园区出口配置举例(防火墙旁路)

DOCPROPERTY"Product&ProjectName"DOCPROPERTYDocumentNameSTYLEREF"1"\n1STYLEREF"1"综合配置案例DOCPROPERTY"Product&ProjectName"DOCPROPERTYDocumentName交换机在江湖-实战案例文档版本DOCPROPERTYDocumentVersion(DOCPROPERTYReleaseDate)DOCPROPERTYProprietaryDeclaration华为专有和保密信息版权所有©华为技术有限公司华为专有和保密信息版权所有©华为技术有限公司PAGE31大型园区出口配置示例（防火墙旁路部署）配置注意事项本举例中的交换机以华为公司的S系列框式交换机为例、防火墙以USG系列为例、路由器以NE系列为例。本配置案例仅涉及企业网络出口相关配置，涉及企业内网的相关配置请参见华为S系列园区交换机快速配置中的“大型园区组网场景”。本例仅涉及防火墙与交换机的对接配置以及防火墙的双机热备配置。防火墙上的安全业务规划及园区安全策略、攻击防范、带宽管理、IPSec等功能的配置示例请参见\o""《防火墙配置案例集》。本例仅涉及园区出口路由器与交换机的对接配置。路由器在公网侧的配置示例请参见NE系列路由器《配置指南》。组网需求在大型园区出口，核心交换机上行通过路由器访问外网。防火墙旁挂于核心交换机，对业务流量提供安全过滤功能。为了简化网络并提高可靠性，在核心层交换机通常部署集群。在防火墙上部署双机热备（主备模式），当其中一台故障时，业务可以平滑切换到另一台。核心交换机双归接入2台出口路由器，路由器之间部署VRRP确保可靠性。为提高链路可靠性，在核心交换机与出口路由器之间，核心交换机与防火墙之间，2台防火墙之间均通过Eth-Trunk互连。如下图所示。在一般的三层转发环境下，园区内外部之间的流量将直接通过交换机转发，不会经过FW1或FW2。当流量需要从交换机转发至FW，经FW检测后再转发回交换机，就需要在交换机上配置VRF功能，将交换机隔离成两个相互独立的虚拟交换机VRF-A和根交换机Public。Public作为连接出口路由器的交换机。对于下行流量，它将外网进来的流量转发给FW进行检测；对于上行流量，它接收经FW检测后的流量，并转发到路由器。VRF-A作为连接内网侧的交换机。对于下行流量，它接收经FW检测后的流量，并转发到内网；对于上行流量，它将内网的流量转发到FW去检测。根据上图中的流量转发路径可以将上图转换成如下所示的更容易理解的逻辑组网图。本例所示核心交换机工作在三层模式，上图所示的逻辑组网图可以理解为防火墙上下行连接三层交换机的双机热备组网。这种组网的特点是需要在防火墙的上下行业务接口上部署VRRP备份组，如下所示。如上图所示，内部用户访问外网的流量转发路径如下（上图中蓝色路径）：当内部用户访问外网的流量到达VRF-A时，流量根据VRF-A上的静态路由（下一跳设置为防火墙下行VRRP的虚拟IP地址）被转发到防火墙。防火墙完成对流量的安全检测后，会根据静态路由（下一跳设置为CSS的VLANIF20）将流量转发到Public上。最后，Public通过到路由器的静态路由（下一跳设置为路由器VRRP的虚拟IP地址）将流量转发到路由器。外部用户访问内网的流量转发路径如下（上图中红色路径）：当外部用户访问内网的流量到路由器时，流量根据OSPF路由表被转发到Public上。流量到达Public后，先根据Public上的静态路由（下一跳设置为防火墙上行VRRP的虚拟IP地址）被转发到防火墙。防火墙完成对流量的安全检测后，会根据静态路由（下一跳设置为CSS的VLANIF30）将流量转发到VRF-A上。VRF-A通过OSPF路由表将流量转发汇聚交换机，最后由汇聚交换机将流量转发到业务网络。数据规划设备接口编号成员接口VLANIFIP地址对端设备对端接口编号Router1Eth-trunk1.10010GE1/0/110GE1/0/2-/24Switch1Switch2Eth-Trunk1Router2Eth-trunk1.10010GE1/0/110GE1/0/2-/24Switch1Switch2Eth-Trunk2Router1和Router2的VRRP00/24--CSS（Switch1和Switch2）Eth-trunk110GE1/4/0/010GE2/4/0/0VLANIF10/24Router1Eth-Trunk1Eth-trunk210GE1/4/0/110GE2/4/0/1VLANIF10/24Router2Eth-Trunk1Eth-trunk4GE1/1/0/7GE2/1/0/7VLANIF20/24FW1Eth-Trunk4Eth-trunk5GE1/1/0/8GE2/1/0/8VLANIF30/24FW1Eth-Trunk5Eth-trunk6GE1/2/0/7GE2/2/0/7VLANIF20/24FW2Eth-Trunk6Eth-trunk7GE1/2/0/8GE2/2/0/8VLANIF30/24FW2Eth-Trunk7Eth-trunk8GE1/3/0/1GE2/3/0/1VLANIF100/24业务网络1-（本案例不体现配置）Eth-trunk9GE1/3/0/2GE2/3/0/2VLANIF200/24业务网络2-（本案例不体现配置）FW1Eth-trunk1GE2/0/0GE2/0/1-/24FW2Eth-Trunk1Eth-Trunk4GE1/0/0GE1/0/1-/24Switch1Switch2Eth-Trunk4Eth-Trunk5GE1/1/0GE1/1/1-/24Switch1Switch2Eth-Trunk5FW2Eth-trunk1GE2/0/0GE2/0/1-/24FW1Eth-Trunk1Eth-Trunk6GE1/0/0GE1/0/1-/24Switch1Switch2Eth-Trunk6Eth-Trunk7GE1/1/0GE1/1/1-/24Switch1Switch2Eth-Trunk7FW1和FW2的VRRP1（上行）/24--FW1和FW2的VRRP2（下行）/24--配置思路采用如下思路配置园区出口举例：配置核心交换机集群CSS。配置交换机与防火墙、路由器之间的接口及IP地址。为提高链路可靠性，在交换机与防火墙、交换机与路由器之间配置跨框Eth-Trunk接口。在防火墙的接口上配置安全区域。在出口路由器上部署VRRP。为了保证核心交换机与两个出口路由器之间的可靠性，在两个出口路由器之间部署VRRP，VRRP的心跳报文经过核心交换机进行交互。Router1为Master设备，Router2为Backup设备。部署路由。交换机上配置VRF功能，将交换机隔离成两个相互独立的虚拟交换机VRF-A和根交换机Public，以隔离业务网段路由与公网路由。为了引导各设备的上行流量，在核心交换机上配置一条缺省路由，下一跳指向出口路由器VRRP的虚地址。为了引导园区两个出口路由器的回程流量，在两个出口路由器和核心交换机之间部署OSPF，核心交换机上将所有用户网段发布到OSPF里面，通告给两个出口路由器。为了将业务网络的上行流量引导至防火墙，在交换机上配置一条缺省路由，下一跳指向防火墙VRRPVRID2的虚拟IP。为了将到业务网络1的下行流量引导至防火墙，在交换机上配置一条缺省路由，下一跳指向防火墙VRRPVRID1的虚拟IP。为了将到业务网络2的下行流量引导至防火墙，在交换机上配置一条缺省路由，下一跳指向防火墙VRRPVRID1的虚拟IP。为了将业务网络的上行流量引导至交换机，在防火墙上配置一条缺省路由，下一跳指向交换机VLANIF20的IP地址。为了将到业务网络1的下行流量引导至交换机，在防火墙上配置一条缺省路由，下一跳指向交换机VLANIF30的IP地址。为了将到业务网络2的下行流量引导至交换机，在防火墙上配置一条缺省路由，下一跳指向交换机VLANIF30的IP地址。配置防火墙双机热备。操作步骤交换机：配置交换机集群。连接集群卡的线缆。下图以S12700交换机的EH1D2VS08000集群卡连线为例。本例连线示意图中，S12700主控板、交换网板和集群卡都是满配的情况。实际使用时，S12700每框至少配置一块主控板和一块交换网板即可。推荐每框配置两块交换网板并插上两块集群卡。两框之间至少要连接一根集群线缆。一块集群卡只能与对框一块集群卡相连，不能连接到多块集群卡，且不能与本框集群卡相连。集群卡上组1的任意接口只能与对框集群卡上组1的任意接口相连，组2的要求同组1。每块集群卡上连接集群线缆的数量相同（如果不相同会影响总的集群带宽），且两端按照接口编号的顺序对接。在Switch1上配置集群。#集群连接方式为集群卡（缺省值，不需配置）。集群ID采用缺省值1（不需配置）。优先级为100。在Switch2上配置集群。集群连接方式为集群卡（缺省值，不需配置）。集群ID为2。优先级采用缺省值1（不需配置）。交换机完成重启后，查看集群状态。在集群系统的主交换机Switch1上，主用主控板上的CSSMASTER灯绿色常亮。（图1）Switch1的两块主控板上编号为1的CSSID灯绿色常亮，Switch2的两块主控板上编号为2的CSSID灯绿色常亮。（图1）集群卡上有集群线缆连接的端口LINK/ALM灯绿色常亮。（图2）主框上所有集群卡的MASTER灯绿色常亮，备框上所有集群卡的MASTER灯常灭。（图2）集群建立后，后续交换机的配置都在主交换机（Switch1）上进行，数据会自动同步到备交换机（Switch2）。在集群系统中，接口编号会变为4维，例如，10GE1/4/0/0。其中左边第一位表示集群ID。配置CSS与FW、路由器之间的跨框Eth-Trunk口，CSS上的VLANIF口以及IP地址。配置交换机与路由器之间的跨框Eth-Trunk，VLANIF以及IP地址。#在CSS上创建Eth-Trunk1，用于连接Router1，并加入Eth-Trunk成员接口。#在CSS上创建Eth-Trunk2，用于连接Router2，并加入Eth-Trunk成员接口。#创建VLANIF，并配置IP地址。配置交换机与FW之间的跨框Eth-Trunk，CSS上的VLANIF口以及IP地址。#在CSS上创建Eth-Trunk4，用于将Pubilc与FW1连接，并加入Eth-Trunk成员接口。#在CSS上创建Eth-Trunk5，用于将VRF-A与FW1连接，并加入Eth-Trunk成员接口。#在CSS上创建Eth-Trunk6，用于将Pubilc与FW2连接，并加入Eth-Trunk成员接口。#在CSS上创建Eth-Trunk7，用于将VRF-A与FW2连接，并加入Eth-Trunk成员接口。#创建VLANIF，并配置IP地址。配置交换机与业务网络之间的跨框Eth-Trunk，VLANIF以及IP地址。#在CSS上创建Eth-Trunk8，用于连接业务网络1，并加入Eth-Trunk成员接口。#在CSS上创建Eth-Trunk9，用于连接业务网络2，并加入Eth-Trunk成员接口。#创建VLANIF，并配置IP地址。路由器：配置路由器与CSS之间的接口#配置Router1，在Router1上创建Eth-Trunk1，并加入成员接口。#配置Dot1q终结子接口，终结VLAN10。并配置IP地址。#Router2上的配置步骤与Router1相同，仅接口IP地址有差别，请参照Router1完成Router2的配置。防火墙：配置防火墙的接口与安全区#配置FW1的接口与安全区。#配置FW2的接口与安全区。路由器：部署VRRP。Router1为VRRP的Master，Router2为VRRP的Backup#配置Router1。#配置Router2。配置完成后，Router1和Router2之间应该能建立VRRP的主备份关系，执行displayvrrp命令可以看到Router1和Router2的VRRP状态。#查看Router1的VRRP状态为Master。#查看Router2的VRRP状态为Backup。配置CSS与FW、路由器之间的路由。在交换机与路由器之间部署OSPF。#在CSS上创建VPN实例Public，将连接路由器的接口和连接防火墙上行口的接口绑定到Public。#对于上行流量,在Public中配置静态路由，路由下一跳指向路由器VRRP虚拟IP。#对于下行流量，在CSS与Router之间运行OSPF协议，用于Router学习到业务网段的回程路由信息。在两个出口路由器Router1、Router2上部署OSPF。#配置Router1#配置Router2#配置完成后，CSS、Router1和Router2之间能建立邻居关系。以查看CSS上的OSPF邻居为例，能看到Router1和Router2，并且邻居状态是Full。交换机：配置交换机与FW之间的静态路由。#对于上行流量,在CSS上创建VPN实例VRF-A，将连接业务网络的接口和连接防火墙下行的接口绑定到VRF-A，VRF-A的缺省路由下一跳指向防火墙下行VRRP虚拟IP（VRID2）。#在VRF-A中的配置缺省路由，下一跳指向防火墙下行VRRP2的虚拟IP（VRID2）。#在Public中配置静态路由，对于下行流量，路由下一跳指向防火墙上行VRRP1的虚拟IP（VRID1）。防火墙：配置防火墙的静态路由#在FW1上配置静态路由。#在FW2上配置静态路由。#配置完成后，Router1、Router1和CSS之间应该建立OSPF邻居关系，执行displayospfpeer命令可以查看OSPF邻居状态为Full，以CSS为例，OSPF邻居状态如下。检查路由配置结果#查看CSS上的路由表。可以看到在VRF-A的路由表中，第1行表示访问外网流量的下一跳是防火墙VRRPVRID2的虚拟地址，说明上行流量被强制转发到防火墙进行检测。可以看到在Public的路由表中，第1行表示访问外网流量的下一跳是路由器VRRPVRID1的虚拟地址00。第5、6行表示访问业务网络的流量的下一跳