堆疊優(yōu)先級為200。#配置Switch3的堆疊ID為1。#配置Switch4的堆疊ID為2。Switch3、Switch4下電,使用SFP+電纜連接GE0/0/28接口做堆疊口。下電前,建議通過命令save保存配置。本設備的stack-port0/1必須連接鄰設備的stack-port0/2,否則堆疊組建不成功。設備上電如果用戶希望某臺交換機為主交換機可以先為其上電,例如：希望Switch3做為主設備,可以先給Switch3上電,再為Switch4上電。檢查堆疊是否建立成功可以看到一主一備,堆疊建立成功。部署Eth-Trunk接口：配置CSS與FW、匯聚交換機之間的跨框Eth-Trunk口防火墻FW：配置和核心交換機CSS之間互聯(lián)的Eth-Trunk接口#在FW1上創(chuàng)建Eth-Trunk10,用于連接核心交換機CSS,并加入Eth-Trunk成員接口。#在FW2上創(chuàng)建Eth-Trunk20,用于連接核心交換機CSS,并加入Eth-Trunk成員接口。核心交換機CSS：配置CSS和FW之間、CSS和匯聚交換機的跨框Eth-Trunk#在CSS上創(chuàng)建Eth-Trunk10,用于連接FW1,并加入Eth-Trunk成員接口。#在CSS上創(chuàng)建Eth-Trunk20,用于連接FW2,并加入Eth-Trunk成員接口。#在CSS上創(chuàng)建Eth-Trunk100,用于連接匯聚交換機AGG1,并加入Eth-Trunk成員接口。#在CSS上創(chuàng)建Eth-Trunk200,用于連接匯聚交換機AGG2,并加入Eth-Trunk成員接口。匯聚交換機：配置匯聚交換機AGG和核心交換機CSS、匯聚交換機和接入交換機之間互聯(lián)的Eth-Trunk接口#配置AGG1。#配置AGG2。配置各接口IP地址#配置Router1。#配置Router2。#配置FW1。#配置FW2。#配置CSS。#配置AGG1。#配置AGG2。防火墻：配置防火墻各接口所屬安全區(qū)域和安全策略#將各接口加入到安全區(qū)域。#FW1:配置安全策略#FW2:配置安全策略部署路由路由器、防火墻、核心交換機上行接口配置為骨干區(qū)域Area0#配置Router1#配置Router2#配置FW1#配置FW2#配置CSS核心交換機下行接口、匯聚交換機配置為NSSA區(qū)域Area1、Area2#配置CSS#配置AGG1#配置AGG2在核心交換機上配置一條缺省路由,下一跳指向防火墻,在防火墻上配置一條缺省路由,下一跳指向出口路由器,出口路由器上配置一條缺省路由,下一跳指向運行商網(wǎng)絡設備的對接地址〔公網(wǎng)網(wǎng)關檢查配置結果在AGG上查看路由表,可以看到到網(wǎng)各網(wǎng)段都生成了路由,并且通過NSSA區(qū)域生成一條缺省路由,以AGG1為例：核心交換機CSS、匯聚交換機AGG：配置DHCP#在核心交換機CSS上配置DHCP服務器,自動為用戶分配IP地址。#在匯聚交換機AGG1上配置DHCP中繼。#在匯聚交換機AGG2上配置DHCP中繼。#檢查配置結果。在客戶端配置通過DHCP服務器獲取IP地址,然后在設備上查看地址池情況,可以看到已分配兩個IP地址給用戶〔Used:2,還剩余503個〔Idle:503,說明IP地址已經(jīng)分配成功。出口路由器：配置NAT網(wǎng)用戶使用的私網(wǎng)IP地址,要想實現(xiàn)如下功能：部門A用戶可以訪問Internet,在出口路由器配置NAT地址轉換,在出口路由器將私網(wǎng)IP地址轉換成公網(wǎng)IP。外網(wǎng)用戶能否訪問網(wǎng)HTTP服務器,在出口路由器配置NATServer。假設運營商分配給企業(yè)用戶的公網(wǎng)IP為：~0,~0。其中作為Router1連接外網(wǎng)的IP地址,為Router2連接外網(wǎng)的IP地址。0作為外網(wǎng)用戶訪問HTTP服務器的公網(wǎng)地址。網(wǎng)用戶使用剩余IP公網(wǎng)IP訪問Internet。#在Router1上配置NAT,將部門A的用戶的IP私網(wǎng)地址轉換成公網(wǎng)IP,保證部門A的用戶能夠訪問Internet#在Router2上配置NAT,將部門A的用戶的IP私網(wǎng)地址轉換成公網(wǎng)IP#在Router1和Router2上配置NATServer,保證外部用戶能夠訪問網(wǎng)HTTP服務器防火墻：配置雙機熱備#在FW1上配置VGMP組監(jiān)控上下行業(yè)務接口。#在FW1配置根據(jù)HRP狀態(tài)調(diào)整OSPF的相關COST值的功能。#在FW2上配置VGMP組監(jiān)控上下行業(yè)務接口。#在FW2配置根據(jù)HRP狀態(tài)調(diào)整OSPF的相關COST值的功能。在FW1上指定心跳接口,啟用雙機熱備。雙機熱備