Home 科技 科学 数码 手机 游戏 动漫 漫画 财经 股票 收藏 三农 教育 动物 宠物
当前位置: 华文世界 > 科技

园区出口案例之防火墙旁挂部署

2024-02-11科技

案例描述

在大型园区出口,核心交换机上行通过路由器访问外网。防火墙旁挂于核心交换机,对业务流量提供安全过滤功能。核心交换机作为用户网关,为用户分配IP地址。具体组网要求如下:

  • 为了简化网络并提高可靠性,核心层交换机通常部署集群。
  • 在防火墙上部署双机热备(主备模式),当其中一台故障时,业务可以平滑切换到另一台。
  • 核心交换机双归接入两台出口路由器,路由器之间部署VRRP确保可靠性。
  • 为提高链路可靠性,核心交换机与出口路由器之间,核心交换机与防火墙之间,两台防火墙之间均通过Eth-Trunk互连。

    • 图2-16 防火墙旁挂的园区出口组网图

    在一般的 三层转发环境下,园区内外部之间的流量将直接通过交换机转发,不会经过FWA或FWB。当流量需要从交换机转发至FW,经FW检测后再转发回交换机,就需要在交换机上配置VRF功能,将交换机隔离成两个相互独立的虚拟交换机VRF-A和根交换机Public

    如图2-17所示,Public作为连接出口路由器的交换机。对于下行流量,它将外网进来的流量转发给FW进行检测;对于上行流量,它接收经FW检测后的流量,并转发到路由器。

    VRF-A作为连接内网侧的交换机。对于下行流量,它接收经FW检测后的流量,并转发到内网;对于上行流量,它将内网的流量转发到FW去检测。

    图2-17 防火墙旁挂的园区出口的物理接口连接示意图

    部署思路

    步骤

    部署思路

    涉及设备

    1

    配置集群、多主检测功能,提高设备级可靠性。

    核心交换机

    2

    配置Eth-Trunk功能,提高链路可靠性,并配置接口IP地址。

    核心交换机、汇聚交换机、出口路由器、旁挂防火墙

    3

    配置DHCP,为用户分配IP地址。

    核心交换机

    4

    配置VRRP,保证核心交换机与两个出口路由器之间的可靠性。

    出口路由器

    5

    配置路由,使得网络互通:

  • 交换机上配置VRF功能,将交换机隔离成两个相互独立的虚拟交换机VRF-A和根交换机Public,以隔离业务网段路由与公网路由。
  • 为了引导各设备的上行流量,在核心交换机上配置一条缺省路由,下一跳指向出口路由器VRRP的虚地址。
  • 为了引导园区两个出口路由器的回程流量,在两个出口路由器和核心交换机之间部署OSPF,核心交换机上将所有用户网段发布到OSPF里面,通告给两个出口路由器。
  • 为了将业务网络的上行流量引导至防火墙,在交换机上配置一条缺省路由,下一跳指向防火墙VRRP VRID2的虚拟IP。
  • 为了将到业务网络1、业务网络2的下行流量引导至防火墙,在交换机上配置一条缺省路由,下一跳指向防火墙VRRP VRID1的虚拟IP。
  • 为了将业务网络的上行流量引导至交换机,在防火墙上配置一条缺省路由,下一跳指向交换机VLANIF20的IP地址。
  • 为了将到业务网络1、业务网络2的下行流量引导至交换机,在防火墙上配置一条缺省路由,下一跳指向交换机VLANIF30的IP地址。

    • 核心交换机、出口路由器、旁挂防火墙

    6

    配置双机热备,提高设备级可靠性。

    旁挂防火墙

    7

    配置安全策略,使得业务可以通过防火墙。

    旁挂防火墙

    数据规划

    设备

    接口编号

    成员接口

    VLANIF

    IP地址

    RouterA

    Eth-Trunk1.100

    XGE1/0/1

    XGE1/0/2

    -

    10.10.4.2/24

    RouterB

    Eth-Trunk1.100

    XGE1/0/1

    XGE1/0/2

    -

    10.10.4.3/24

    RouterA和RouterB的VRRP

    -

    -

    -

    10.10.4.100/24

    CORE

    Eth-Trunk1

    XGE1/4/0/0

    XGE2/4/0/0

    VLANIF10

    10.10.4.1/24

    Eth-Trunk2

    XGE1/4/0/1

    XGE2/4/0/1

    VLANIF10

    10.10.4.1/24

    Eth-Trunk4

    GE1/3/0/7

    GE2/3/0/7

    VLANIF20

    10.10.2.1/24

    Eth-Trunk5

    GE1/3/0/8

    GE2/3/0/8

    VLANIF30

    10.10.3.1/24

    Eth-Trunk6

    GE1/5/0/7

    GE2/5/0/7

    VLANIF20

    10.10.2.1/24

    Eth-Trunk7

    GE1/5/0/8

    GE2/5/0/8

    VLANIF30

    10.10.3.1/24

    Eth-Trunk10

    XGE1/1/0/1

    XGE2/1/0/2

    VLANIF50

    10.10.50.1/24(AGG1下挂用户的网关)

    Eth-Trunk20

    XGE1/1/0/2

    XGE2/1/0/1

    VLANIF60

    10.10.60.1/24(AGG2下挂用户的网关)

    AGG1

    Eth-Trunk10

    XGE0/0/1

    XGE1/0/1

    -

    -

    AGG2

    Eth-Trunk20

    XGE0/0/1

    XGE1/0/1

    -

    -

    FWA

    Eth-Trunk1

    GE2/0/0

    GE2/0/1

    -

    10.1.1.1/24

    Eth-Trunk4

    GE1/0/0

    GE1/0/1

    -

    10.10.2.2/24

    Eth-Trunk5

    GE1/1/0

    GE1/1/1

    -

    10.10.3.2/24

    FWB

    Eth-Trunk1

    GE2/0/0

    GE2/0/1

    -

    10.1.1.2/24

    Eth-Trunk6

    GE1/0/0

    GE1/0/1

    -

    10.10.2.3/24

    Eth-Trunk7

    GE1/1/0

    GE1/1/1

    -

    10.10.3.3/24

    FWA和FWB的VRRP1(上行)

    -

    -

    -

    10.10.2.5/24

    FWA和FWB的VRRP2(下行)

    -

    -

    -

    10.10.3.5/24

    from:https://support.huawei.com

    Copyright © 2024 www.aqiusha.com NO.1 华文世界

    商务合作:xingwa#jasve.com(发送邮件请将#换成@)