園區(qū)出口配置舉例防火墻旁路

1、 DOCPROPERTY Product&Project Name DOCPROPERTY DocumentName STYLEREF 1 n * MERGEFORMAT 1 STYLEREF 1 綜合配置案例-文檔版本 DOCPROPERTY DocumentVersion * MERGEFORMAT ( DOCPROPERTY ReleaseDate ) DOCPROPERTY ProprietaryDeclaration * MERGEFORMAT 華為專有和*信息 所有 華為技術(shù)*PAGE 1. z.大型園區(qū)出口配置例如防火墻旁路部署配置考前須知本舉例中的交換機(jī)以華為公司的S系列框式交

2、換機(jī)為例、防火墻以USG系列為例、路由器以NE系列為例。本配置案例僅涉及企業(yè)網(wǎng)絡(luò)出口相關(guān)配置，涉及企業(yè)網(wǎng)的相關(guān)配置請參見華為S系列園區(qū)交換機(jī)快速配置中的大型園區(qū)組網(wǎng)場景。本例僅涉及防火墻與交換機(jī)的對接配置以及防火墻的雙機(jī)熱備配置。防火墻上的平安業(yè)務(wù)規(guī)劃及園區(qū)平安策略、攻擊防、帶寬管理、IPSec等功能的配置例如請參見防火墻配置案例集。本例僅涉及園區(qū)出口路由器與交換機(jī)的對接配置。路由器在公網(wǎng)側(cè)的配置例如請參見NE系列路由器配置指南。組網(wǎng)需求在大型園區(qū)出口，核心交換機(jī)上行通過路由器訪問外網(wǎng)。防火墻旁掛于核心交換機(jī)，對業(yè)務(wù)流量提供平安過濾功能。為了簡化網(wǎng)絡(luò)并提高可靠性，在核心層交換機(jī)通常部署集群。在

3、防火墻上部署雙機(jī)熱備主備模式，當(dāng)其中一臺(tái)故障時(shí)，業(yè)務(wù)可以平滑切換到另一臺(tái)。核心交換機(jī)雙歸接入2臺(tái)出口路由器，路由器之間部署VRRP確?？煽啃浴樘岣哝溌房煽啃?，在核心交換機(jī)與出口路由器之間，核心交換機(jī)與防火墻之間，2臺(tái)防火墻之間均通過Eth-Trunk互連。如下列圖所示。園區(qū)出口組網(wǎng)圖防火墻旁掛，雙機(jī)熱備在一般的三層轉(zhuǎn)發(fā)環(huán)境下，園區(qū)外部之間的流量將直接通過交換機(jī)轉(zhuǎn)發(fā)，不會(huì)經(jīng)過FW1或FW2。當(dāng)流量需要從交換機(jī)轉(zhuǎn)發(fā)至FW，經(jīng)FW檢測后再轉(zhuǎn)發(fā)回交換機(jī)，就需要在交換機(jī)上配置VRF功能，將交換機(jī)隔離成兩個(gè)相互獨(dú)立的虛擬交換機(jī)VRF-A和根交換機(jī)Public。Public作為連接出口路由器的交換機(jī)。對于

4、下行流量，它將外網(wǎng)進(jìn)來的流量轉(zhuǎn)發(fā)給FW進(jìn)展檢測；對于上行流量，它接收經(jīng)FW檢測后的流量，并轉(zhuǎn)發(fā)到路由器。VRF-A作為連接網(wǎng)側(cè)的交換機(jī)。對于下行流量，它接收經(jīng)FW檢測后的流量，并轉(zhuǎn)發(fā)到網(wǎng)；對于上行流量，它將網(wǎng)的流量轉(zhuǎn)發(fā)到FW去檢測。根據(jù)上圖中的流量轉(zhuǎn)發(fā)路徑可以將上圖轉(zhuǎn)換成如下所示的更容易理解的邏輯組網(wǎng)圖。交換機(jī)與路由器、防火墻之間物理接口連接示意圖本例所示核心交換機(jī)工作在三層模式，上圖所示的邏輯組網(wǎng)圖可以理解為防火墻上下行連接三層交換機(jī)的雙機(jī)熱備組網(wǎng)。這種組網(wǎng)的特點(diǎn)是需要在防火墻的上下行業(yè)務(wù)接口上部署VRRP備份組，如下所示。交換機(jī)與路由器、防火墻之間三層口連接示意圖如上圖所示，部用戶訪問外網(wǎng)

5、的流量轉(zhuǎn)發(fā)路徑如下上圖中藍(lán)色路徑：當(dāng)部用戶訪問外網(wǎng)的流量到達(dá)VRF-A時(shí)，流量根據(jù)VRF-A上的靜態(tài)路由下一跳設(shè)置為防火墻下行VRRP的虛擬IP地址被轉(zhuǎn)發(fā)到防火墻。防火墻完成對流量的平安檢測后，會(huì)根據(jù)靜態(tài)路由下一跳設(shè)置為CSS的VLANIF20將流量轉(zhuǎn)發(fā)到Public上。最后，Public通過到路由器的靜態(tài)路由下一跳設(shè)置為路由器VRRP的虛擬IP地址將流量轉(zhuǎn)發(fā)到路由器。外部用戶訪問網(wǎng)的流量轉(zhuǎn)發(fā)路徑如下上圖中紅色路徑：當(dāng)外部用戶訪問網(wǎng)的流量到路由器時(shí)，流量根據(jù)OSPF路由表被轉(zhuǎn)發(fā)到Public上。流量到達(dá)Public后，先根據(jù)Public上的靜態(tài)路由下一跳設(shè)置為防火墻上行VRRP的虛擬IP地址被

6、轉(zhuǎn)發(fā)到防火墻。防火墻完成對流量的平安檢測后，會(huì)根據(jù)靜態(tài)路由下一跳設(shè)置為CSS的VLANIF30將流量轉(zhuǎn)發(fā)到VRF-A上。VRF-A通過OSPF路由表將流量轉(zhuǎn)發(fā)會(huì)聚交換機(jī)，最后由會(huì)聚交換機(jī)將流量轉(zhuǎn)發(fā)到業(yè)務(wù)網(wǎng)絡(luò)。數(shù)據(jù)規(guī)劃鏈路聚合接口規(guī)劃設(shè)備接口編號成員接口VLANIFIP地址對端設(shè)備對端接口編號Router1Eth-trunk1.10010GE1/0/110GE1/0/2-Switch 1Switch 2Eth-Trunk1Router2Eth-trunk1.10010GE1/0/110GE1/0/2-Switch 1Switch 2Eth-Trunk2Router 1和Router 2的VRRP

7、-CSSSwitch 1和Switch 2Eth-trunk110GE1/4/0/010GE2/4/0/0VLANIF10Router 1Eth-Trunk1Eth-trunk210GE1/4/0/110GE2/4/0/1VLANIF10Router 2Eth-Trunk1Eth-trunk4GE1/1/0/7GE2/1/0/7VLANIF20FW 1Eth-Trunk4Eth-trunk5GE1/1/0/8GE2/1/0/8VLANIF30FW 1Eth-Trunk5Eth-trunk6GE1/2/0/7GE2/2/0/7VLANIF20FW 2Eth-Trunk6Eth-trunk7GE1

8、/2/0/8GE2/2/0/8VLANIF30FW 2Eth-Trunk7Eth-trunk8GE1/3/0/1GE2/3/0/1VLANIF100業(yè)務(wù)網(wǎng)絡(luò)1-本案例不表達(dá)配置Eth-trunk9GE1/3/0/2GE2/3/0/2VLANIF200業(yè)務(wù)網(wǎng)絡(luò)2-本案例不表達(dá)配置FW1Eth-trunk1GE2/0/0GE2/0/1-FW2Eth-Trunk1Eth-Trunk4GE1/0/0GE1/0/1-Switch 1Switch 2Eth-Trunk4Eth-Trunk5GE1/1/0GE1/1/1-Switch 1Switch 2Eth-Trunk5FW2Eth-trunk1GE2/0

9、/0GE2/0/1-FW1Eth-Trunk1Eth-Trunk6GE1/0/0GE1/0/1-Switch 1Switch 2Eth-Trunk6Eth-Trunk7GE1/1/0GE1/1/1-Switch 1Switch 2Eth-Trunk7FW 1和FW 2的VRRP1上行-FW 1和FW 2的VRRP2下行-配置思路采用如下思路配置園區(qū)出口舉例：配置核心交換機(jī)集群CSS。配置交換機(jī)與防火墻、路由器之間的接口及IP地址。為提高鏈路可靠性，在交換機(jī)與防火墻、交換機(jī)與路由器之間配置跨框Eth-Trunk接口。在防火墻的接口上配置平安區(qū)域。在出口路由器上部署VRRP。為了保證核心交換機(jī)與兩

10、個(gè)出口路由器之間的可靠性，在兩個(gè)出口路由器之間部署VRRP，VRRP的心跳報(bào)文經(jīng)過核心交換機(jī)進(jìn)展交互。Router1為Master設(shè)備，Router2為Backup設(shè)備。部署路由。交換機(jī)上配置VRF功能，將交換機(jī)隔離成兩個(gè)相互獨(dú)立的虛擬交換機(jī)VRF-A和根交換機(jī)Public，以隔離業(yè)務(wù)網(wǎng)段路由與公網(wǎng)路由。為了引導(dǎo)各設(shè)備的上行流量，在核心交換機(jī)上配置一條缺省路由，下一跳指向出口路由器VRRP的虛地址。為了引導(dǎo)園區(qū)兩個(gè)出口路由器的回程流量，在兩個(gè)出口路由器和核心交換機(jī)之間部署OSPF，核心交換機(jī)上將所有用戶網(wǎng)段發(fā)布到OSPF里面，通告給兩個(gè)出口路由器。為了將業(yè)務(wù)網(wǎng)絡(luò)的上行流量引導(dǎo)至防火墻，在交換機(jī)

11、上配置一條缺省路由，下一跳指向防火墻VRRP VRID2的虛擬IP。為了將到業(yè)務(wù)網(wǎng)絡(luò)1的下行流量引導(dǎo)至防火墻，在交換機(jī)上配置一條缺省路由，下一跳指向防火墻VRRP VRID1的虛擬IP。為了將到業(yè)務(wù)網(wǎng)絡(luò)2的下行流量引導(dǎo)至防火墻，在交換機(jī)上配置一條缺省路由，下一跳指向防火墻VRRP VRID1的虛擬IP。為了將業(yè)務(wù)網(wǎng)絡(luò)的上行流量引導(dǎo)至交換機(jī)，在防火墻上配置一條缺省路由，下一跳指向交換機(jī)VLANIF20的IP地址。為了將到業(yè)務(wù)網(wǎng)絡(luò)1的下行流量引導(dǎo)至交換機(jī)，在防火墻上配置一條缺省路由，下一跳指向交換機(jī)VLANIF30的IP地址。為了將到業(yè)務(wù)網(wǎng)絡(luò)2的下行流量引導(dǎo)至交換機(jī)，在防火墻上配置一條缺省路由，下

12、一跳指向交換機(jī)VLANIF30的IP地址。配置防火墻雙機(jī)熱備。操作步驟交換機(jī)：配置交換機(jī)集群。連接集群卡的線纜。下列圖以S12700交換機(jī)的EH1D2VS08000集群卡連線為例。本例連線示意圖中，S12700主控板、交換網(wǎng)板和集群卡都是滿配的情況。實(shí)際使用時(shí)，S12700每框至少配置一塊主控板和一塊交換網(wǎng)板即可。推薦每框配置兩塊交換網(wǎng)板并插上兩塊集群卡。集群卡連線示意圖兩框之間至少要連接一根集群線纜。一塊集群卡只能與對框一塊集群卡相連，不能連接到多塊集群卡，且不能與本框集群卡相連。集群卡上組1的任意接口只能與對框集群卡上組1的任意接口相連，組2的要求同組1。每塊集群卡上連接集群線纜的數(shù)量一樣

13、如果不一樣會(huì)影響總的集群帶寬，且兩端按照接口編號的順序?qū)?。在Switch 1上配置集群。# 集群連接方式為集群卡缺省值，不需配置。集群ID采用缺省值1不需配置。優(yōu)先級為100。 system-view HUAWEI set css mode css-card /設(shè)備缺省值，不需再執(zhí)行命令配置,此步驟僅用作示命令。 HUAWEI set css id 1 /設(shè)備缺省值，不需再執(zhí)行命令配置,此步驟僅用作示命令。 HUAWEI set css priority 100 /集群優(yōu)先級缺省為1，修改主交換機(jī)的優(yōu)先級大于備交換機(jī) HUAWEI css enable Warning: The CSS co

14、nfiguration takes effect only after the system is rebooted. The ne*t CSS mode is CSS-card. Reboot now Y/N:y/重啟交換機(jī) 在Switch 2上配置集群。集群連接方式為集群卡缺省值，不需配置。集群ID為2。優(yōu)先級采用缺省值1不需配置。 system-view HUAWEI set css id 2 /集群ID缺省為1，修改備交換機(jī)的ID為2 HUAWEI css enable Warning: The CSS configuration takes effect only after the

15、 system is rebooted. The ne*t CSS mode is CSS-card. Reboot now Y/N:y/重啟交換機(jī) 交換機(jī)完成重啟后，查看集群狀態(tài)。在集群系統(tǒng)的主交換機(jī)Switch 1上，主用主控板上的CSS MASTER燈綠色常亮。圖1Switch 1的兩塊主控板上編號為1的CSS ID燈綠色常亮，Switch 2的兩塊主控板上編號為2的CSS ID燈綠色常亮。圖1集群卡上有集群線纜連接的端口LINK/ALM燈綠色常亮。圖2主框上所有集群卡的MASTER燈綠色常亮，備框上所有集群卡的MASTER燈常滅。圖2CSS系統(tǒng)指示燈示意圖集群建立后，后續(xù)交換機(jī)的配置都

16、在主交換機(jī)Switch 1上進(jìn)展，數(shù)據(jù)會(huì)自動(dòng)同步到備交換機(jī)Switch 2。在集群系統(tǒng)中，接口編號會(huì)變?yōu)?維，例如，10GE1/4/0/0。其中左邊第一位表示集群ID。配置CSS與FW、路由器之間的跨框Eth-Trunk口，CSS上的VLANIF口以及IP地址。配置交換機(jī)與路由器之間的跨框Eth-Trunk，VLANIF以及IP地址。# 在CSS上創(chuàng)立Eth-Trunk1，用于連接Router1，并參加Eth-Trunk成員接口。 system-view HUAWEI sysname CSS /給集群系統(tǒng)重新命名。 CSS interface Eth-Trunk 1 CSS-Eth-Trunk

17、1 quit CSS interface *Gigabitethernet 1/4/0/0 /在Eth-Trunk1中參加主交換機(jī)上的成員接口 CSS-*GigabitEthernet1/4/0/0 Eth-Trunk 1 CSS-*GigabitEthernet1/4/0/0 quit CSS interface *Gigabitethernet 2/4/0/0 /在Eth-Trunk1中參加備交換機(jī)上的成員接口 CSS-*GigabitEthernet2/4/0/0 Eth-Trunk 1 CSS-*GigabitEthernet2/4/0/0 quit# 在CSS上創(chuàng)立Eth-Trunk

18、2，用于連接Router2，并參加Eth-Trunk成員接口。CSS interface Eth-Trunk 2 CSS-Eth-Trunk2 quit CSS interface *Gigabitethernet 1/4/0/1 /在Eth-Trunk2中參加主交換機(jī)上的成員接口 CSS-*GigabitEthernet1/4/0/1 Eth-Trunk 2 CSS-*GigabitEthernet1/4/0/1 quit CSS interface *Gigabitethernet 2/4/0/1 /在Eth-Trunk2中參加備交換機(jī)上的成員接口 CSS-*GigabitEthernet

19、2/4/0/1 Eth-Trunk 2 CSS-*GigabitEthernet2/4/0/1 quit# 創(chuàng)立VLANIF，并配置IP地址。CSS vlan batch 10 CSS interface Eth-Trunk 1 /將Eth-Trunk1參加VLAN10 CSS-Eth-Trunk1 port link-type trunk CSS-Eth-Trunk1 port trunk allow-pass vlan 10 CSS-Eth-Trunk1 quit CSS interface Eth-Trunk 2 /將Eth-Trunk2參加VLAN10 CSS-Eth-Trunk2 p

20、ort link-type trunk CSS-Eth-Trunk2 port trunk allow-pass vlan 10 CSS-Eth-Trunk2 quit CSS interface Vlanif 10 /創(chuàng)立VLANIF10，用于CSS與Router1、Router2通信 CSS-Vlanif10 ip address 10.10.4.1 24 CSS-Vlanif10 quit配置交換機(jī)與FW之間的跨框Eth-Trunk，CSS上的VLANIF口以及IP地址。# 在CSS上創(chuàng)立Eth-Trunk4，用于將Pubilc與FW1連接，并參加Eth-Trunk成員接口。CSS in

21、terface Eth-Trunk 4 CSS-Eth-Trunk4 quit CSS interface Gigabitethernet 1/1/0/7 /在Eth-Trunk4中參加主交換機(jī)上的成員接口 CSS-Gigabitethernet1/1/0/7 Eth-Trunk 4 CSS-Gigabitethernet1/1/0/7 quit CSS interface Gigabitethernet 2/1/0/7 /在Eth-Trunk4中參加備交換機(jī)上的成員接口 CSS-Gigabitethernet2/1/0/7 Eth-Trunk 4 CSS-Gigabitethernet2/1

22、/0/7 quit# 在CSS上創(chuàng)立Eth-Trunk5，用于將VRF-A與FW1連接，并參加Eth-Trunk成員接口。CSS interface Eth-Trunk 5 CSS-Eth-Trunk5 quit CSS interface Gigabitethernet 1/1/0/8 /在Eth-Trunk5中參加主交換機(jī)上的成員接口 CSS-Gigabitethernet1/1/0/8 Eth-Trunk 5 CSS-Gigabitethernet1/1/0/8 quit CSS interface Gigabitethernet 2/1/0/8 /在Eth-Trunk5中參加備交換機(jī)上

23、的成員接口 CSS-Gigabitethernet2/1/0/8 Eth-Trunk 5 CSS-Gigabitethernet2/1/0/8 quit# 在CSS上創(chuàng)立Eth-Trunk6，用于將Pubilc與FW2連接，并參加Eth-Trunk成員接口。CSS interface Eth-Trunk 6 CSS-Eth-Trunk6 quit CSS interface Gigabitethernet 1/2/0/7 /在Eth-Trunk6中參加主交換機(jī)上的成員接口 CSS-Gigabitethernet1/2/0/7 Eth-Trunk 6 CSS-Gigabitethernet1/2

24、/0/7 quit CSS interface Gigabitethernet 2/2/0/7 /在Eth-Trunk6中參加備交換機(jī)上的成員接口 CSS-Gigabitethernet2/2/0/7 Eth-Trunk 6 CSS-Gigabitethernet2/2/0/7 quit# 在CSS上創(chuàng)立Eth-Trunk7，用于將VRF-A與FW2連接，并參加Eth-Trunk成員接口。CSS interface Eth-Trunk 7 CSS-Eth-Trunk7 quit CSS interface Gigabitethernet 1/2/0/8 /在Eth-Trunk7中參加主交換機(jī)上

25、的成員接口 CSS-Gigabitethernet1/2/0/8 Eth-Trunk 7 CSS-Gigabitethernet1/2/0/8 quit CSS interface Gigabitethernet 2/2/0/8 /在Eth-Trunk7中參加備交換機(jī)上的成員接口 CSS-Gigabitethernet2/2/0/8 Eth-Trunk 7 CSS-Gigabitethernet2/2/0/8 quit# 創(chuàng)立VLANIF，并配置IP地址。CSS vlan batch 20 30 CSS interface Eth-Trunk 4 /將Eth-Trunk4參加VLAN20 CS

26、S-Eth-Trunk4 port link-type trunk CSS-Eth-Trunk4 port trunk allow-pass vlan 20 CSS-Eth-Trunk4 quit CSS interface Eth-Trunk 6 /將Eth-Trunk6參加VLAN20 CSS-Eth-Trunk6 port link-type trunk CSS-Eth-Trunk6 port trunk allow-pass vlan 20 CSS-Eth-Trunk6 quit CSS interface Vlanif 20 /創(chuàng)立VLANIF20，用于CSS的Public連接FW1

27、、FW2 CSS-Vlanif20 ip address 10.10.2.1 24 CSS-Vlanif20 quit CSS interface Eth-Trunk 5 /將Eth-Trunk5參加VLAN30 CSS-Eth-Trunk5 port link-type trunk CSS-Eth-Trunk5 port trunk allow-pass vlan 30 CSS-Eth-Trunk5 quit CSS interface Eth-Trunk 7 /將Eth-Trunk7參加VLAN30 CSS-Eth-Trunk7 port link-type trunk CSS-Eth-T

28、runk7 port trunk allow-pass vlan 30 CSS-Eth-Trunk7 quit CSS interface Vlanif 30 /創(chuàng)立VLANIF30，用于CSS的VRF-A連接FW1、FW2 CSS-Vlanif30 ip address 10.10.3.1 24 CSS-Vlanif30 quit配置交換機(jī)與業(yè)務(wù)網(wǎng)絡(luò)之間的跨框Eth-Trunk，VLANIF以及IP地址。# 在CSS上創(chuàng)立Eth-Trunk8，用于連接業(yè)務(wù)網(wǎng)絡(luò)1，并參加Eth-Trunk成員接口。CSS interface Eth-Trunk 8 CSS-Eth-Trunk8 quit CS

29、S interface Gigabitethernet 1/3/0/1 /在Eth-Trunk8中參加主交換機(jī)上的成員接口 CSS-Gigabitethernet1/3/0/1 Eth-Trunk 8 CSS-Gigabitethernet1/3/0/1 quit CSS interface Gigabitethernet 2/3/0/1 /在Eth-Trunk8中參加備交換機(jī)上的成員接口 CSS-Gigabitethernet2/3/0/1 Eth-Trunk 8 CSS-Gigabitethernet2/3/0/1 quit# 在CSS上創(chuàng)立Eth-Trunk9，用于連接業(yè)務(wù)網(wǎng)絡(luò)2，并參加

30、Eth-Trunk成員接口。CSS interface Eth-Trunk 9 CSS-Eth-Trunk9 quit CSS interface Gigabitethernet 1/3/0/2 /在Eth-Trunk9中參加主交換機(jī)上的成員接口 CSS-Gigabitethernet1/3/0/2 Eth-Trunk 9 CSS-Gigabitethernet1/3/0/2 quit CSS interface Gigabitethernet 2/3/0/2 /在Eth-Trunk9中參加備交換機(jī)上的成員接口 CSS-Gigabitethernet2/3/0/2 Eth-Trunk 9 CS

31、S-Gigabitethernet2/3/0/2 quit# 創(chuàng)立VLANIF，并配置IP地址。CSS vlan batch 100 200 CSS interface Eth-Trunk 8 /將Eth-Trunk8參加VLAN100 CSS-Eth-Trunk8 port link-type trunk CSS-Eth-Trunk8 port trunk allow-pass vlan 100 CSS-Eth-Trunk8 quit CSS interface Vlanif 100 /創(chuàng)立VLANIF100，用于CSS連接業(yè)務(wù)網(wǎng)絡(luò)1 CSS-Vlanif100 ip address 10.

32、10.100.1 24 CSS-Vlanif100 quit CSS interface Eth-Trunk 9 /將Eth-Trunk9參加VLAN200 CSS-Eth-Trunk9 port link-type trunk CSS-Eth-Trunk9 port trunk allow-pass vlan 200 CSS-Eth-Trunk9 quit CSS interface Vlanif 200 /創(chuàng)立VLANIF200，用于CSS連接業(yè)務(wù)網(wǎng)絡(luò)2 CSS-Vlanif200 ip address 10.10.200.1 24 CSS-Vlanif200 quit路由器：配置路由器與

33、CSS之間的接口# 配置Router1，在Router1上創(chuàng)立Eth-Trunk1，并參加成員接口。 system-view Huawei sysname Router1 Router1 interface Eth-Trunk 1 Router1-Eth-Trunk1 quit Router1 interface *Gigabitethernet 1/0/1 Router1-*GigabitEthernet1/0/1 undo shutdown Router1-*GigabitEthernet1/0/1 Eth-Trunk 1 Router1-*GigabitEthernet1/0/1 qui

34、t Router1 interface *Gigabitethernet 1/0/2 Router1-*GigabitEthernet1/0/2 undo shutdown Router1-*GigabitEthernet1/0/2 Eth-Trunk 1 Router1-*GigabitEthernet1/0/2 quit# 配置Dot1q終結(jié)子接口，終結(jié)VLAN10。并配置IP地址。Router1 interface Eth-Trunk 1.100 Router1-Eth-Trunk1.100 ip address 10.10.4.2 24 Router1-Eth-Trunk1.100 d

35、ot1q termination vid 10 Router1-Eth-Trunk1.100 quit# Router2上的配置步驟與Router1一樣，僅接口IP地址有差異，請參照Router1完成Router2的配置。防火墻：配置防火墻的接口與平安區(qū)# 配置FW1的接口與平安區(qū)。 system-view USG sysname FW1 FW1 interface Eth-Trunk 4 /配置與CSS連接的接口及IP地址 FW1-Eth-Trunk4 ip address 10.10.2.2 24 FW1-Eth-Trunk4 quit FW1 interface Gigabitether

36、net 1/0/0 /在Eth-Trunk4中參加成員接口 FW1-GigabitEthernet1/0/0 Eth-Trunk 4 FW1-GigabitEthernet1/0/0 quit FW1 interface Gigabitethernet 1/0/1 /在Eth-Trunk4中參加成員接口 FW1-GigabitEthernet1/0/1 Eth-Trunk 4 FW1-GigabitEthernet1/0/1 quit FW1 interface Eth-Trunk 5 /配置與CSS連接的接口及IP地址 FW1-Eth-Trunk5 ip address 10.10.3.2

37、24 FW1-Eth-Trunk5 quit FW1 interface Gigabitethernet 1/1/0 /在Eth-Trunk5中參加成員接口 FW1-GigabitEthernet1/1/0 Eth-Trunk 5 FW1-GigabitEthernet1/1/0 quit FW1 interface Gigabitethernet 1/1/1 /在Eth-Trunk5中參加成員接口 FW1-GigabitEthernet1/1/1 Eth-Trunk 5 FW1-GigabitEthernet1/1/1 quit FW1 interface Eth-Trunk 1 /配置FW

38、1與FW2連接的接口 FW1-Eth-Trunk1 ip address 10.1.1.1 24 FW1-Eth-Trunk1 quit FW1 interface Gigabitethernet 2/0/0 /在Eth-Trunk1中參加成員接口 FW1-GigabitEthernet2/0/0 Eth-Trunk 1 FW1-GigabitEthernet2/0/0 quit FW1 interface Gigabitethernet 2/0/1 /在Eth-Trunk1中參加成員接口 FW1-GigabitEthernet2/0/1 Eth-Trunk 1 FW1-GigabitEthe

39、rnet2/0/1 quit FW1 firewall zone trust FW1-zone-trust add interface Eth-Trunk 5 /將連接網(wǎng)的Eth-Trunk5參加平安區(qū)域 FW1-zone-trust quit FW1 firewall zone untrust FW1-zone-untrust add interface Eth-Trunk 4 /將連接外網(wǎng)的Eth-Trunk4參加非平安區(qū)域 FW1-zone-untrust quit FW1 firewall zone dmz FW1-zone-dmz add interface Eth-Trunk 1

40、/將FW1、FW2之間的接口參加DMZ區(qū)域 FW1-zone-dmz quit# 配置FW2的接口與平安區(qū)。 system-view USG sysname FW2 FW2 interface Eth-Trunk 6 /配置與CSS連接的接口及IP地址 FW2-Eth-Trunk6 ip address 10.10.2.3 24 FW2-Eth-Trunk6 quit FW2 interface Gigabitethernet 1/0/0 /在Eth-Trunk6中參加成員接口 FW2-GigabitEthernet1/0/0 Eth-Trunk 6 FW2-GigabitEthernet1/

41、0/0 quit FW2 interface Gigabitethernet 1/0/1 /在Eth-Trunk6中參加成員接口 FW2-GigabitEthernet1/0/1 Eth-Trunk 6 FW2-GigabitEthernet1/0/1 quit FW2 interface Eth-Trunk 7 /配置與CSS連接的接口及IP地址 FW2-Eth-Trunk7 ip address 10.10.3.3 24 FW2-Eth-Trunk7 quit FW2 interface Gigabitethernet 1/1/0 /在Eth-Trunk7中參加成員接口 FW2-Gigab

42、itEthernet1/1/0 Eth-Trunk 7 FW2-GigabitEthernet1/1/0 quit FW2 interface Gigabitethernet 1/1/1 /在Eth-Trunk7中參加成員接口 FW2-GigabitEthernet1/1/1 Eth-Trunk 7 FW2-GigabitEthernet1/1/1 quit FW2 interface Eth-Trunk 1 /配置FW2與FW1連接的接口 FW2-Eth-Trunk1 ip address 10.1.1.2 24 FW2-Eth-Trunk1 quit FW2 interface Gigab

43、itethernet 2/0/0 /在Eth-Trunk1中參加成員接口 FW2-GigabitEthernet2/0/0 Eth-Trunk 1 FW2-GigabitEthernet2/0/0 quit FW2 interface Gigabitethernet 2/0/1 /在Eth-Trunk1中參加成員接口 FW2-GigabitEthernet2/0/1 Eth-Trunk 1 FW2-GigabitEthernet2/0/1 quit FW2 firewall zone trustFW2-zone-trust add interface Eth-Trunk 7 /將連接網(wǎng)的Eth

44、-Trunk7參加平安區(qū)域 FW2-zone-trust quit FW2 firewall zone untrust FW2-zone-untrust add interface Eth-Trunk 6 /將連接外網(wǎng)的Eth-Trunk6參加非平安區(qū)域 FW2-zone-untrust quit FW2 firewall zone dmz FW2-zone-dmz add interface Eth-Trunk 1 /將FW1、FW2之間的接口參加DMZ區(qū)域 FW2-zone-dmz quit路由器：部署VRRP。Router1為VRRP的Master，Router2為VRRP的Backup

45、# 配置Router1。Router1 interface Eth-Trunk 1.100 Router1-Eth-Trunk1.100 /配置VRRP的虛擬IP地址 Router1-Eth-Trunk1.100 vrrp vrid 1 priority 120 /提高Router1的優(yōu)先級，使其成為Master Router1-Eth-Trunk1.100 quit# 配置Router2。Router2 interface Eth-Trunk 1.100 Router2-Eth-Trunk1.100 /配置VRRP的虛擬IP地址 Router2-Eth-Trunk1.100 quit配置完成

46、后，Router1和Router2之間應(yīng)該能建立VRRP的主備份關(guān)系，執(zhí)行display vrrp命令可以看到Router1和Router2的VRRP狀態(tài)。# 查看Router1的VRRP狀態(tài)為Master。Router1 display vrrp Eth-Trunk1.100 | Virtual Router 1 State : Master Virtual IP : 10.10.4.100 Master IP : 10.10.4.2 PriorityRun : 120 PriorityConfig : 120 MasterPriority : 120 Preempt : YES Delay

47、 Time : 0 s TimerRun : 1 s TimerConfig : 1 s Auth type : NONE Virtual MAC : 0000-5e00-0101 Check TTL : YES Config type : normal-vrrp Create time : 2015-05-18 06:53:47 UTC-05:13 Last change time : 2015-05-18 06:54:14 UTC-05:13# 查看Router2的VRRP狀態(tài)為Backup。Router2 display vrrp Eth-Trunk1.100 | Virtual Rou

48、ter 1 State : Backup Virtual IP : 10.10.4.100 Master IP : 10.10.4.2 PriorityRun : 100 PriorityConfig : 100 MasterPriority : 120 Preempt : YES Delay Time : 0 s TimerRun : 1 s TimerConfig : 1 s Auth type : NONE Virtual MAC : 0000-5e00-0101 Check TTL : YES Config type : normal-vrrp Create time : 2015-0

49、5-18 06:53:52 UTC-05:13 Last change time : 2015-05-18 06:57:12 UTC-05:13 配置CSS與FW、路由器之間的路由。在交換機(jī)與路由器之間部署OSPF。# 在CSS上創(chuàng)立VPN實(shí)例Public，將連接路由器的接口和連接防火墻上行口的接口綁定到Public。CSS ip vpn-instance Public /創(chuàng)立Public CSS-vpn-instance-Public ipv4-family CSS-vpn-instance-Public-af-ipv4 route-distinguisher 100:2 CSS-vpn-i

50、nstance-Public-af-ipv4 vpn-target 222:2 both CSS-vpn-instance-Public-af-ipv4 quit CSS-vpn-instance-Public quit CSS interface Vlanif 10 CSS-Vlanif10 ip binding vpn-instance Public /將CSS連接路由器的接口VLANIF10綁定至Public CSS-Vlanif10 ip address 10.10.4.1 24 /將接口綁定到Public時(shí)，接口上的IP地址會(huì)被刪除，需要重新配置IP地址。 CSS-Vlanif10

51、quit CSS interface Vlanif 20 CSS-Vlanif20 ip binding vpn-instance Public /將CSS連接防火墻上行口的接口VLANIF20綁定至Public CSS-Vlanif20 ip address 10.10.2.1 24 /將接口綁定到Public時(shí)，接口上的IP地址會(huì)被刪除，需要重新配置IP地址。 CSS-Vlanif20 quit# 對于上行流量,在Public中配置靜態(tài)路由，路由下一跳指向路由器VRRP虛擬IP。CSS ip route-static vpn-instance Public 0.0.0.0 0.0.0.0

52、10.10.4.100 /Public中的缺省路由，下一跳指向路由器VRRP的虛擬IP# 對于下行流量，在CSS與Router之間運(yùn)行OSPF協(xié)議，用于Router學(xué)習(xí)到業(yè)務(wù)網(wǎng)段的回程路由信息。CSS CSS-ospf-100 area 0 CSS-ospf-100-area-0.0.0.0 /將業(yè)務(wù)網(wǎng)絡(luò)1所在網(wǎng)段發(fā)布到OSPF中 CSS-ospf-100-area-0.0.0.0 /將業(yè)務(wù)網(wǎng)絡(luò)2所在網(wǎng)段發(fā)布到OSPF中 CSS-ospf-100-area-0.0.0.0 /將連接Router的網(wǎng)段發(fā)布到OSPF中 CSS-ospf-100-area-0.0.0.0 quit CSS-ospf

53、-100 import-route static /在OSPF中引入靜態(tài)路由 CSS-ospf-100 quit在兩個(gè)出口路由器Router1、Router2上部署OSPF。# 配置Router1Router1 Router1-ospf-100 area 0 Router1-ospf-100-area-0.0.0.0 /將連接CSS的網(wǎng)段發(fā)布到OSPF中 Router1-ospf-100-area-0.0.0.0 quit Router1-ospf-100 quit# 配置Router2Router2 Router2-ospf-100 area 0 Router2-ospf-100-area-

54、0.0.0.0 /將連接CSS的網(wǎng)段發(fā)布到OSPF中 Router2-ospf-100-area-0.0.0.0 quit Router2-ospf-100 quit# 配置完成后，CSS、Router1和Router2之間能建立鄰居關(guān)系。以查看CSS上的OSPF鄰居為例，能看到Router1和Router2，并且鄰居狀態(tài)是Full。CSS display ospf peer OSPF Process 100 with Router ID 1.1.1.1 Neighbors Area 0.0.0.0 interface 10.10.4.1(Vlanif10)s neighbors Router

55、 ID: 2.2.2.2 Address: 10.10.4.2 State: Full Mode:Nbr is Master Priority: 1 DR: 10.10.4.1 BDR: 10.10.4.2 MTU: 0 Dead timer due in 31 sec Retrans timer interval: 5 Neighbor is up for 00:13:23 Authentication Sequence: 0 Router ID: 3.3.3.3 Address: 10.10.4.3 State: Full Mode:Nbr is Master Priority: 1 DR

56、: 10.10.4.1 BDR: 10.10.4.2 MTU: 0 Dead timer due in 37 sec Retrans timer interval: 5 Neighbor is up for 00:00:52 Authentication Sequence: 0 交換機(jī)：配置交換機(jī)與FW之間的靜態(tài)路由。# 對于上行流量,在CSS上創(chuàng)立VPN實(shí)例VRF-A，將連接業(yè)務(wù)網(wǎng)絡(luò)的接口和連接防火墻下行的接口綁定到VRF-A，VRF-A的缺省路由下一跳指向防火墻下行VRRP虛擬IPVRID2。CSS ip vpn-instance VRF-A /創(chuàng)立VRF-A CSS-vpn-instan

57、ce-VRF-A ipv4-family CSS-vpn-instance-VRF-A-af-ipv4 route-distinguisher 100:1 CSS-vpn-instance-VRF-A-af-ipv4 vpn-target 111:1 both CSS-vpn-instance-VRF-A-af-ipv4 quit CSS-vpn-instance-VRF-A quit CSS interface Vlanif 100 CSS-Vlanif100 ip binding vpn-instance VRF-A /將CSS連接業(yè)務(wù)網(wǎng)絡(luò)1的接口VLANIF100綁定至VRF-A CSS

58、-Vlanif100 ip address 10.10.100.1 24 /將接口綁定到VRF-A時(shí)，接口上的IP地址會(huì)被刪除，需要重新配置IP地址。 CSS-Vlanif100 quit CSS interface Vlanif 200 CSS-Vlanif200 ip binding vpn-instance VRF-A /將CSS連接業(yè)務(wù)網(wǎng)絡(luò)2的接口VLANIF200綁定至VRF-A CSS-Vlanif200 ip address 10.10.200.1 24 /將接口綁定到VRF-A時(shí)，接口上的IP地址會(huì)被刪除，需要重新配置IP地址。 CSS-Vlanif200 quit CSS i

59、nterface Vlanif 30 CSS-Vlanif30 ip binding vpn-instance VRF-A /將CSS連接防火墻下行的接口VLANIF30綁定至VRF-A CSS-Vlanif30 ip address 10.10.3.1 24 /將接口綁定到VRF-A時(shí)，接口上的IP地址會(huì)被刪除，需要重新配置IP地址。 CSS-Vlanif30 quit# 在VRF-A中的配置缺省路由，下一跳指向防火墻下行VRRP 2的虛擬IPVRID2。CSS # 在Public中配置靜態(tài)路由，對于下行流量，路由下一跳指向防火墻上行VRRP 1的虛擬IPVRID1。CSS /目的地址是業(yè)務(wù)

60、網(wǎng)段1的報(bào)文，下一跳指向2臺(tái)FW VRID2的虛擬地址。CSS /目的地址是業(yè)務(wù)網(wǎng)段2的報(bào)文，下一跳指向2臺(tái)FW VRID2的虛擬地址。防火墻：配置防火墻的靜態(tài)路由# 在FW1上配置靜態(tài)路由。FW1 /對于上行流量，缺省路由下一跳為交換機(jī)的Public接口VLANIF20的IP地址 FW1 /對于下行流量，目的地址為業(yè)務(wù)網(wǎng)絡(luò)1，下一跳為交換機(jī)上VRF-A接口VLANIF30的IP地址 FW1 /對于下行流量，目的地址為業(yè)務(wù)網(wǎng)絡(luò)2，下一跳為交換機(jī)上VRF-A接口VLANIF30的IP地址 # 在FW2上配置靜態(tài)路由。FW2 /對于上行流量，缺省路由下一跳為交換機(jī)的Public接口VLANIF20