當前位置: 華文世界 > 科技

園區出口案例之防火墻旁掛部署

2024-02-11科技

案例描述

在大型園區出口,核心交換機上行透過路由器存取外網。防火墻旁掛於核心交換機,對業務流量提供安全過濾功能。核心交換機作為使用者閘道器,為使用者分配IP地址。具體組網要求如下:

  • 為了簡化網絡並提高可靠性,核心層交換機通常部署集群。
  • 在防火墻上部署雙機熱備(主備模式),當其中一台故障時,業務可以平滑切換到另一台。
  • 核心交換機雙歸接入兩台出口路由器,路由器之間部署VRRP確保可靠性。
  • 為提高鏈路可靠性,核心交換機與出口路由器之間,核心交換機與防火墻之間,兩台防火墻之間均透過Eth-Trunk互連。
  • 圖2-16 防火墻旁掛的園區出口組網圖

    在一般的 三層轉發環境下,園區內外部之間的流量將直接透過交換機轉發,不會經過FWA或FWB。當流量需要從交換機轉發至FW,經FW檢測後再轉發回交換機,就需要在交換機上配置VRF功能,將交換機隔離成兩個相互獨立的虛擬交換機VRF-A和根交換機Public

    如圖2-17所示,Public作為連線出口路由器的交換機。對於下行流量,它將外網進來的流量轉發給FW進行檢測;對於上行流量,它接收經FW檢測後的流量,並轉發到路由器。

    VRF-A作為連線內網側的交換機。對於下行流量,它接收經FW檢測後的流量,並轉發到內網;對於上行流量,它將內網的流量轉發到FW去檢測。

    圖2-17 防火墻旁掛的園區出口的物理介面連線示意圖

    部署思路

    步驟

    部署思路

    涉及器材

    1

    配置集群、內送流量備援容錯機制檢測功能,提高器材級可靠性。

    核心交換機

    2

    配置Eth-Trunk功能,提高鏈路可靠性,並配置介面IP地址。

    核心交換機、匯聚交換機、出口路由器、旁掛防火墻

    3

    配置DHCP,為使用者分配IP地址。

    核心交換機

    4

    配置VRRP,保證核心交換機與兩個出口路由器之間的可靠性。

    出口路由器

    5

    配置路由,使得網絡互通:

  • 交換機上配置VRF功能,將交換機隔離成兩個相互獨立的虛擬交換機VRF-A和根交換機Public,以隔離業務網段路由與公網路由。
  • 為了引導各器材的上行流量,在核心交換機上配置一條缺省路由,下一跳指向出口路由器VRRP的虛地址。
  • 為了引導園區兩個出口路由器的回程流量,在兩個出口路由器和核心交換機之間部署OSPF,核心交換機上將所有使用者網段釋出到OSPF裏面,通告給兩個出口路由器。
  • 為了將業務網絡的上行流量引導至防火墻,在交換機上配置一條缺省路由,下一跳指向防火墻VRRP VRID2的虛擬IP。
  • 為了將到業務網絡1、業務網絡2的下行流量引導至防火墻,在交換機上配置一條缺省路由,下一跳指向防火墻VRRP VRID1的虛擬IP。
  • 為了將業務網絡的上行流量引導至交換機,在防火墻上配置一條缺省路由,下一跳指向交換機VLANIF20的IP地址。
  • 為了將到業務網絡1、業務網絡2的下行流量引導至交換機,在防火墻上配置一條缺省路由,下一跳指向交換機VLANIF30的IP地址。
  • 核心交換機、出口路由器、旁掛防火墻

    6

    配置雙機熱備,提高器材級可靠性。

    旁掛防火墻

    7

    配置安全策略,使得業務可以透過防火墻。

    旁掛防火墻

    數據規劃

    器材

    介面編號

    成員介面

    VLANIF

    IP地址

    RouterA

    Eth-Trunk1.100

    XGE1/0/1

    XGE1/0/2

    -

    10.10.4.2/24

    RouterB

    Eth-Trunk1.100

    XGE1/0/1

    XGE1/0/2

    -

    10.10.4.3/24

    RouterA和RouterB的VRRP

    -

    -

    -

    10.10.4.100/24

    CORE

    Eth-Trunk1

    XGE1/4/0/0

    XGE2/4/0/0

    VLANIF10

    10.10.4.1/24

    Eth-Trunk2

    XGE1/4/0/1

    XGE2/4/0/1

    VLANIF10

    10.10.4.1/24

    Eth-Trunk4

    GE1/3/0/7

    GE2/3/0/7

    VLANIF20

    10.10.2.1/24

    Eth-Trunk5

    GE1/3/0/8

    GE2/3/0/8

    VLANIF30

    10.10.3.1/24

    Eth-Trunk6

    GE1/5/0/7

    GE2/5/0/7

    VLANIF20

    10.10.2.1/24

    Eth-Trunk7

    GE1/5/0/8

    GE2/5/0/8

    VLANIF30

    10.10.3.1/24

    Eth-Trunk10

    XGE1/1/0/1

    XGE2/1/0/2

    VLANIF50

    10.10.50.1/24(AGG1下掛使用者的閘道器)

    Eth-Trunk20

    XGE1/1/0/2

    XGE2/1/0/1

    VLANIF60

    10.10.60.1/24(AGG2下掛使用者的閘道器)

    AGG1

    Eth-Trunk10

    XGE0/0/1

    XGE1/0/1

    -

    -

    AGG2

    Eth-Trunk20

    XGE0/0/1

    XGE1/0/1

    -

    -

    FWA

    Eth-Trunk1

    GE2/0/0

    GE2/0/1

    -

    10.1.1.1/24

    Eth-Trunk4

    GE1/0/0

    GE1/0/1

    -

    10.10.2.2/24

    Eth-Trunk5

    GE1/1/0

    GE1/1/1

    -

    10.10.3.2/24

    FWB

    Eth-Trunk1

    GE2/0/0

    GE2/0/1

    -

    10.1.1.2/24

    Eth-Trunk6

    GE1/0/0

    GE1/0/1

    -

    10.10.2.3/24

    Eth-Trunk7

    GE1/1/0

    GE1/1/1

    -

    10.10.3.3/24

    FWA和FWB的VRRP1(上行)

    -

    -

    -

    10.10.2.5/24

    FWA和FWB的VRRP2(下行)

    -

    -

    -

    10.10.3.5/24

    from:https://support.huawei.com