大型园区出口配置示例(防火墙直连部署)

./大型园区出口配置示例〔防火墙直连部署组网需求如\o""图1-1所示,在大型园区出口,核心交换机上行和防火墙进行直连,通过防火墙连接到出口网关,对出入园区的业务流量提供安全过滤功能,为网络安全提供保,网络要求如下：网用户使用私网IP地址,用户的IP地址使用DHCP自动分配。部门A用户能够访问Internet,部门B用户不能访问Internet。外网用户都可以访问HTTP服务器。保证网络的可靠性,每个节点都进行冗余设计。部署要点路由部署：RouterID：为每台设备配置一个Loopback地址,作为设备的RouterID。出口路由器、防火墙、核心交换机作为OSPF骨干区域Area0,出口路由器作为ASBR,核心交换机为ABR。部门A和部门B的的OSPF区域分别配置为Area1和Area2,并配置为NSSA区域,减少LSA在区域间的传播。为了引导各设备的上行流量,在核心交换机上配置一条缺省路由,下一跳指向防火墙,在防火墙上配置一条缺省路由,下一跳指向出口路由器,出口路由器上配置一条缺省路由,下一跳指向运行商网络设备的对接地址〔公网网关。可靠性部署：推荐使用CSS+iStack+Eth-trunk无环以太网技术,让可靠性变得简单。在核心交换机部署集群〔CSS,汇聚交换机部署堆叠〔iStack,保证设备级可靠性。为提高链路可靠性、在核心交换机与防火墙之间、核心交换机和汇聚交换机之间、汇聚交换机和接入交换机之间均通过Eth-Trunk互连。在防火墙上部署双机热备,两台防火墙之间实现负载分担。DHCP部署：核心交换机配置DHCP服务器,为用户自动分配IP地址。在汇聚交换机上配置DHCPRelay,保证能够通过DHCP服务为用户分配IP地址。NAT部署：为了使网用户访问Internet,在两台出口路由器的上行口配置NAT,实现私网地址和公网地址之间的转换。通过ACL匹配部门A的源IP地址,从而实现部门A的用户可以访问Internet,而部门B的用户不能访问Internet。为了保证外网用户能够访问HTTP服务器,在两台出口路由器上配置NATServer。安全部署：防火墙配置安全策略,对流量进行过滤,保证网络安全。设备规划设备类型设备型号路由器Router1、Router2华为AR3600系列路由器防火墙FW1、FW2华为USG9000系列防火墙核心交换机做CSS华为S7700/S9700/S12700交换机汇聚交换机做iStack华为S5720EI系列交换机,使用业务口做堆叠数据规划设备接口编号成员接口VLANIFIP地址对端设备对端接口编号Router1GE0/0/1--FW1GE1/0/1GE0/0/2--假设此接口用于连接运营商设备接口,IP地址为运营商分配的公网IP。Router2GE0/0/1--FW2GE1/0/1GE0/0/2假设此接口用于连接运营商设备接口,IP地址为运营商分配的公网IP。FW1GE1/0/1--Router1GE0/0/1GE1/0/7--FW2GE1/0/7Eth-Trunk10GE2/0/3-4CSSEth-Trunk10GE2/0/4FW2GE1/0/1--Router2GE0/0/1GE1/0/7--FW1GE1/0/7Eth-Trunk20GE2/0/3-CSSEth-Trunk20GE2/0/4CSSGE1/1/0/10-VLANIF300HTTP服务器以太网接口Eth-Trunk10GE1/1/0/3-FW1Eth-Trunk10GE2/1/0/3Eth-Trunk20GE1/1/0/4-FW2Eth-Trunk20GE2/1/0/4Eth-Trunk100GE1/2/0/3VLANIF100AGG1Eth-Trunk100GE2/2/0/3Eth-Trunk200GE1/2/0/4VLANIF200AGG2Eth-Trunk200GE2/2/0/4AGG1Eth-Trunk100GE1/0/1VLANIF100CSSEth-Trunk100GE2/0/1Eth-Trunk500GE1/0/5VLANIF500假设此接口用于连接部门A,并作为部门A用户的网关GE2/0/5AGG2Eth-Trunk100GE1/0/1VLANIF200CSSGE2/0/1Eth-Trunk600GE1/0/5VLANIF600假设此接口用于连接部门B,并作为部门B用户的网关GE2/0/5HTTP服务器以太网接口--CSSGE1/1/0/10配置思路采用如下思路配置园区出口：步骤配置思路涉及产品11核心交换机配置集群〔CSS2汇聚交换机配置堆叠<iStack>核心交换机Switch1和Switch2,汇聚交换机Switch3、Switch4、Switch5、Switch62配置接口,为提高链路可靠性1核心交换机<CSS>和防火墙之间配置Eth-Trunk2核心交换机<CSS>和汇聚交换机<AGG>之间配置Eth-Trunk3汇聚交换机和接入交换机之间的Eth-Trunk核心交换机〔CSS、防火墙〔FW1、FW2、汇聚交换机〔AGG1、AGG23配置各接口IP地址1配置Router上下行接口IP地址2配置FW上下行接口IP地址3配置核心交换机上下行接口IP地址4配置汇聚交换机上下行接口IP地址路由器〔Router1、Router2、防火墙〔FW1、FW2、核心交换机〔CSS、汇聚交换机〔AGG1、AGG24配置路由协议,网使用OSPF协议1路由器、防火墙、核心交换机上行接口配置为骨干区域Area02核心交换机下行接口、汇聚交换机配置为NSSA区域Area1、Area23在核心交换机上配置一条缺省路由,下一跳指向防火墙,在防火墙上配置一条缺省路由,下一跳指向出口路由器,出口路由器上配置一条缺省路由,下一跳指向运行商网络设备的对接地址〔公网网关路由器〔Router1、Router2、防火墙〔FW1、FW2、核心交换机〔CSS5配置防火墙各接口所属安全区域1将连接外网的接口加入到Untrust区域2将连接网的接口加入到Trust区域3将双机热备心跳线加入到DMZ区域防火墙〔FW1、FW26配置双机热备1配置VGMP监控上下行接口2指定心跳线,启用双机热备3使能快速备份功能,保证两台防火墙实现负载分担防火墙〔FW1、FW27配置DHCP1在核心交换机上配置DCHP服务器功能,指定地址池和网关2在汇聚交换上配置是DHCP中继功能核心交换机<CSS>、汇聚交换机〔AGG1、AGG28配置NAT1在两台出口路由器上配置NAT,让部门A的用户可以访问Internet,部门B用户不能访问Internet2在在两台出口路由器上配置NATServer,保证外部用户能够访问HTTP服务器出口路由器Router1、Router29配置攻击防,在防火墙上开启SYNFlood、HTTPFlood攻击防功能,保护部服务器不受攻击防火墙操作步骤核心交换机：配置交换机集群连接集群卡的线缆,下图以EH1D2VS08000集群卡连线为例。一块集群卡只能与对框一块集群卡相连,不能连接到多块集群卡,且不能与本框集群卡相连。集群卡上组1的任意接口只能与对框集群卡上组1的任意接口相连,组2的要求同组1。每块集群卡上连接集群线缆的数量相同〔如果不相同会影响总的集群带宽,且两端按照接口编号的顺序对接。在Switch1上配置集群,集群连接方式为集群卡〔缺省值,不需配置。集群ID采用缺省值1〔不需配置,优先级为100在Switch2上配置集群。集群连接方式为集群卡〔缺省值,不需配置。集群ID为2。优先级采用缺省值1〔不需配置。交换机完成重启后,查看集群状态集群系统主的CSSMASTER灯绿色常亮,如dc_cfg_campus_001#fig_dc_cfg_campus_00103所示。Switch1的两块主控板上编号为1的CSSID灯绿色常亮,Switch2的两块主控板上编号为2的CSSID灯绿色常亮。集群卡上有集群线缆连接的端口LINK/ALM灯绿色常亮。主框上所有集群卡的MASTER灯绿色常亮,备框上所有集群卡的MASTER灯常灭。集群建立后,后续交换机的配置都在主交换机上进行,数据会自动同步到备交换机。在集群系统中,接口编号会变为4维,例如,10GE1/1/0/9。其中左边第一位表示集群ID。汇聚交换机：配置堆叠〔iStack,这里以S5720EI系列交换机为例,使用业务口做堆叠以Switch3和Swtich4为例,Switch5和Swtich6做堆叠类似,不做赘述。在配置堆叠前,先不要连线,等配置完成之后再连线配置逻辑堆叠端口并加入物理成员接口本端设备逻辑堆叠端口stack-portn/1里的物理成员端口只能与对端设备逻辑堆叠端口stack-portn/2里的物理成员端口相连。#配置Switch3的业务口GE0/0/28为物理成员端口,并加入到相应的逻辑堆叠端口。#配置Switch4的业务口GE0/0/28为物理成员端口,并加入到相应的逻辑堆叠端口。配置堆叠ID和堆叠优先级#配置Switch3的堆叠优先级为200。#配置Switch3的堆叠ID为1。#配置Switch4的堆叠ID为2。Switch3、Switch4下电,使用SFP+电缆连接GE0/0/28接口做堆叠口。下电前,建议通过命令save保存配置。本设备的stack-port0/1必须连接邻设备的stack-port0/2,否则堆叠组建不成功。设备上电如果用户希望某台交换机为主交换机可以先为其上电,例如：希望Switch3做为主设备,可以先给Switch3上电,再为Switch4上电。检查堆叠是否建立成功可以看到一主一备,堆叠建立成功。部署Eth-Trunk接口：配置CSS与FW、汇聚交换机之间的跨框Eth-Trunk口防火墙FW：配置和核心交换机CSS之间互联的Eth-Trunk接口#在FW1上创建Eth-Trunk10,用于连接核心交换机CSS,并加入Eth-Trunk成员接口。#在FW2上创建Eth-Trunk20,用于连接核心交换机CSS,并加入Eth-Trunk成员接口。核心交换机CSS：配置CSS和FW之间、CSS和汇聚交换机的跨框Eth-Trunk#在CSS上创建Eth-Trunk10,用于连接FW1,并加入Eth-Trunk成员接口。#在CSS上创建Eth-Trunk20,用于连接FW2,并加入Eth-Trunk成员接口。#在CSS上创建Eth-Trunk100,用于连接汇聚交换机AGG1,并加入Eth-Trunk成员接口。#在CSS上创建Eth-Trunk200,用于连接汇聚交换机AGG2,并加入Eth-Trunk成员接口。汇聚交换机：配置汇聚交换机AGG和核心交换机CSS、汇聚交换机和接入交换机之间互联的Eth-Trunk接口#配置AGG1。#配置AGG2。配置各接口IP地址#配置Router1。#配置Router2。#配置FW1。#配置FW2。#配置CSS。#配置AGG1。#配置AGG2。防火墙：配置防火墙各接口所属安全区域和安全策略#将各接口加入到安全区域。#FW1:配置安全策略#FW2:配置安全策略部署路由路由器、防火墙、核心交换机上行接口配置为骨干区域Area0#配置Router1#配置Router2#配置FW1#配置FW2#配置CSS核心交换机下行接口、汇聚交换机配置为NSSA区域Area1、Area2#配置CSS#配置AGG1#配置AGG2在核心交换机上配置一条缺省路由,下一跳指向防火墙,在防火墙上配置一条缺省路由,下一跳指向出口路由器,出口路由器上配置一条缺省路由,下一跳指向运行商网络设备的对接地址〔公网网关检查配置结果在AGG上查看路由表,可以看到到网各网段都生成了路由,并且通过NSSA区域生成一条缺省路由,以AGG1为例：核心交换机CSS、汇聚交换机AGG：配置DHCP#在核心交换机CSS上配置DHCP服务器,自动为用户分配IP地址。#在汇聚交换机AGG1上配置DHCP中继。#在汇聚交换机AGG2上配置DHCP中继。#检查配置结果。在客户端配置通过DHCP服务器获取IP地址,然后在设备上查看地址池情况,可以看到已分配两个IP地址给用户〔Used:2,还剩余503个〔Idle:503,说明IP地址已经分配成功。出口路由器：配置NAT网用户使用的私网IP地址,要想实现如下功能：部门A用户可以访问Internet,在出口路由器配置NAT地址转换,在出口路由器将私网IP地址转换成公网IP。外网用户能否访问网HTTP服务器,在出口路由器配置NATServer。假设运营商分配给企业用户的公网IP为：~0,~0。其中作为Router1连接外网的IP地址,为Router2连接外网的IP地址。0作为外网用户访问HTTP服务器的公网地址。网用户使用剩余IP公网IP访问Internet。#在Router1上配置NAT,将部门A的用户的IP私网地址转换成公网IP,保证部门A的用户能够访问Internet#在Router2上配置NAT,将部门A的用户的IP私网地址转换成公网IP#在Router1和Router2上配置NATServer,保证外部用户能够访问网HTTP服务器防火墙：配置双机热备#在FW1上配置VGMP组监控上下行业务接口。#在FW1配置根据HRP状态调整OSPF的相关COST值的功能。#在FW2上配置VGMP组监控上下行业务接口。#在FW2配置根据HRP状态调整OSPF的相关COST值的功能。在FW1上指定心跳接口,启用双机热备。双机热备