大型园区出口配置示例防火墙直连部署.docx

1、大型园区出口配置示例防火墙直连部署1 大型园区出口配置示例（防火墙直连部署）组网需求如图1-1所示，在大型园区出口，核心交换机上行和防火墙进行直连，通过防火墙连接到出口网关，对出入园区的业务流量提供安全过滤功能，为网络安全提供保，网络要求如下： 内网用户使用私网IP地址，用户的IP地址使用DHCP自动分配。 部门A用户能够访问Internet，部门B用户不能访问Internet。 内外网用户都可以访问HTTP服务器。 保证网络的可靠性，每个节点都进行冗余设计。图1-1 园区出口组网图（防火墙直连）部署要点 路由部署： Router ID：为每台设备配置一个Loopback地址，作为设备的Rou

2、ter ID。 出口路由器、防火墙、核心交换机作为OSPF骨干区域Area0，出口路由器作为ASBR，核心交换机为ABR。 部门A和部门B的的OSPF区域分别配置为Area 1和Area 2，并配置为NSSA区域，减少LSA在区域间的传播。 为了引导各设备的上行流量，在核心交换机上配置一条缺省路由，下一跳指向防火墙，在防火墙上配置一条缺省路由，下一跳指向出口路由器，出口路由器上配置一条缺省路由，下一跳指向运行商网络设备的对接地址（公网网关）。 可靠性部署：推荐使用CSS+iStack+Eth-trunk无环以太网技术，让可靠性变得简单。 在核心交换机部署集群（CSS），汇聚交换机部署堆叠（iS

3、tack），保证设备级可靠性。 为提高链路可靠性、在核心交换机与防火墙之间、核心交换机和汇聚交换机之间、汇聚交换机和接入交换机之间均通过Eth-Trunk互连。 在防火墙上部署双机热备，两台防火墙之间实现负载分担。 DHCP部署： 核心交换机配置DHCP服务器，为用户自动分配IP地址。 在汇聚交换机上配置DHCP Relay，保证能够通过DHCP服务为用户分配IP地址。 NAT部署： 为了使内网用户访问Internet，在两台出口路由器的上行口配置NAT，实现私网地址和公网地址之间的转换。通过ACL匹配部门A的源IP地址，从而实现部门A的用户可以访问Internet，而部门B的用户不能访问In

4、ternet。 为了保证外网用户能够访问HTTP服务器，在两台出口路由器上配置NAT Server。 安全部署：防火墙配置安全策略，对流量进行过滤，保证网络安全。设备规划设备类型设备型号路由器Router1、Router2华为AR3600系列路由器防火墙FW1、FW2华为USG9000系列防火墙核心交换机做CSS华为S7700/S9700/S12700交换机汇聚交换机做iStack华为S5720EI系列交换机，使用业务口做堆叠数据规划设备接口编号成员接口VLANIFIP地址对端设备对端接口编号Router1GE0/0/1-10.1.1.1/24FW1GE1/0/1GE0/0/2-202.10.

5、1.1/24假设此接口用于连接运营商设备接口，IP地址为运营商分配的公网IP。Router2GE0/0/1-10.2.1.1/24FW2GE1/0/1GE0/0/2202.10.2.1/24假设此接口用于连接运营商设备接口，IP地址为运营商分配的公网IP。FW1GE1/0/1-10.1.1.2/24Router1GE0/0/1GE1/0/7-10.10.1.1/24FW2GE1/0/7Eth-Trunk10GE2/0/3-10.3.1.1/24CSSEth-Trunk10GE2/0/4FW2GE1/0/1-10.2.1.2/24Router2GE0/0/1GE1/0/7-10.10.1.2/2

6、4FW1GE1/0/7Eth-Trunk20GE2/0/3-10.4.1.1/24CSSEth-Trunk20GE2/0/4CSSGE1/1/0/10-VLANIF30010.100.1.1HTTP服务器以太网接口Eth-Trunk10GE1/1/0/3-10.3.1.2/24FW1Eth-Trunk10GE2/1/0/3Eth-Trunk20GE1/1/0/4-10.4.1.2/24FW2Eth-Trunk20GE2/1/0/4Eth-Trunk100GE1/2/0/3VLANIF10010.5.1.1/24AGG1Eth-Trunk100GE2/2/0/3Eth-Trunk200GE1/2

7、/0/4VLANIF20010.6.1.1/24AGG2Eth-Trunk200GE2/2/0/4AGG1Eth-Trunk100GE1/0/1VLANIF10010.5.1.2/24CSSEth-Trunk100GE2/0/1Eth-Trunk 500GE1/0/5VLANIF500192.168.1.1/24假设此接口用于连接部门A，并作为部门A用户的网关GE2/0/5AGG2Eth-Trunk100GE1/0/1VLANIF20010.6.1.2/24CSSGE2/0/1Eth-Trunk 600GE1/0/5VLANIF600192.168.2.1/24假设此接口用于连接部门B，并作为

8、部门B用户的网关GE2/0/5HTTP服务器以太网接口-10.100.1.10/24CSSGE1/1/0/10配置思路采用如下思路配置园区出口：步骤配置思路涉及产品11）核心交换机配置集群（CSS）2）汇聚交换机配置堆叠(iStack)核心交换机Switch1和Switch2，汇聚交换机Switch3、Switch4、Switch5、Switch62配置接口，为提高链路可靠性1）核心交换机(CSS)和防火墙之间配置Eth-Trunk2）核心交换机(CSS)和汇聚交换机(AGG)之间配置Eth-Trunk3）汇聚交换机和接入交换机之间的Eth-Trunk核心交换机（CSS）、防火墙（FW1、FW

9、2）、汇聚交换机（AGG1、AGG2）3配置各接口IP地址1）配置Router上下行接口IP地址2）配置FW上下行接口IP地址3）配置核心交换机上下行接口IP地址4）配置汇聚交换机上下行接口IP地址路由器（Router1、Router2）、防火墙（FW1、FW2）、核心交换机（CSS）、汇聚交换机（AGG1、AGG2）4配置路由协议，内网使用OSPF协议1）路由器、防火墙、核心交换机上行接口配置为骨干区域Area 02）核心交换机下行接口、汇聚交换机配置为NSSA区域Area1、Area23）在核心交换机上配置一条缺省路由，下一跳指向防火墙，在防火墙上配置一条缺省路由，下一跳指向出口路由器，出

10、口路由器上配置一条缺省路由，下一跳指向运行商网络设备的对接地址（公网网关）路由器（Router1、Router2）、防火墙（FW1、FW2）、核心交换机（CSS）5配置防火墙各接口所属安全区域1）将连接外网的接口加入到Untrust区域2）将连接内网的接口加入到Trust区域3）将双机热备心跳线加入到DMZ区域防火墙（FW1、FW2）6配置双机热备1）配置VGMP监控上下行接口2）指定心跳线，启用双机热备3）使能快速备份功能，保证两台防火墙实现负载分担防火墙（FW1、FW2）7配置DHCP 1）在核心交换机上配置DCHP服务器功能，指定地址池和网关2）在汇聚交换上配置是DHCP中继功能核心交换

11、机(CSS)、汇聚交换机（AGG1、AGG2）8配置NAT1）在两台出口路由器上配置NAT，让部门A的用户可以访问Internet，部门B用户不能访问Internet2）在在两台出口路由器上配置NAT Server，保证外部用户能够访问HTTP服务器出口路由器Router1、Router29配置攻击防范，在防火墙上开启SYN Flood、HTTP Flood攻击防范功能，保护内部服务器不受攻击防火墙操作步骤步骤 1 核心交换机：配置交换机集群1. 连接集群卡的线缆，下图以EH1D2VS08000集群卡连线为例。 一块集群卡只能与对框一块集群卡相连，不能连接到多块集群卡，且不能与本框集群卡相连。

12、 集群卡上组1的任意接口只能与对框集群卡上组1的任意接口相连，组2的要求同组1。 每块集群卡上连接集群线缆的数量相同（如果不相同会影响总的集群带宽），且两端按照接口编号的顺序对接。2. 在Switch1上配置集群，集群连接方式为集群卡（缺省值，不需配置）。集群ID采用缺省值1（不需配置），优先级为100 system-view HUAWEI set css mode css-card /设备缺省值，不需再执行命令配置,此步骤仅用作示范命令 HUAWEI set css id 1 /设备缺省值，不需再执行命令配置,此步骤仅用作示范命令 HUAWEI set css priority 100 /集

13、群优先级缺省为1，修改主交换机的优先级大于备交换机 HUAWEI css enable Warning: The CSS configuration takes effect only after the system is rebooted. The next CSS mode is CSS-Card. Reboot now? Y/N:Y /重启交换机 3. 在Switch2上配置集群。集群连接方式为集群卡（缺省值，不需配置）。集群ID为2。优先级采用缺省值1（不需配置）。 system-view HUAWEI set css id 2 /集群ID缺省为1，修改备交换机的ID为2 HUAWE

14、I css enable Warning: The CSS configuration takes effect only after the system is rebooted. The next CSS mode is CSS-Card. Reboot now? Y/N:Y /重启交换机 4. 交换机完成重启后，查看集群状态集群系统主的CSS MASTER灯绿色常亮，如dc_cfg_campus_001#fig_dc_cfg_campus_00103所示。 Switch1的两块主控板上编号为1的CSS ID灯绿色常亮，Switch2的两块主控板上编号为2的CSS ID灯绿色常亮。 集群卡

15、上有集群线缆连接的端口LINK/ALM灯绿色常亮。 主框上所有集群卡的MASTER灯绿色常亮，备框上所有集群卡的MASTER灯常灭。集群建立后，后续交换机的配置都在主交换机上进行，数据会自动同步到备交换机。 在集群系统中，接口编号会变为4维，例如，10GE1/1/0/9。其中左边第一位表示集群ID。步骤 2 汇聚交换机：配置堆叠（iStack），这里以S5720EI系列交换机为例，使用业务口做堆叠以Switch3和Swtich4为例，Switch5和Swtich6做堆叠类似，不做赘述。 在配置堆叠前，先不要连线，等配置完成之后再连线5. 配置逻辑堆叠端口并加入物理成员接口本端设备逻辑堆叠端口s

16、tack-port n/1里的物理成员端口只能与对端设备逻辑堆叠端口stack-port n/2里的物理成员端口相连。# 配置Switch3的业务口GE0/0/28为物理成员端口，并加入到相应的逻辑堆叠端口。Switch3 interface stack-port 0/1 Switch3-stack-port0/1 port interface gigabitethernet 0/0/28 enable Warning: Enabling stack function may cause configuration loss on the interface, continue?Y/N:Y I

17、nfo: This operation may take a few seconds. Please wait for a moment. Switch3-stack-port0/1 quit # 配置Switch4的业务口GE0/0/28为物理成员端口，并加入到相应的逻辑堆叠端口。Switch4 interface stack-port 0/2 Switch4-stack-port0/2 port interface gigabitethernet 0/0/28 enable Warning: Enabling stack function may cause configuration l

18、oss on the interface, continue?Y/N:Y Info: This operation may take a few seconds. Please wait for a moment. Switch4-stack-port0/2 quit 6. 配置堆叠ID和堆叠优先级# 配置Switch3的堆叠优先级为200。Switch3 stack slot 0 priority 200 Warning: Please do not frequently modify Priority, it will make the stack split, continue?Y/N:

19、Y # 配置Switch3的堆叠ID为1。Switch3 stack slot 0 renumber 1 Warning: All the configurations related to the slot ID will be lost after the slot ID is modified. Please do not frequently modify slot ID, it will make the stack split. Continue?Y/N:Y Info: Stack configuration has been changed, and the device nee

20、ds to restart to make the configuration effective. # 配置Switch4的堆叠ID为2。Switch4 stack slot 0 renumber 2 Warning: All the configurations related to the slot ID will be lost after the slot ID is modified. Please do not frequently modify slot ID, it will make the stack split. Continue?Y/N:Y Info: Stack c

21、onfiguration has been changed, and the device needs to restart to make the configuration effective. 7. Switch3、Switch4下电，使用SFP+电缆连接GE0/0/28接口做堆叠口。下电前，建议通过命令save保存配置。本设备的stack-port 0/1必须连接邻设备的stack-port 0/2，否则堆叠组建不成功。8. 设备上电如果用户希望某台交换机为主交换机可以先为其上电，例如：希望Switch3做为主设备，可以先给Switch3上电，再为Switch4上电。9. 检查堆叠是否

22、建立成功Switch3 display stack Stack topology type: Link Stack system MAC: 0018-82b1-6eb4 MAC switch delay time: 2 min Stack reserved vlan: 4093 Slot of the active management port: - Slot Role Mac address Priority Device type - 1 Master 0018-82b1-6eb4 200 S5720-36C-EI-AC 2 Standby 0018-82b1-6eba 150 S572

23、0-36C-EI-AC 可以看到一主一备，堆叠建立成功。步骤 3 部署Eth-Trunk接口：配置CSS与FW、汇聚交换机之间的跨框Eth-Trunk口10. 防火墙FW：配置和核心交换机CSS之间互联的Eth-Trunk接口# 在FW1上创建Eth-Trunk 10，用于连接核心交换机CSS，并加入Eth-Trunk成员接口。FW1 interface eth-trunk 10 /创建Eth-Trunk10接口，和CSS对接 FW1-Eth-Trunk10 quit FW1 interface gigabitethernet 2/0/3 FW1-GigabitEthernet2/0/3 et

24、h-trunk 10 FW1-GigabitEthernet2/0/3 quit FW1 interface gigabitethernet 2/0/4 FW1-GigabitEthernet2/0/4 eth-trunk 10 FW1-GigabitEthernet2/0/4 quit # 在FW2上创建Eth-Trunk 20，用于连接核心交换机CSS，并加入Eth-Trunk成员接口。FW2 interface eth-trunk 20 /创建Eth-Trunk20接口，和CSS对接 FW2-Eth-Trunk20 quit FW2 interface gigabitethernet 2

25、/0/3 FW2-GigabitEthernet2/0/3 eth-trunk 20 FW2-GigabitEthernet2/0/3 quit FW2 interface gigabitethernet 2/0/4 FW2-GigabitEthernet2/0/4 eth-trunk 20 FW2-GigabitEthernet2/0/4 quit 11. 核心交换机CSS：配置CSS和FW之间、CSS和汇聚交换机的跨框Eth-Trunk# 在CSS上创建Eth-Trunk10，用于连接FW1，并加入Eth-Trunk成员接口。CSS interface eth-trunk 10 /创建Et

26、h-Trunk10接口，和FW1对接 CSS-Eth-Trunk10 quit CSS interface gigabitethernet 1/1/0/3 CSS-GigabitEthernet1/1/0/3 eth-trunk 10 CSS-GigabitEthernet1/1/0/3 quit CSS interface gigabitethernet 2/1/0/3 CSS-GigabitEthernet2/1/0/3 eth-trunk 10 CSS-GigabitEthernet2/1/0/3 quit # 在CSS上创建Eth-Trunk20，用于连接FW2，并加入Eth-Trun

27、k成员接口。CSS interface eth-trunk 20 /创建Eth-Trunk20接口，和FW2对接 CSS-Eth-Trunk20 quit CSS interface gigabitethernet 1/1/0/4 CSS-GigabitEthernet1/1/0/4 eth-trunk 20 CSS-GigabitEthernet1/1/0/4 quit CSS interface gigabitethernet 2/1/0/4 CSS-GigabitEthernet2/1/0/4 eth-trunk 20 CSS-GigabitEthernet2/1/0/4 quit #

28、在CSS上创建Eth-Trunk 100，用于连接汇聚交换机AGG1，并加入Eth-Trunk成员接口。CSS interface eth-trunk 100 /创建Eth-Trunk100接口，和AGG1相连 CSS-Eth-Trunk100 quit CSS interface gigabitethernet 1/2/0/3 CSS-GigabitEthernet1/2/0/3 eth-trunk 100 CSS-GigabitEthernet1/2/0/3 quit CSS interface gigabitethernet 2/2/0/3 CSS-GigabitEthernet2/2/

29、0/3 eth-trunk 100 CSS-GigabitEthernet2/2/0/3 quit # 在CSS上创建Eth-Trunk 200，用于连接汇聚交换机AGG2，并加入Eth-Trunk成员接口。CSS interface eth-trunk 200 /创建Eth-Trunk200接口，和AGG2相连 CSS-Eth-Trunk200 quit CSS interface gigabitethernet 1/2/0/4 CSS-GigabitEthernet1/2/0/4 eth-trunk 200 CSS-GigabitEthernet1/2/0/4 quit CSS interface gigabitethernet 2/2/0/4 CSS-GigabitEthernet2/2/0/4 eth-trunk 200 CSS-GigabitEthernet2/2