大型园区出口配置示例防火墙直连部署.docx

大型园区出口配置示例防火墙直连部署.docx

《大型园区出口配置示例防火墙直连部署.docx》由会员分享，可在线阅读，更多相关《大型园区出口配置示例防火墙直连部署.docx（44页珍藏版）》请在冰豆网上搜索。

大型园区出口配置示例防火墙直连部署

1大型园区出口配置示例（防火墙直连部署）

组网需求

如图1-1所示，在大型园区出口，核心交换机上行和防火墙进行直连，通过防火墙连接到出口网关，对出入园区的业务流量提供安全过滤功能，为网络安全提供保，网络要求如下：

●内网用户使用私网IP地址，用户的IP地址使用DHCP自动分配。

●部门A用户能够访问Internet，部门B用户不能访问Internet。

●内外网用户都可以访问HTTP服务器。

●保证网络的可靠性，每个节点都进行冗余设计。

图1-1园区出口组网图（防火墙直连）

部署要点

●路由部署：

−RouterID：

为每台设备配置一个Loopback地址，作为设备的RouterID。

−出口路由器、防火墙、核心交换机作为OSPF骨干区域Area0，出口路由器作为ASBR，核心交换机为ABR。

−部门A和部门B的的OSPF区域分别配置为Area1和Area2，并配置为NSSA区域，减少LSA在区域间的传播。

−为了引导各设备的上行流量，在核心交换机上配置一条缺省路由，下一跳指向防火墙，在防火墙上配置一条缺省路由，下一跳指向出口路由器，出口路由器上配置一条缺省路由，下一跳指向运行商网络设备的对接地址（公网网关）。

●可靠性部署：

推荐使用CSS+iStack+Eth-trunk无环以太网技术，让可靠性变得简单。

−在核心交换机部署集群（CSS），汇聚交换机部署堆叠（iStack），保证设备级可靠性。

−为提高链路可靠性、在核心交换机与防火墙之间、核心交换机和汇聚交换机之间、汇聚交换机和接入交换机之间均通过Eth-Trunk互连。

−在防火墙上部署双机热备，两台防火墙之间实现负载分担。

●DHCP部署：

−核心交换机配置DHCP服务器，为用户自动分配IP地址。

−在汇聚交换机上配置DHCPRelay，保证能够通过DHCP服务为用户分配IP地址。

●NAT部署：

−为了使内网用户访问Internet，在两台出口路由器的上行口配置NAT，实现私网地址和公网地址之间的转换。

通过ACL匹配部门A的源IP地址，从而实现部门A的用户可以访问Internet，而部门B的用户不能访问Internet。

−为了保证外网用户能够访问HTTP服务器，在两台出口路由器上配置NATServer。

●安全部署：

防火墙配置安全策略，对流量进行过滤，保证网络安全。

设备规划

设备类型

设备型号

路由器Router1、Router2

华为AR3600系列路由器

防火墙FW1、FW2

华为USG9000系列防火墙

核心交换机做CSS

华为S7700/S9700/S12700交换机

汇聚交换机做iStack

华为S5720EI系列交换机，使用业务口做堆叠

数据规划

设备

接口编号

成员接口

VLANIF

IP地址

对端设备

对端接口编号

Router1

GE0/0/1

-

-

10.1.1.1/24

FW1

GE1/0/1

GE0/0/2

-

-

202.10.1.1/24

假设此接口用于连接运营商设备接口，IP地址为运营商分配的公网IP。

Router2

GE0/0/1

-

-

10.2.1.1/24

FW2

GE1/0/1

GE0/0/2

202.10.2.1/24

假设此接口用于连接运营商设备接口，IP地址为运营商分配的公网IP。

FW1

GE1/0/1

-

-

10.1.1.2/24

Router1

GE0/0/1

GE1/0/7

-

-

10.10.1.1/24

FW2

GE1/0/7

Eth-Trunk10

GE2/0/3

-

10.3.1.1/24

CSS

Eth-Trunk10

GE2/0/4

FW2

GE1/0/1

-

-

10.2.1.2/24

Router2

GE0/0/1

GE1/0/7

-

-

10.10.1.2/24

FW1

GE1/0/7

Eth-Trunk20

GE2/0/3

-

10.4.1.1/24

CSS

Eth-Trunk20

GE2/0/4

CSS

GE1/1/0/10

-

VLANIF300

10.100.1.1

HTTP服务器

以太网接口

Eth-Trunk10

GE1/1/0/3

-

10.3.1.2/24

FW1

Eth-Trunk10

GE2/1/0/3

Eth-Trunk20

GE1/1/0/4

-

10.4.1.2/24

FW2

Eth-Trunk20

GE2/1/0/4

Eth-Trunk100

GE1/2/0/3

VLANIF100

10.5.1.1/24

AGG1

Eth-Trunk100

GE2/2/0/3

Eth-Trunk200

GE1/2/0/4

VLANIF200

10.6.1.1/24

AGG2

Eth-Trunk200

GE2/2/0/4

AGG1

Eth-Trunk100

GE1/0/1

VLANIF100

10.5.1.2/24

CSS

Eth-Trunk100

GE2/0/1

Eth-Trunk500

GE1/0/5

VLANIF500

192.168.1.1/24

假设此接口用于连接部门A，并作为部门A用户的网关

GE2/0/5

AGG2

Eth-Trunk100

GE1/0/1

VLANIF200

10.6.1.2/24

CSS

GE2/0/1

Eth-Trunk600

GE1/0/5

VLANIF600

192.168.2.1/24

假设此接口用于连接部门B，并作为部门B用户的网关

GE2/0/5

HTTP服务器

以太网接口

-

-

10.100.1.10/24

CSS

GE1/1/0/10

配置思路

采用如下思路配置园区出口：

步骤

配置思路

涉及产品

1

1）核心交换机配置集群（CSS）

2）汇聚交换机配置堆叠（iStack）

核心交换机Switch1和Switch2，汇聚交换机Switch3、Switch4、Switch5、Switch6

2

配置接口，为提高链路可靠性

1）核心交换机（CSS）和防火墙之间配置Eth-Trunk

2）核心交换机（CSS）和汇聚交换机（AGG）之间配置Eth-Trunk

3）汇聚交换机和接入交换机之间的Eth-Trunk

核心交换机（CSS）、防火墙（FW1、FW2）、汇聚交换机（AGG1、AGG2）

3

配置各接口IP地址

1）配置Router上下行接口IP地址

2）配置FW上下行接口IP地址

3）配置核心交换机上下行接口IP地址

4）配置汇聚交换机上下行接口IP地址

路由器（Router1、Router2）、防火墙（FW1、FW2）、核心交换机（CSS）、汇聚交换机（AGG1、AGG2）

4

配置路由协议，内网使用OSPF协议

1）路由器、防火墙、核心交换机上行接口配置为骨干区域Area0

2）核心交换机下行接口、汇聚交换机配置为NSSA区域Area1、Area2

3）在核心交换机上配置一条缺省路由，下一跳指向防火墙，在防火墙上配置一条缺省路由，下一跳指向出口路由器，出口路由器上配置一条缺省路由，下一跳指向运行商网络设备的对接地址（公网网关）

路由器（Router1、Router2）、防火墙（FW1、FW2）、核心交换机（CSS）

5

配置防火墙各接口所属安全区域

1）将连接外网的接口加入到Untrust区域

2）将连接内网的接口加入到Trust区域

3）将双机热备心跳线加入到DMZ区域

防火墙（FW1、FW2）

6

配置双机热备

1）配置VGMP监控上下行接口

2）指定心跳线，启用双机热备

3）使能快速备份功能，保证两台防火墙实现负载分担

防火墙（FW1、FW2）

7

配置DHCP

1）在核心交换机上配置DCHP服务器功能，指定地址池和网关

2）在汇聚交换上配置是DHCP中继功能

核心交换机（CSS）、汇聚交换机（AGG1、AGG2）

8

配置NAT

1）在两台出口路由器上配置NAT，让部门A的用户可以访问Internet，部门B用户不能访问Internet

2）在在两台出口路由器上配置NATServer，保证外部用户能够访问HTTP服务器

出口路由器Router1、Router2

9

配置攻击防范，在防火墙上开启SYNFlood、HTTPFlood攻击防范功能，保护内部服务器不受攻击

防火墙

操作步骤

步骤1核心交换机：

配置交换机集群

1.连接集群卡的线缆，下图以EH1D2VS08000集群卡连线为例。

●一块集群卡只能与对框一块集群卡相连，不能连接到多块集群卡，且不能与本框集群卡相连。

●集群卡上组1的任意接口只能与对框集群卡上组1的任意接口相连，组2的要求同组1。

●每块集群卡上连接集群线缆的数量相同（如果不相同会影响总的集群带宽），且两端按照接口编号的顺序对接。

2.在Switch1上配置集群，集群连接方式为集群卡（缺省值，不需配置）。

集群ID采用缺省值1（不需配置），优先级为100

system-view

[HUAWEI]setcssmodecss-card//设备缺省值，不需再执行命令配置,此步骤仅用作示范命令

[HUAWEI]setcssid1//设备缺省值，不需再执行命令配置,此步骤仅用作示范命令

[HUAWEI]setcsspriority100//集群优先级缺省为1，修改主交换机的优先级大于备交换机

[HUAWEI]cssenable

Warning:

TheCSSconfigurationtakeseffectonlyafterthesystemisrebooted.ThenextCSSmodeisCSS-Card.Rebootnow?

[Y/N]:

Y//重启交换机

3.在Switch2上配置集群。

集群连接方式为集群卡（缺省值，不需配置）。

集群ID为2。

优先级采用缺省值1（不需配置）。

system-view

[HUAWEI]setcssid2//集群ID缺省为1，修改备交换机的ID为2

[HUAWEI]cssenable

Warning:

TheCSSconfigurationtakeseffectonlyafterthesystemisrebooted.ThenextCSSmodeisCSS-Card.Rebootnow?

[Y/N]:

Y//重启交换机

4.交换机完成重启后，查看集群状态

集群系统主的CSSMASTER灯绿色常亮，如dc_cfg_campus_001#fig_dc_cfg_campus_00103所示。

−Switch1的两块主控板上编号为1的CSSID灯绿色常亮，Switch2的两块主控板上编号为2的CSSID灯绿色常亮。

−集群卡上有集群线缆连接的端口LINK/ALM灯绿色常亮。

−主框上所有集群卡的MASTER灯绿色常亮，备框上所有集群卡的MASTER灯常灭。

集群建立后，后续交换机的配置都在主交换机上进行，数据会自动同步到备交换机。

在集群系统中，接口编号会变为4维，例如，10GE1/1/0/9。

其中左边第一位表示集群ID。

步骤2汇聚交换机：

配置堆叠（iStack），这里以S5720EI系列交换机为例，使用业务口做堆叠

以Switch3和Swtich4为例，Switch5和Swtich6做堆叠类似，不做赘述。

在配置堆叠前，先不要连线，等配置完成之后再连线

5.配置逻辑堆叠端口并加入物理成员接口

本端设备逻辑堆叠端口stack-portn/1里的物理成员端口只能与对端设备逻辑堆叠端口stack-portn/2里的物理成员端口相连。

#配置Switch3的业务口GE0/0/28为物理成员端口，并加入到相应的逻辑堆叠端口。

[Switch3]interfacestack-port0/1

[Switch3-stack-port0/1]portinterfacegigabitethernet0/0/28enable

Warning:

Enablingstackfunctionmaycauseconfigurationlossontheinterface,continue?

[Y/N]:

Y

Info:

Thisoperationmaytakeafewseconds.Pleasewaitforamoment.......

[Switch3-stack-port0/1]quit

#配置Switch4的业务口GE0/0/28为物理成员端口，并加入到相应的逻辑堆叠端口。

[Switch4]interfacestack-port0/2

[Switch4-stack-port0/2]portinterfacegigabitethernet0/0/28enable

Warning:

Enablingstackfunctionmaycauseconfigurationlossontheinterface,continue?

[Y/N]:

Y

Info:

Thisoperationmaytakeafewseconds.Pleasewaitforamoment.......

[Switch4-stack-port0/2]quit

6.配置堆叠ID和堆叠优先级

#配置Switch3的堆叠优先级为200。

[Switch3]stackslot0priority200

Warning:

PleasedonotfrequentlymodifyPriority,itwillmakethestacksplit,continue?

[Y/N]:

Y

#配置Switch3的堆叠ID为1。

[Switch3]stackslot0renumber1

Warning:

AlltheconfigurationsrelatedtotheslotIDwillbelostaftertheslotIDismodified.

PleasedonotfrequentlymodifyslotID,itwillmakethestacksplit.Continue?

[Y/N]:

Y

Info:

Stackconfigurationhasbeenchanged,andthedeviceneedstorestarttomaketheconfigurationeffective.

#配置Switch4的堆叠ID为2。

[Switch4]stackslot0renumber2

Warning:

AlltheconfigurationsrelatedtotheslotIDwillbelostaftertheslotIDismodified.

PleasedonotfrequentlymodifyslotID,itwillmakethestacksplit.Continue?

[Y/N]:

Y

Info:

Stackconfigurationhasbeenchanged,andthedeviceneedstorestarttomaketheconfigurationeffective.

7.Switch3、Switch4下电，使用SFP+电缆连接GE0/0/28接口做堆叠口。

下电前，建议通过命令save保存配置。

本设备的stack-port0/1必须连接邻设备的stack-port0/2，否则堆叠组建不成功。

8.设备上电

如果用户希望某台交换机为主交换机可以先为其上电，例如：

希望Switch3做为主设备，可以先给Switch3上电，再为Switch4上电。

9.检查堆叠是否建立成功

[Switch3]displaystack

Stacktopologytype:

Link

StacksystemMAC:

0018-82b1-6eb4

MACswitchdelaytime:

2min

Stackreservedvlan:

4093

Slotoftheactivemanagementport:

--

SlotRoleMacaddressPriorityDevicetype

-------------------------------------------------------------

1Master0018-82b1-6eb4200S5720-36C-EI-AC

2Standby0018-82b1-6eba150S5720-36C-EI-AC

可以看到一主一备，堆叠建立成功。

步骤3部署Eth-Trunk接口：

配置CSS与FW、汇聚交换机之间的跨框Eth-Trunk口

10.防火墙FW：

配置和核心交换机CSS之间互联的Eth-Trunk接口

#在FW1上创建Eth-Trunk10，用于连接核心交换机CSS，并加入Eth-Trunk成员接口。

[FW1]interfaceeth-trunk10//创建Eth-Trunk10接口，和CSS对接

[FW1-Eth-Trunk10]quit

[FW1]interfacegigabitethernet2/0/3

[FW1-GigabitEthernet2/0/3]eth-trunk10

[FW1-GigabitEthernet2/0/3]quit

[FW1]interfacegigabitethernet2/0/4

[FW1-GigabitEthernet2/0/4]eth-trunk10

[FW1-GigabitEthernet2/0/4]quit

#在FW2上创建Eth-Trunk20，用于连接核心交换机CSS，并加入Eth-Trunk成员接口。

[FW2]interfaceeth-trunk20//创建Eth-Trunk20接口，和CSS对接

[FW2-Eth-Trunk20]quit

[FW2]interfacegigabitethernet2/0/3

[FW2-GigabitEthernet2/0/3]eth-trunk20

[FW2-GigabitEthernet2/0/3]quit

[FW2]interfacegigabitethernet2/0/4

[FW2-GigabitEthernet2/0/4]eth-trunk20

[FW2-GigabitEthernet2/0/4]quit

11.核心交换机CSS：

配置CSS和FW之间、CSS和汇聚交换机的跨框Eth-Trunk

#在CSS上创建Eth-Trunk10，用于连接FW1，并加入Eth-Trunk成员接口。

[CSS]interfaceeth-trunk10//创建Eth-Trunk10接口，和FW1对接

[CSS-Eth-Trunk10]quit

[CSS]interfacegigabitethernet1/1/0/3

[CSS-GigabitEthernet1/1/0/3]eth-trunk10

[CSS-GigabitEthernet1/1/0/3]quit

[CSS]interfacegigabitethernet2/1/0/3

[CSS-GigabitEthernet2/1/0/3]eth-trunk10

[CSS-GigabitEthernet2/1/0/3]quit

#在CSS上创建Eth-Trunk20，用于连接FW2，并加入Eth-Trunk成员接口。

[CSS]interfaceeth-trunk20//创建Eth-Trunk20接口，和FW2对接

[CSS-Eth-Trunk20]quit

[CSS]interfacegigabitethernet1/1/0/4

[CSS-GigabitEthernet1/1/0/4]eth-trunk20

[CSS-GigabitEthernet1/1/0/4]quit

[CSS]interfacegigabitethernet2/1/0/4

[CSS-GigabitEthernet2/1/0/4]eth-trunk20

[CSS-GigabitEthernet2/1/0/4]quit

#在CSS上创建Eth-Trunk100，用于连接汇聚交换机AGG1，并加入Eth-Trunk成员接口。

[CSS]interfaceeth-trunk100//创建Eth-Trunk100接口，和AGG1相连

[CSS-Eth-Trunk100]quit

[CSS]interfacegigabitethernet1/2/0/3

[CSS-GigabitEthernet1/2/0/3]eth-trunk100

[CSS-GigabitEthernet1/2/0/3]quit

[CSS]interfacegigabitethernet2/2/0/3

[CSS-GigabitEthernet2/2/0/3]eth-trunk100

[CSS-GigabitEthernet2/2/0/3]quit

#在CSS上创建Eth-Trunk200，用于连接汇聚交换机AGG2，并加入Eth-Trunk成员接口。

[CSS]interfaceeth-trunk200//创建Eth-Trunk200接口，和AGG2相连

[CSS-Eth-Trunk200]quit

[CSS]interfacegigabitethernet1/2/0/4

[CSS-GigabitEthernet1/2/0/4]eth-trunk200

[CSS-GigabitEthernet1/2/0/4]quit

[CSS]interfacegigabitethernet2/2/0/4

[CSS-GigabitEthernet2/2/0/4]eth-trunk200

[CSS-GigabitEthernet2/2