返回
防火墙技术案例9_数据中心防火墙应用.doc

防火墙技术案例9_数据中心防火墙应用.doc

ID:56673814

大小:254.50 KB

页数:8页

时间:2020-07-04

防火墙技术案例9_数据中心防火墙应用.doc_第1页
防火墙技术案例9_数据中心防火墙应用.doc_第2页
防火墙技术案例9_数据中心防火墙应用.doc_第3页
防火墙技术案例9_数据中心防火墙应用.doc_第4页
防火墙技术案例9_数据中心防火墙应用.doc_第5页
资源描述:

《防火墙技术案例9_数据中心防火墙应用.doc》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、`防火墙技术案例9_强叔拍案惊奇数据中心防火墙应用 近期经常有小伙伴们问到防火墙在数据中心如何部署?防火墙的双机热备功能如何与虚拟系统功能结合使用?正好强叔最近接触了一个云数据中心的项目,现在就跟大家分享下,相信能完美的解决各位小伙伴的问题。 【组网需求】如下图所示,两台防火墙(USG9560V300R001C01版本)旁挂在数据中心的核心交换机CE12800侧。两台CE12800工作在二层模式,且采用堆叠技术。数据中心对防火墙的具体需求如下:1、防火墙需要为每个虚拟主机都提供一个单独的虚拟系统,以便为每个虚拟主机都提供单独的访问控制策略。2、 

2、每个虚拟机都能够使用公网IP访问Internet,并且能够对Internet用户提供访问服务。 【强叔规划】1、从上图的数据中心整网结构和流量走向(蓝色虚线)来看,防火墙旁挂在CE12800侧就相当于把CE12800在中间隔断,把一台CE12800当作两台设备来使用。所以我们可以将上面的组网图转换成下面更容易理解的逻辑图。Word文档`由于CE12800工作在二层模式,整个逻辑图就可以理解为经典的防火墙上下行连接二层设备的双机热备组网。这种组网的特点是需要在防火墙的上下行业务接口上配置VRRP备份组。 2、为了实现每一个虚拟主机都有一个单独的虚拟

3、系统,我们需要为每个虚拟主机创建VLAN、子接口、虚拟系统,并将他们相互关联成一个网络,具体操作如下所示:1)      在S5700上为每个虚拟机都建立一个VLAN,然后将对应的连接虚拟机的接口加入此VLAN。2)      将S5700的上行接口,以及CE12800的上下行接口设置为Trunk接口,允许各个虚拟主机的VLAN报文通过。3)      在防火墙的下行接口上为每个虚拟机都建立一个子接口,并终结对应的虚拟机的VLAN。4)      在防火墙上为每个虚拟机都创建一个虚拟系统,并将此虚拟系统与对应的子接口绑定。Word文档`5)   

4、   同理,在防火墙上行的CE12800上需要创建VLAN(与下行的ID不同),并将CE12800的上下行接口设置为Trunk接口。上述操作是在主用链路上的设备(S5700_A、CE12800_A和USG9560_A)进行的,我们还需要在备用链路上的设备(S5700_B、CE12800_B和USG9560_B)进行同样的操作(除了防火墙子接口IP地址不同)。 3、  最后,我们需要将前两步分析的双机热备和虚拟系统结合起来考虑。由于两台防火墙处于双机热备状态,而每台防火墙又都被虚拟成多个虚拟系统,因此两台防火墙中的相同的虚拟系统也处于双机热备状态。

5、例如下图所示,USG9560_A的VFW1与USG9560_B的VFW1之间形成双机热备状态,因此我们需要在虚拟系统的子接口上配置VRRP备份组。Word文档`           【配置步骤】1、  配置双机热备功能。# 在USG9560_A上配置双机热备功能。system-view[USG9560_A]interfaceEth-Trunk1[USG9560_A-Eth-Trunk1]ipaddress10.10.10.124[USG9560_A-Eth-Trunk1]quit[USG9560_A]interfaceGig

6、abitEthernet1/0/0[USG9560_A-GigabitEthernet1/0/0]Eth-Trunk1[USG9560_A-GigabitEthernet1/0/0]quit[USG9560_A]interfaceGigabitEthernet1/0/1[USG9560_A-GigabitEthernet1/0/1]Eth-Trunk1[USG9560_A-GigabitEthernet1/0/1]quit[USG9560_A]firewallzonedmz[USG9560_A-zone-dmz]addinterfaceEth-T

7、runk1[USG9560_A-zone-dmz]quit[USG9560_A]hrpinterfaceEth-Trunk1remote10.10.10.2[USG9560_A]hrpenable# 在USG9560_B上配置双机热备功能。Word文档`system-view[USG9560_B]interfaceEth-Trunk1[USG9560_B-Eth-Trunk1]ipaddress10.10.10.224[USG9560_B-Eth-Trunk1]quit[USG9560_B]interfaceGigabitE

8、thernet1/0/0[USG9560_B-GigabitEthernet1/0/0]Eth-Trunk1[USG9560_B-Gig

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。