返回
大型园区出口配置示例(防火墙直连部署)

大型园区出口配置示例(防火墙直连部署)

ID:38623514

大小:441.50 KB

页数:30页

时间:2019-06-16

大型园区出口配置示例(防火墙直连部署)_第1页
大型园区出口配置示例(防火墙直连部署)_第2页
大型园区出口配置示例(防火墙直连部署)_第3页
大型园区出口配置示例(防火墙直连部署)_第4页
大型园区出口配置示例(防火墙直连部署)_第5页
资源描述:

《大型园区出口配置示例(防火墙直连部署)》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、大型园区出口配置示例(防火墙直连部署)1大型园区出口配置示例(防火墙直连部署)1大型园区出口配置示例(防火墙直连部署)组网需求如图1-1所示,在大型园区出口,核心交换机上行和防火墙进行直连,通过防火墙连接到出口网关,对出入园区的业务流量提供安全过滤功能,为网络安全提供保,网络要求如下:l内网用户使用私网IP地址,用户的IP地址使用DHCP自动分配。l部门A用户能够访问Internet,部门B用户不能访问Internet。l内外网用户都可以访问HTTP服务器。l保证网络的可靠性,每个节点都进行冗余设计。文档版本()华为专有和保密信息版权所

2、有©华为技术有限公司30大型园区出口配置示例(防火墙直连部署)1大型园区出口配置示例(防火墙直连部署)图1-1园区出口组网图(防火墙直连)文档版本()华为专有和保密信息版权所有©华为技术有限公司30大型园区出口配置示例(防火墙直连部署)1大型园区出口配置示例(防火墙直连部署)部署要点l路由部署:−RouterID:为每台设备配置一个Loopback地址,作为设备的RouterID。−出口路由器、防火墙、核心交换机作为OSPF骨干区域Area0,出口路由器作为ASBR,核心交换机为ABR。−部门A和部门B的的OSPF区域分别配置为Area

3、1和Area2,并配置为NSSA区域,减少LSA在区域间的传播。−为了引导各设备的上行流量,在核心交换机上配置一条缺省路由,下一跳指向防火墙,在防火墙上配置一条缺省路由,下一跳指向出口路由器,出口路由器上配置一条缺省路由,下一跳指向运行商网络设备的对接地址(公网网关)。l可靠性部署:推荐使用CSS+iStack+Eth-trunk无环以太网技术,让可靠性变得简单。−在核心交换机部署集群(CSS),汇聚交换机部署堆叠(iStack),保证设备级可靠性。−为提高链路可靠性、在核心交换机与防火墙之间、核心交换机和汇聚交换机之间、汇聚交换机和接

4、入交换机之间均通过Eth-Trunk互连。−在防火墙上部署双机热备,两台防火墙之间实现负载分担。lDHCP部署:−核心交换机配置DHCP服务器,为用户自动分配IP地址。−在汇聚交换机上配置DHCPRelay,保证能够通过DHCP服务为用户分配IP地址。lNAT部署:−为了使内网用户访问Internet,在两台出口路由器的上行口配置NAT,实现私网地址和公网地址之间的转换。通过ACL匹配部门A的源IP地址,从而实现部门A的用户可以访问Internet,而部门B的用户不能访问Internet。−为了保证外网用户能够访问HTTP服务器,在两台

5、出口路由器上配置NATServer。l安全部署:防火墙配置安全策略,对流量进行过滤,保证网络安全。设备规划设备类型设备型号路由器Router1、Router2华为AR3600系列路由器防火墙FW1、FW2华为USG9000系列防火墙核心交换机做CSS华为S7700/S9700/S12700交换机汇聚交换机做iStack华为S5720EI系列交换机,使用业务口做堆叠文档版本()华为专有和保密信息版权所有©华为技术有限公司30大型园区出口配置示例(防火墙直连部署)1大型园区出口配置示例(防火墙直连部署)数据规划设备接口编号成员接口VLANI

6、FIP地址对端设备对端接口编号Router1GE0/0/1--10.1.1.1/24FW1GE1/0/1GE0/0/2--202.10.1.1/24假设此接口用于连接运营商设备接口,IP地址为运营商分配的公网IP。Router2GE0/0/1--10.2.1.1/24FW2GE1/0/1GE0/0/2202.10.2.1/24假设此接口用于连接运营商设备接口,IP地址为运营商分配的公网IP。FW1GE1/0/1--10.1.1.2/24Router1GE0/0/1GE1/0/7--10.10.1.1/24FW2GE1/0/7Eth-Tr

7、unk10GE2/0/3-10.3.1.1/24CSSEth-Trunk10GE2/0/4FW2GE1/0/1--10.2.1.2/24Router2GE0/0/1GE1/0/7--10.10.1.2/24FW1GE1/0/7Eth-Trunk20GE2/0/3-10.4.1.1/24CSSEth-Trunk20GE2/0/4CSSGE1/1/0/10-VLANIF30010.100.1.1HTTP服务器以太网接口Eth-Trunk10GE1/1/0/3-10.3.1.2/24FW1Eth-Trunk10GE2/1/0/3Eth-Tru

8、nk20GE1/1/0/4-10.4.1.2/24FW2Eth-Trunk20GE2/1/0/4Eth-Trunk100GE1/2/0/3VLANIF10010.5.1.1/24AGG1Eth-Trunk1

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。