园区出口配置举例防火墙旁路.docx

园区出口配置举例防火墙旁路.docx

《园区出口配置举例防火墙旁路.docx》由会员分享，可在线阅读，更多相关《园区出口配置举例防火墙旁路.docx（39页珍藏版）》请在冰点文库上搜索。

园区出口配置举例防火墙旁路

1大型园区出口配置示例（防火墙旁路部署）

1.1配置注意事项

●本举例中的交换机以华为公司的S系列框式交换机为例、防火墙以USG系列为例、路由器以NE系列为例。

●本配置案例仅涉及企业网络出口相关配置，涉及企业内网的相关配置请参见华为S系列园区交换机快速配置中的“大型园区组网场景”。

●本例仅涉及防火墙与交换机的对接配置以及防火墙的双机热备配置。

防火墙上的安全业务规划及园区安全策略、攻击防范、带宽管理、IPSec等功能的配置示例请参见《防火墙配置案例集》。

●本例仅涉及园区出口路由器与交换机的对接配置。

路由器在公网侧的配置示例请参见NE系列路由器《配置指南》。

1.2组网需求

在大型园区出口，核心交换机上行通过路由器访问外网。

防火墙旁挂于核心交换机，对业务流量提供安全过滤功能。

为了简化网络并提高可靠性，在核心层交换机通常部署集群。

在防火墙上部署双机热备（主备模式），当其中一台故障时，业务可以平滑切换到另一台。

核心交换机双归接入2台出口路由器，路由器之间部署VRRP确保可靠性。

为提高链路可靠性，在核心交换机与出口路由器之间，核心交换机与防火墙之间，2台防火墙之间均通过Eth-Trunk互连。

如下图所示。

图1-1园区出口组网图（防火墙旁挂，双机热备）

在一般的三层转发环境下，园区内外部之间的流量将直接通过交换机转发，不会经过FW1或FW2。

当流量需要从交换机转发至FW，经FW检测后再转发回交换机，就需要在交换机上配置VRF功能，将交换机隔离成两个相互独立的虚拟交换机VRF-A和根交换机Public。

Public作为连接出口路由器的交换机。

对于下行流量，它将外网进来的流量转发给FW进行检测；对于上行流量，它接收经FW检测后的流量，并转发到路由器。

VRF-A作为连接内网侧的交换机。

对于下行流量，它接收经FW检测后的流量，并转发到内网；对于上行流量，它将内网的流量转发到FW去检测。

根据上图中的流量转发路径可以将上图转换成如下所示的更容易理解的逻辑组网图。

图1-2交换机与路由器、防火墙之间物理接口连接示意图

本例所示核心交换机工作在三层模式，上图所示的逻辑组网图可以理解为防火墙上下行连接三层交换机的双机热备组网。

这种组网的特点是需要在防火墙的上下行业务接口上部署VRRP备份组，如下所示。

图1-3交换机与路由器、防火墙之间三层口连接示意图

如上图所示，内部用户访问外网的流量转发路径如下（上图中蓝色路径）：

1.当内部用户访问外网的流量到达VRF-A时，流量根据VRF-A上的静态路由（下一跳设置为防火墙下行VRRP的虚拟IP地址）被转发到防火墙。

2.防火墙完成对流量的安全检测后，会根据静态路由（下一跳设置为CSS的VLANIF20）将流量转发到Public上。

3.最后，Public通过到路由器的静态路由（下一跳设置为路由器VRRP的虚拟IP地址）将流量转发到路由器。

外部用户访问内网的流量转发路径如下（上图中红色路径）：

4.当外部用户访问内网的流量到路由器时，流量根据OSPF路由表被转发到Public上。

5.流量到达Public后，先根据Public上的静态路由（下一跳设置为防火墙上行VRRP的虚拟IP地址）被转发到防火墙。

6.防火墙完成对流量的安全检测后，会根据静态路由（下一跳设置为CSS的VLANIF30）将流量转发到VRF-A上。

7.VRF-A通过OSPF路由表将流量转发汇聚交换机，最后由汇聚交换机将流量转发到业务网络。

1.3数据规划

表1-1链路聚合接口规划

设备

接口编号

成员接口

VLANIF

IP地址

对端设备

对端接口编号

Router1

Eth-trunk1.100

10GE1/0/1

10GE1/0/2

-

10.10.4.2/24

Switch1

Switch2

Eth-Trunk1

Router2

Eth-trunk1.100

10GE1/0/1

10GE1/0/2

-

10.10.4.3/24

Switch1

Switch2

Eth-Trunk2

Router1和Router2的VRRP

-

-

-

10.10.4.100/24

-

-

CSS（Switch1和Switch2）

Eth-trunk1

10GE1/4/0/0

10GE2/4/0/0

VLANIF10

10.10.4.1/24

Router1

Eth-Trunk1

Eth-trunk2

10GE1/4/0/1

10GE2/4/0/1

VLANIF10

10.10.4.1/24

Router2

Eth-Trunk1

Eth-trunk4

GE1/1/0/7

GE2/1/0/7

VLANIF20

10.10.2.1/24

FW1

Eth-Trunk4

Eth-trunk5

GE1/1/0/8

GE2/1/0/8

VLANIF30

10.10.3.1/24

FW1

Eth-Trunk5

Eth-trunk6

GE1/2/0/7

GE2/2/0/7

VLANIF20

10.10.2.1/24

FW2

Eth-Trunk6

Eth-trunk7

GE1/2/0/8

GE2/2/0/8

VLANIF30

10.10.3.1/24

FW2

Eth-Trunk7

Eth-trunk8

GE1/3/0/1

GE2/3/0/1

VLANIF100

10.10.100.1/24

业务网络1

-（本案例不体现配置）

Eth-trunk9

GE1/3/0/2

GE2/3/0/2

VLANIF200

10.10.200.1/24

业务网络2

-（本案例不体现配置）

FW1

Eth-trunk1

GE2/0/0

GE2/0/1

-

10.1.1.1/24

FW2

Eth-Trunk1

Eth-Trunk4

GE1/0/0

GE1/0/1

-

10.10.2.2/24

Switch1

Switch2

Eth-Trunk4

Eth-Trunk5

GE1/1/0

GE1/1/1

-

10.10.3.2/24

Switch1

Switch2

Eth-Trunk5

FW2

Eth-trunk1

GE2/0/0

GE2/0/1

-

10.1.1.2/24

FW1

Eth-Trunk1

Eth-Trunk6

GE1/0/0

GE1/0/1

-

10.10.2.3/24

Switch1

Switch2

Eth-Trunk6

Eth-Trunk7

GE1/1/0

GE1/1/1

-

10.10.3.3/24

Switch1

Switch2

Eth-Trunk7

FW1和FW2的VRRP1（上行）

-

-

-

10.10.2.5/24

-

-

FW1和FW2的VRRP2（下行）

-

-

-

10.10.3.5/24

-

-

1.4配置思路

采用如下思路配置园区出口举例：

8.配置核心交换机集群CSS。

9.配置交换机与防火墙、路由器之间的接口及IP地址。

为提高链路可靠性，在交换机与防火墙、交换机与路由器之间配置跨框Eth-Trunk接口。

在防火墙的接口上配置安全区域。

10.在出口路由器上部署VRRP。

为了保证核心交换机与两个出口路由器之间的可靠性，在两个出口路由器之间部署VRRP，VRRP的心跳报文经过核心交换机进行交互。

Router1为Master设备，Router2为Backup设备。

11.部署路由。

交换机上配置VRF功能，将交换机隔离成两个相互独立的虚拟交换机VRF-A和根交换机Public，以隔离业务网段路由与公网路由。

为了引导各设备的上行流量，在核心交换机上配置一条缺省路由，下一跳指向出口路由器VRRP的虚地址。

为了引导园区两个出口路由器的回程流量，在两个出口路由器和核心交换机之间部署OSPF，核心交换机上将所有用户网段发布到OSPF里面，通告给两个出口路由器。

为了将业务网络的上行流量引导至防火墙，在交换机上配置一条缺省路由，下一跳指向防火墙VRRPVRID2的虚拟IP。

为了将到业务网络1的下行流量引导至防火墙，在交换机上配置一条缺省路由，下一跳指向防火墙VRRPVRID1的虚拟IP。

为了将到业务网络2的下行流量引导至防火墙，在交换机上配置一条缺省路由，下一跳指向防火墙VRRPVRID1的虚拟IP。

为了将业务网络的上行流量引导至交换机，在防火墙上配置一条缺省路由，下一跳指向交换机VLANIF20的IP地址。

为了将到业务网络1的下行流量引导至交换机，在防火墙上配置一条缺省路由，下一跳指向交换机VLANIF30的IP地址。

为了将到业务网络2的下行流量引导至交换机，在防火墙上配置一条缺省路由，下一跳指向交换机VLANIF30的IP地址。

12.配置防火墙双机热备。

1.5操作步骤

步骤1交换机：

配置交换机集群。

13.连接集群卡的线缆。

下图以S12700交换机的EH1D2VS08000集群卡连线为例。

本例连线示意图中，S12700主控板、交换网板和集群卡都是满配的情况。

实际使用时，S12700每框至少配置一块主控板和一块交换网板即可。

推荐每框配置两块交换网板并插上两块集群卡。

图1-1集群卡连线示意图

●两框之间至少要连接一根集群线缆。

●一块集群卡只能与对框一块集群卡相连，不能连接到多块集群卡，且不能与本框集群卡相连。

●集群卡上组1的任意接口只能与对框集群卡上组1的任意接口相连，组2的要求同组1。

●每块集群卡上连接集群线缆的数量相同（如果不相同会影响总的集群带宽），且两端按照接口编号的顺序对接。

14.在Switch1上配置集群。

#集群连接方式为集群卡（缺省值，不需配置）。

集群ID采用缺省值1（不需配置）。

优先级为100。

system-view

[HUAWEI]setcssmodecss-card//设备缺省值，不需再执行命令配置,此步骤仅用作示范命令。

[HUAWEI]setcssid1//设备缺省值，不需再执行命令配置,此步骤仅用作示范命令。

[HUAWEI]setcsspriority100//集群优先级缺省为1，修改主交换机的优先级大于备交换机

[HUAWEI]cssenable

Warning:

TheCSSconfigurationtakeseffectonlyafterthesystemisrebooted.ThenextCSSmodeisCSS-card.Rebootnow?

[Y/N]:

y//重启交换机

15.在Switch2上配置集群。

集群连接方式为集群卡（缺省值，不需配置）。

集群ID为2。

优先级采用缺省值1（不需配置）。

system-view

[HUAWEI]setcssid2//集群ID缺省为1，修改备交换机的ID为2

[HUAWEI]cssenable

Warning:

TheCSSconfigurationtakeseffectonlyafterthesystemisrebooted.ThenextCSSmodeisCSS-card.Rebootnow?

[Y/N]:

y//重启交换机

16.交换机完成重启后，查看集群状态。

−在集群系统的主交换机Switch1上，主用主控板上的CSSMASTER灯绿色常亮。

（图1）

−Switch1的两块主控板上编号为1的CSSID灯绿色常亮，Switch2的两块主控板上编号为2的CSSID灯绿色常亮。

（图1）

−集群卡上有集群线缆连接的端口LINK/ALM灯绿色常亮。

（图2）

−主框上所有集群卡的MASTER灯绿色常亮，备框上所有集群卡的MASTER灯常灭。

（图2）

图1-2CSS系统指示灯示意图

●集群建立后，后续交换机的配置都在主交换机（Switch1）上进行，数据会自动同步到备交换机（Switch2）。

●在集群系统中，接口编号会变为4维，例如，10GE1/4/0/0。

其中左边第一位表示集群ID。

步骤2配置CSS与FW、路由器之间的跨框Eth-Trunk口，CSS上的VLANIF口以及IP地址。

17.配置交换机与路由器之间的跨框Eth-Trunk，VLANIF以及IP地址。

#在CSS上创建Eth-Trunk1，用于连接Router1，并加入Eth-Trunk成员接口。

system-view

[HUAWEI]sysnameCSS//给集群系统重新命名。

[CSS]interfaceEth-Trunk1

[CSS-Eth-Trunk1]quit

[CSS]interfaceXGigabitethernet1/4/0/0//在Eth-Trunk1中加入主交换机上的成员接口

[CSS-XGigabitEthernet1/4/0/0]Eth-Trunk1

[CSS-XGigabitEthernet1/4/0/0]quit

[CSS]interfaceXGigabitethernet2/4/0/0//在Eth-Trunk1中加入备交换机上的成员接口

[CSS-XGigabitEthernet2/4/0/0]Eth-Trunk1

[CSS-XGigabitEthernet2/4/0/0]quit

#在CSS上创建Eth-Trunk2，用于连接Router2，并加入Eth-Trunk成员接口。

[CSS]interfaceEth-Trunk2

[CSS-Eth-Trunk2]quit

[CSS]interfaceXGigabitethernet1/4/0/1//在Eth-Trunk2中加入主交换机上的成员接口

[CSS-XGigabitEthernet1/4/0/1]Eth-Trunk2

[CSS-XGigabitEthernet1/4/0/1]quit

[CSS]interfaceXGigabitethernet2/4/0/1//在Eth-Trunk2中加入备交换机上的成员接口

[CSS-XGigabitEthernet2/4/0/1]Eth-Trunk2

[CSS-XGigabitEthernet2/4/0/1]quit

#创建VLANIF，并配置IP地址。

[CSS]vlanbatch10

[CSS]interfaceEth-Trunk1//将Eth-Trunk1加入VLAN10

[CSS-Eth-Trunk1]portlink-typetrunk

[CSS-Eth-Trunk1]porttrunkallow-passvlan10

[CSS-Eth-Trunk1]quit

[CSS]interfaceEth-Trunk2//将Eth-Trunk2加入VLAN10

[CSS-Eth-Trunk2]portlink-typetrunk

[CSS-Eth-Trunk2]porttrunkallow-passvlan10

[CSS-Eth-Trunk2]quit

[CSS]interfaceVlanif10//创建VLANIF10，用于CSS与Router1、Router2通信

[CSS-Vlanif10]ipaddress10.10.4.124

[CSS-Vlanif10]quit

18.配置交换机与FW之间的跨框Eth-Trunk，CSS上的VLANIF口以及IP地址。

#在CSS上创建Eth-Trunk4，用于将Pubilc与FW1连接，并加入Eth-Trunk成员接口。

[CSS]interfaceEth-Trunk4

[CSS-Eth-Trunk4]quit

[CSS]interfaceGigabitethernet1/1/0/7//在Eth-Trunk4中加入主交换机上的成员接口

[CSS-Gigabitethernet1/1/0/7]Eth-Trunk4

[CSS-Gigabitethernet1/1/0/7]quit

[CSS]interfaceGigabitethernet2/1/0/7//在Eth-Trunk4中加入备交换机上的成员接口

[CSS-Gigabitethernet2/1/0/7]Eth-Trunk4

[CSS-Gigabitethernet2/1/0/7]quit

#在CSS上创建Eth-Trunk5，用于将VRF-A与FW1连接，并加入Eth-Trunk成员接口。

[CSS]interfaceEth-Trunk5

[CSS-Eth-Trunk5]quit

[CSS]interfaceGigabitethernet1/1/0/8//在Eth-Trunk5中加入主交换机上的成员接口

[CSS-Gigabitethernet1/1/0/8]Eth-Trunk5

[CSS-Gigabitethernet1/1/0/8]quit

[CSS]interfaceGigabitethernet2/1/0/8//在Eth-Trunk5中加入备交换机上的成员接口

[CSS-Gigabitethernet2/1/0/8]Eth-Trunk5

[CSS-Gigabitethernet2/1/0/8]quit

#在CSS上创建Eth-Trunk6，用于将Pubilc与FW2连接，并加入Eth-Trunk成员接口。

[CSS]interfaceEth-Trunk6

[CSS-Eth-Trunk6]quit

[CSS]interfaceGigabitethernet1/2/0/7//在Eth-Trunk6中加入主交换机上的成员接口

[CSS-Gigabitethernet1/2/0/7]Eth-Trunk6

[CSS-Gigabitethernet1/2/0/7]quit

[CSS]interfaceGigabitethernet2/2/0/7//在Eth-Trunk6中加入备交换机上的成员接口

[CSS-Gigabitethernet2/2/0/7]Eth-Trunk6

[CSS-Gigabitethernet2/2/0/7]quit

#在CSS上创建Eth-Trunk7，用于将VRF-A与FW2连接，并加入Eth-Trunk成员接口。

[CSS]interfaceEth-Trunk7

[CSS-Eth-Trunk7]quit

[CSS]interfaceGigabitethernet1/2/0/8//在Eth-Trunk7中加入主交换机上的成员接口

[CSS-Gigabitethernet1/2/0/8]Eth-Trunk7

[CSS-Gigabitethernet1/2/0/8]quit

[CSS]interfaceGigabitethernet2/2/0/8//在Eth-Trunk7中加入备交换机上的成员接口

[CSS-Gigabitethernet2/2/0/8]Eth-Trunk7

[CSS-Gigabitethernet2/2/0/8]quit

#创建VLANIF，并配置IP地址。

[CSS]vlanbatch2030

[CSS]interfaceEth-Trunk4//将Eth-Trunk4加入VLAN20

[CSS-Eth-Trunk4]portlink-typetrunk

[CSS-Eth-Trunk4]porttrunkallow-passvlan20

[CSS-Eth-Trunk4]quit

[CSS]interfaceEth-Trunk6//将Eth-Trunk6加入VLAN20

[CSS-Eth-Trunk6]portlink-typetrunk

[CSS-Eth-Trunk6]porttrunkallow-passvlan20

[CSS-Eth-Trunk6]quit

[CSS]interfaceVlanif20//创建VLANIF20，用于CSS的Public连接FW1、FW2

[CSS-Vlanif20]ipaddress10.10.2.124

[CSS-Vlanif20]quit

[CSS]interfaceEth-Trunk5//将Eth-Trunk5加入VLAN30

[CSS-Eth-Trunk5]portlink-typetrunk

[CSS-Eth-Trunk5]porttrunkallow-passvlan30

[CSS-Eth-Trunk5]quit

[CSS]interfaceEth-Trunk7//将Eth-Trunk7加入VLAN30

[CSS-Eth-Trunk7]portlink-typetrunk

[CSS-Eth-Trunk7]porttrunkallow-passvlan30

[CSS-Eth-Trunk7]quit

[CSS]interfaceVlanif30//创建VLANIF30，用于CSS的VRF-A连接FW1、FW2

[CSS-Vlanif30]ipaddress10.10.3.124

[CSS-Vlanif30]quit

19.配置交换机与业务网络之间的跨框Eth-Trunk，VLANIF以及IP地址。

#在CSS上创建Eth-Trunk8，用于连接业务网络1，并加入Eth-Trunk成员接口。

[CSS]interfaceEth-Trunk8

[CSS-Eth-Trunk8]quit

[CSS]interfaceGigabitethernet1/3/0/1//在Eth-Trunk8中加入主交换机上的成员接口

[CSS-Gigabitethernet1/3/0/1]Eth-Trunk8

[CSS-Gigabitethernet1/3/0/1]quit

[CSS]interfaceGigabitethernet2/3/0/1//在Eth-Trunk8中加入备交换机上的成员接口

[CSS-Gigabitethernet2/3/0/1]Eth-Trunk8

[CSS-Gigabitethernet2/3/0/1]quit

#在CSS上创建Eth-Trunk9，用于连接业务网络2，并加入Eth-Trunk成员接口。

[CSS]interfaceEth-Trunk9

[CSS-Eth-Trun