大型園區(qū)出口配置標準規(guī)定樣式(防火墻直連部署)

.1大型園區(qū)出口配置示例（防火墻直連部署）組網需求如圖1-1所示，在大型園區(qū)出口，核心交換機上行和防火墻進行直連，通過防火墻連接到出口網關，對出入園區(qū)的業(yè)務流量提供安全過濾功能，為網絡安全提供保，網絡要求如下：精品文檔放心下載內網用戶使用私網IP地址，用戶的IP地址使用DHCP自動分配。謝謝閱讀部門A用戶能夠訪問Internet，部門B用戶不能訪問Internet。精品文檔放心下載內外網用戶都可以訪問HTTP服務器。保證網絡的可靠性，每個節(jié)點都進行冗余設計。.圖1-1園區(qū)出口組網圖（防火墻直連）Inernet接入點 接入點GE0/0/2GE0/0/2Router1Router2GE0/0/1GE0/0/1OSPF0GE1/0/1GE1/0/1FW1GE1/0/7GE1/0/7FW2GE2/0/3GE2/0/4GE2/0/4GE2/0/3Eth-Trunk10

Eth-Trunk20Swich1(主) Swich2(備)CSSHTTP服務器OSPF1 Eth-Trunk100 Eth-Trunk200感謝閱讀OSPF2部門A 部門BAGG1 AGG2Switch3(主) Switch4(備) Switch5(主) Switch6(備)謝謝閱讀.部署要點路由部署：????

RouterID：為每臺設備配置一個Loopback地址，作為設備的RouterID。精品文檔放心下載出口路由器、防火墻、核心交換機作為OSPF骨干區(qū)域Area0，出口路由器作為ASBR，核心交換機為ABR。感謝閱讀部門A和部門B的的OSPF區(qū)域分別配置為Area1和Area2，并配置為NSSA區(qū)域，減少LSA在區(qū)域間的傳播。謝謝閱讀為了引導各設備的上行流量，在核心交換機上配置一條缺省路由，下一跳指向防火墻，在防火墻上配置一條缺省路由，下一跳指向出口路由器，出口路由器上配置一條缺省路由，下一跳指向運行商網絡設備的對接地址（公網網關）。精品文檔放心下載可靠性部署：推薦使用CSS+iStack+Eth-trunk無環(huán)以太網技術，讓可靠性變得簡單。精品文檔放心下載在核心交換機部署集群（CSS），匯聚交換機部署堆疊（iStack），保證設備級可靠性。謝謝閱讀為提高鏈路可靠性、在核心交換機與防火墻之間、核心交換機和匯聚交換機之間、匯聚交換機和接入交換機之間均通過Eth-Trunk互連。精品文檔放心下載在防火墻上部署雙機熱備，兩臺防火墻之間實現(xiàn)負載分擔。感謝閱讀DHCP部署：核心交換機配置DHCP服務器，為用戶自動分配IP地址。謝謝閱讀在匯聚交換機上配置DHCPRelay，保證能夠通過DHCP服務為用戶分配IP地址。感謝閱讀NAT部署：為了使內網用戶訪問Internet，在兩臺出口路由器的上行口配置NAT，實現(xiàn)私網地址和公網地址之間的轉換。通過ACL匹配部門A的源IP地址，從而實現(xiàn)部門A的用戶可以訪問Internet，而部門B的用戶不能訪問Internet。精品文檔放心下載為了保證外網用戶能夠訪問HTTP服務器，在兩臺出口路由器上配置NATServer。精品文檔放心下載安全部署：防火墻配置安全策略，對流量進行過濾，保證網絡安全。.設備規(guī)劃設備類型 設備型號路由器Router1、Router2 華為AR3600系列路由器謝謝閱讀防火墻FW1、FW2 華為USG9000系列防火墻謝謝閱讀核心交換機做CSS 華為S7700/S9700/S12700交換機謝謝閱讀匯聚交換機做iStack 華為S5720EI系列交換機，使用業(yè)務口做堆疊精品文檔放心下載數(shù)據(jù)規(guī)劃設備接口編成員接VLANIF號口RouterGE0/0/--11GE0/0/--2Router GE0/0/ - -1GE0/0/2FW1GE1/0/--1GE1/0/--7Eth-GE2/0/-Trunk130GE2/0/4

IP地址對端設對端接口編號備FW1GE1/0/1/24202.10.假設此接口用于連接運營商設1.1/24備接口，IP地址為運營商分配的公網IP。FW2GE1/0/1/24202.10.假設此接口用于連接運營商設2.1/24備接口，IP地址為運營商分配的公網IP。RouterGE0/0/1/24110.10.1.FW2GE1/0/71/24CSSEth-Trunk10/24.設備接口編成員接VLANIFIP地址對端設對端接口編號號口備FW2GE1/0/--RouterGE0/0/11/242GE1/0/--10.10.1.FW1GE1/0/772/24Eth-GE2/0/-CSSEth-Trunk20Trunk23/240GE2/0/4CSSGE1/1/-VLANIF10.100.HTTP以太網接口0/103001.1服務器Eth-GE1/1/-FW1Eth-Trunk10Trunk10/3/240GE2/1/0/3Eth-GE1/1/-FW2Eth-Trunk20Trunk20/4/240GE2/1/0/4Eth-GE1/2/VLANIFAGG1Eth-Trunk100Trunk10/3100/2400GE2/2/0/3Eth-GE1/2/VLANIFAGG2Eth-Trunk200Trunk20/4200/2400GE2/2/0/4AGG1Eth-GE1/0/VLANIFCSSEth-Trunk100.設備接口編成員接VLANIFIP地址對端設對端接口編號號口備Trunk11100/2400GE2/0/1Eth-GE1/0/VLANIF192.16假設此接口用于連接部門A，Trunk55008.1.1/2并作為部門A用戶的網關500GE2/0/45AGG2Eth-GE1/0/VLANIFCSSTrunk11200/2400GE2/0/1Eth-GE1/0/VLANIF192.16假設此接口用于連接部門B，Trunk56008.2.1/2并作為部門B用戶的網關600GE2/0/45HTTP以太網--10.100.CSSGE1/1/服務器接口1.10/240/10配置思路采用如下思路配置園區(qū)出口：步驟配置思路涉及產品11）核心交換機配置集群（CSS）核心交換機Switch1和2）匯聚交換機配置堆疊(iStack)Switch2，匯聚交換機Switch3、Switch4、Switch5、Switch62配置接口，為提高鏈路可靠性核心交換機（CSS）、防.步驟 配置思路1）核心交換機(CSS)和防火墻之間配置Eth-Trunk謝謝閱讀2）核心交換機(CSS)和匯聚交換機(AGG)之間配置Eth-Trunk感謝閱讀3）匯聚交換機和接入交換機之間的Eth-Trunk感謝閱讀配置各接口IP地址1）配置Router上下行接口IP地址2）配置FW上下行接口IP地址3）配置核心交換機上下行接口IP地址4）配置匯聚交換機上下行接口IP地址

涉及產品火墻（FW1、FW2）、匯聚交換機（AGG1、AGG2）感謝閱讀路由器（Router1、Router2）、防火墻（FW1、FW2）、核心交換機（CSS）、匯聚交換機（AGG1、AGG2）感謝閱讀配置路由協(xié)議，內網使用OSPF協(xié)議1）路由器、防火墻、核心交換機上行接口配置為骨干區(qū)域Area0謝謝閱讀2）核心交換機下行接口、匯聚交換機配置為NSSA區(qū)域Area1、Area2謝謝閱讀3）在核心交換機上配置一條缺省路由，下一跳指向防火墻，在防火墻上配置一條缺省路由，下一跳指向出口路由器，出口路由器上配置一條缺省路由，下一跳指向運行商網絡設備的對接地址（公網網關）精品文檔放心下載配置防火墻各接口所屬安全區(qū)域1）將連接外網的接口加入到Untrust區(qū)域2）將連接內網的接口加入到Trust區(qū)域3）將雙機熱備心跳線加入到DMZ區(qū)域配置雙機熱備1）配置VGMP監(jiān)控上下行接口2）指定心跳線，啟用雙機熱備

路由器（Router1、Router2）、防火墻（FW1、FW2）、核心交換機（CSS）防火墻（FW1、FW2）防火墻（FW1、FW2）.步驟 配置思路 涉及產品3）使能快速備份功能，保證兩臺防火墻實現(xiàn)負載分擔配置DHCP1）在核心交換機上配置DCHP服務器功能，指定地址池和網關精品文檔放心下載2）在匯聚交換上配置是DHCP中繼功能配置NAT1）在兩臺出口路由器上配置NAT，讓部門A的用戶可以訪問Internet，部門B用戶不能訪問Internet精品文檔放心下載2）在在兩臺出口路由器上配置NATServer，保證外部用戶能夠訪問HTTP服務謝謝閱讀器配置攻擊防范，在防火墻上開啟SYNFlood、HTTPFlood攻擊防范功能，保護內部服務器不受攻擊謝謝閱讀

核心交換機(CSS)、匯聚交換機（AGG1、AGG2）謝謝閱讀出口路由器Router1、Router2防火墻操作步驟步驟1核心交換機：配置交換機集群連接集群卡的線纜，下圖以EH1D2VS08000集群卡連線為例。謝謝閱讀.一塊集群卡只能與對框一塊集群卡相連，不能連接到多塊集群卡，且不能與本框集群卡相連。感謝閱讀集群卡上組1的任意接口只能與對框集群卡上組1的任意接口相連，組2的要求同組1。精品文檔放心下載每塊集群卡上連接集群線纜的數(shù)量相同（如果不相同會影響總的集群帶寬），且兩端按照接口編號的順序對接。謝謝閱讀在Switch1上配置集群，集群連接方式為集群卡（缺省值，不需配置）。集群ID采用缺省值1（不需配置），優(yōu)先級為100感謝閱讀<HUAWEI>system-view[HUAWEI]setcssmodecss-card //設備缺省值，不需再執(zhí)行命令配置,此步驟僅用作示范命令感謝閱讀[HUAWEI]setcssid1 //設備缺省值，不需再執(zhí)行命令配置,此步驟僅用作示范命令精品文檔放心下載[HUAWEI]setcsspriority100 //集群優(yōu)先級缺省為1，修改主交換機的優(yōu)先級大于備交換機感謝閱讀[HUAWEI]cssenableWarning:TheCSSconfigurationtakeseffectonlyafterthesystemisrebooted.ThenextCSSmode謝謝閱讀isCSS-Card.Rebootnow?[Y/N]:Y //重啟交換機謝謝閱讀在Switch2上配置集群。集群連接方式為集群卡（缺省值，不需配置）。集群ID為2。優(yōu)先級采用缺省值1（不需配置）。謝謝閱讀<HUAWEI>system-view[HUAWEI]setcssid2 //集群ID缺省為1，修改備交換機的ID為2謝謝閱讀[HUAWEI]cssenableWarning:TheCSSconfigurationtakeseffectonlyafterthesystemisrebooted.ThenextCSSmode精品文檔放心下載.isCSS-Card.Rebootnow?[Y/N]:Y //重啟交換機精品文檔放心下載交換機完成重啟后，查看集群狀態(tài)集群系統(tǒng)主的CSSMASTER燈綠色常亮，如dc_cfg_campus_001#fig_dc_cfg_campus_00103所示。精品文檔放心下載Switch1的兩塊主控板上編號為1的CSSID燈綠色常亮，Switch2的兩塊主控板上編號為2的CSSID燈綠色常亮。精品文檔放心下載集群卡上有集群線纜連接的端口LINK/ALM燈綠色常亮。精品文檔放心下載主框上所有集群卡的MASTER燈綠色常亮，備框上所有集群卡的MASTER燈常滅。謝謝閱讀集群建立后，后續(xù)交換機的配置都在主交換機上進行，數(shù)據(jù)會自動同步到備交換機。在集群系統(tǒng)中，接口編號會變?yōu)?維，例如，10GE1/1/0/9。其中左邊第一位表示集群ID。精品文檔放心下載步驟2匯聚交換機：配置堆疊（iStack），這里以S5720EI系列交換機為例，使用業(yè)務口做堆疊謝謝閱讀以Switch3和Swtich4為例，Switch5和Swtich6做堆疊類似，不做贅述。感謝閱讀在配置堆疊前，先不要連線，等配置完成之后再連線配置邏輯堆疊端口并加入物理成員接口.本端設備邏輯堆疊端口stack-portn/1里的物理成員端口只能與對端設備邏輯堆疊端口stack-portn/2里的物理成員端口相連。謝謝閱讀#配置Switch3的業(yè)務口GE0/0/28為物理成員端口，并加入到相應的邏輯堆疊端口。謝謝閱讀[Switch3]interfacestack-port0/1精品文檔放心下載[Switch3-stack-port0/1]portinterfacegigabitethernet0/0/28enable精品文檔放心下載Warning:Enablingstackfunctionmaycauseconfigurationlossontheinterface,continue?[Y/N]:謝謝閱讀Info:Thisoperationmaytakeafewseconds.Pleasewaitforamoment.......謝謝閱讀[Switch3-stack-port0/1]quit感謝閱讀#配置Switch4的業(yè)務口GE0/0/28為物理成員端口，并加入到相應的邏輯堆疊端口。精品文檔放心下載[Switch4]interfacestack-port0/2謝謝閱讀[Switch4-stack-port0/2]portinterfacegigabitethernet0/0/28enable精品文檔放心下載Warning:Enablingstackfunctionmaycauseconfigurationlossontheinterface,continue?[Y/N]:精品文檔放心下載Info:Thisoperationmaytakeafewseconds.Pleasewaitforamoment.......感謝閱讀[Switch4-stack-port0/2]quit精品文檔放心下載配置堆疊ID和堆疊優(yōu)先級#配置Switch3的堆疊優(yōu)先級為200。[Switch3]stackslot0priority200謝謝閱讀Warning:PleasedonotfrequentlymodifyPriority,itwillmakethestacksplit,continue?[Y/N]:謝謝閱讀#配置Switch3的堆疊ID為1。[Switch3]stackslot0renumber1精品文檔放心下載Warning:AlltheconfigurationsrelatedtotheslotIDwillbelostaftertheslotIDismodified.精品文檔放心下載PleasedonotfrequentlymodifyslotID,itwillmakethestacksplit.Continue?[Y/N]:Info:Stackconfigurationhasbeenchanged,andthedeviceneedstorestarttomaketheconfigurationeffective.謝謝閱讀#配置Switch4的堆疊ID為2。[Switch4]stackslot0renumber2感謝閱讀Warning:AlltheconfigurationsrelatedtotheslotIDwillbelostaftertheslotIDismodified.感謝閱讀PleasedonotfrequentlymodifyslotID,itwillmakethestacksplit.Continue?[Y/N]:Info:Stackconfigurationhasbeenchanged,andthedeviceneedstorestarttomaketheconfigurationeffective.感謝閱讀Switch3、Switch4下電，使用SFP+電纜連接GE0/0/28接口做堆疊口。感謝閱讀下電前，建議通過命令save保存配置。.本設備的stack-port0/1必須連接鄰設備的stack-port0/2，否則堆疊組建不成功。謝謝閱讀GE0/0/28 GE0/0/28iStackLinkSwitch3 Switch4設備上電如果用戶希望某臺交換機為主交換機可以先為其上電，例如：希望Switch3做為主設備，可以先給Switch3上電，再為Switch4上電。精品文檔放心下載檢查堆疊是否建立成功[Switch3]displaystackStacktopologytype:LinkStacksystemMAC:0018-82b1-6eb4MACswitchdelaytime:2minStackreservedvlan:4093Slotoftheactivemanagementport:--SlotRoleMacaddressPriorityDevicetype-------------------------------------------------------------1Master0018-82b1-6eb4200S5720-36C-EI-AC2Standby0018-82b1-6eba150S5720-36C-EI-AC可以看到一主一備，堆疊建立成功。步驟3部署Eth-Trunk接口：配置CSS與FW、匯聚交換機之間的跨框Eth-Trunk口謝謝閱讀防火墻FW：配置和核心交換機CSS之間互聯(lián)的Eth-Trunk接口精品文檔放心下載#在FW1上創(chuàng)建Eth-Trunk10，用于連接核心交換機CSS，并加入Eth-Trunk成員接口。謝謝閱讀[FW1]interfaceeth-trunk10//創(chuàng)建Eth-Trunk10接口，和CSS對接感謝閱讀[FW1-Eth-Trunk10]quit[FW1]interfacegigabitethernet2/0/3精品文檔放心下載[FW1-GigabitEthernet2/0/3]eth-trunk10謝謝閱讀[FW1-GigabitEthernet2/0/3]quit謝謝閱讀[FW1]interfacegigabitethernet2/0/4謝謝閱讀[FW1-GigabitEthernet2/0/4]eth-trunk10謝謝閱讀[FW1-GigabitEthernet2/0/4]quit謝謝閱讀#在FW2上創(chuàng)建Eth-Trunk20，用于連接核心交換機CSS，并加入Eth-Trunk成員接口。謝謝閱讀.[FW2]interfaceeth-trunk20//創(chuàng)建Eth-Trunk20接口，和CSS對接感謝閱讀[FW2-Eth-Trunk20]quit[FW2]interfacegigabitethernet2/0/3感謝閱讀[FW2-GigabitEthernet2/0/3]eth-trunk20精品文檔放心下載[FW2-GigabitEthernet2/0/3]quit謝謝閱讀[FW2]interfacegigabitethernet2/0/4精品文檔放心下載[FW2-GigabitEthernet2/0/4]eth-trunk20謝謝閱讀[FW2-GigabitEthernet2/0/4]quit精品文檔放心下載核心交換機CSS：配置CSS和FW之間、CSS和匯聚交換機的跨框Eth-Trunk精品文檔放心下載#在CSS上創(chuàng)建Eth-Trunk10，用于連接FW1，并加入Eth-Trunk成員接口。謝謝閱讀[CSS]interfaceeth-trunk10//創(chuàng)建Eth-Trunk10接口，和FW1對接感謝閱讀[CSS-Eth-Trunk10]quit[CSS]interfacegigabitethernet1/1/0/3謝謝閱讀[CSS-GigabitEthernet1/1/0/3]eth-trunk10精品文檔放心下載[CSS-GigabitEthernet1/1/0/3]quit感謝閱讀[CSS]interfacegigabitethernet2/1/0/3謝謝閱讀[CSS-GigabitEthernet2/1/0/3]eth-trunk10精品文檔放心下載[CSS-GigabitEthernet2/1/0/3]quit感謝閱讀#在CSS上創(chuàng)建Eth-Trunk20，用于連接FW2，并加入Eth-Trunk成員接口。精品文檔放心下載[CSS]interfaceeth-trunk20//創(chuàng)建Eth-Trunk20接口，和FW2對接精品文檔放心下載[CSS-Eth-Trunk20]quit[CSS]interfacegigabitethernet1/1/0/4感謝閱讀[CSS-GigabitEthernet1/1/0/4]eth-trunk20精品文檔放心下載[CSS-GigabitEthernet1/1/0/4]quit謝謝閱讀[CSS]interfacegigabitethernet2/1/0/4感謝閱讀[CSS-GigabitEthernet2/1/0/4]eth-trunk20謝謝閱讀[CSS-GigabitEthernet2/1/0/4]quit謝謝閱讀#在CSS上創(chuàng)建Eth-Trunk100，用于連接匯聚交換機AGG1，并加入Eth-Trunk成員接口。感謝閱讀[CSS]interfaceeth-trunk100//創(chuàng)建Eth-Trunk100接口，和AGG1相連謝謝閱讀[CSS-Eth-Trunk100]quit[CSS]interfacegigabitethernet1/2/0/3謝謝閱讀[CSS-GigabitEthernet1/2/0/3]eth-trunk100感謝閱讀[CSS-GigabitEthernet1/2/0/3]quit精品文檔放心下載[CSS]interfacegigabitethernet2/2/0/3感謝閱讀[CSS-GigabitEthernet2/2/0/3]eth-trunk100精品文檔放心下載[CSS-GigabitEthernet2/2/0/3]quit謝謝閱讀#在CSS上創(chuàng)建Eth-Trunk200，用于連接匯聚交換機AGG2，并加入Eth-Trunk成員接口。謝謝閱讀.[CSS]interfaceeth-trunk200//創(chuàng)建Eth-Trunk200接口，和AGG2相連謝謝閱讀[CSS-Eth-Trunk200]quit[CSS]interfacegigabitethernet1/2/0/4謝謝閱讀[CSS-GigabitEthernet1/2/0/4]eth-trunk200感謝閱讀[CSS-GigabitEthernet1/2/0/4]quit精品文檔放心下載[CSS]interfacegigabitethernet2/2/0/4感謝閱讀[CSS-GigabitEthernet2/2/0/4]eth-trunk200謝謝閱讀[CSS-GigabitEthernet2/2/0/4]quit謝謝閱讀匯聚交換機：配置匯聚交換機AGG和核心交換機CSS、匯聚交換機和接入交換機之間互聯(lián)的Eth-Trunk接口謝謝閱讀#配置AGG1。[AGG1]interfaceeth-trunk100//創(chuàng)建Eth-Trunk100接口，和CSS相連感謝閱讀[AGG1-Eth-Trunk100]quit[AGG1]interfacegigabitethernet1/0/1精品文檔放心下載[AGG1-GigabitEthernet1/0/1]eth-trunk100感謝閱讀[AGG1-GigabitEthernet1/0/1]quit謝謝閱讀[AGG1]interfacegigabitethernet2/0/1精品文檔放心下載[AGG1-GigabitEthernet2/0/1]eth-trunk100謝謝閱讀[AGG1-GigabitEthernet2/0/1]quit精品文檔放心下載[AGG1]interfaceeth-trunk500//創(chuàng)建Eth-Trunk500接口，和接入交換機相連謝謝閱讀[AGG1-Eth-Trunk500]quit[AGG1]interfacegigabitethernet1/0/5精品文檔放心下載[AGG1-GigabitEthernet1/0/5]eth-trunk500感謝閱讀[AGG1-GigabitEthernet1/0/5]quit感謝閱讀[AGG1]interfacegigabitethernet2/0/5謝謝閱讀[AGG1-GigabitEthernet2/0/5]eth-trunk500謝謝閱讀[AGG1-GigabitEthernet2/0/5]quit感謝閱讀#配置AGG2。[AGG2]interfaceeth-trunk200//創(chuàng)建Eth-Trunk200接口，和CSS相連謝謝閱讀[AGG2-Eth-Trunk200]quit[AGG2]interfacegigabitethernet1/0/1精品文檔放心下載[AGG2-GigabitEthernet1/0/1]eth-trunk200精品文檔放心下載[AGG2-GigabitEthernet1/0/1]quit精品文檔放心下載[AGG2]interfacegigabitethernet2/0/1精品文檔放心下載[AGG2-GigabitEthernet2/0/1]eth-trunk200精品文檔放心下載[AGG2-GigabitEthernet2/0/1]quit精品文檔放心下載[AGG2]interfaceeth-trunk600//創(chuàng)建Eth-Trunk600接口，和接入交換機相連感謝閱讀[AGG2-Eth-Trunk600]quit[AGG2]interfacegigabitethernet1/0/5謝謝閱讀[AGG2-GigabitEthernet1/0/5]eth-trunk600謝謝閱讀[AGG2-GigabitEthernet1/0/5]quit謝謝閱讀[AGG2]interfacegigabitethernet2/0/5謝謝閱讀[AGG2-GigabitEthernet2/0/5]eth-trunk600謝謝閱讀.[AGG2-GigabitEthernet2/0/5]quit精品文檔放心下載步驟4配置各接口IP地址#配置Router1。[Router1]interfaceloopback0謝謝閱讀[Router1-LoopBack0]ipaddress32//用來做RouterID精品文檔放心下載[Router1-LoopBack0]quit[Router1]interfacegigabitethernet0/0/2謝謝閱讀[Router1-GigabitEthernet0/0/2]ipaddress24//配置和外網相連的接口的IP地址感謝閱讀[Router1-GigabitEthernet0/0/2]quit感謝閱讀[Router1]interfacegigabitethernet0/0/1感謝閱讀[Router1-GigabitEthernet0/0/1]ipaddress24//配置和FW1相連的接口的IP地址感謝閱讀[Router1-GigabitEthernet0/0/1]quit感謝閱讀#配置Router2。[Router2]interfaceloopback0謝謝閱讀[Router2-LoopBack0]ipaddress32//用來做RouterID謝謝閱讀[Router2-LoopBack0]quit[Router2]interfacegigabitethernet0/0/2精品文檔放心下載[Router2-GigabitEthernet0/0/2]ipaddress24//配置和外網相連的接口的IP地址感謝閱讀[Router2-GigabitEthernet0/0/2]quit精品文檔放心下載[Router2]interfacegigabitethernet0/0/1精品文檔放心下載[Router2-GigabitEthernet0/0/1]ipaddress24//配置和FW2相連的接口的IP地址精品文檔放心下載[Router2-GigabitEthernet0/0/1]quit感謝閱讀#配置FW1。[FW1]interfaceloopback0感謝閱讀[FW1-LoopBack0]ipaddress32//用來做RouterID精品文檔放心下載[FW1-LoopBack0]quit[FW1]interfacegigabitethernet1/0/1謝謝閱讀[FW1-GigabitEthernet1/0/1]ipaddress24//配置和Router1相連的接口的IP地址感謝閱讀[FW1-GigabitEthernet1/0/1]quit謝謝閱讀[FW1]interfacegigabitethernet1/0/7謝謝閱讀[FW1-GigabitEthernet1/0/7]ipaddress24//配置雙機熱備心跳線IP地址謝謝閱讀[FW1-GigabitEthernet1/0/7]quit精品文檔放心下載[FW1]interfaceeth-trunk10精品文檔放心下載[FW1-Eth-Trunk10]ipaddress24//配置和CSS相連的Eth-Trunk接口的IP地址謝謝閱讀[FW1-Eth-Trunk10]quit#配置FW2。[FW2]interfaceloopback0謝謝閱讀[FW2-LoopBack0]ipaddress32//用來做RouterID精品文檔放心下載.[FW2-LoopBack0]quit[FW2]interfacegigabitethernet1/0/1感謝閱讀[FW2-GigabitEthernet1/0/1]ipaddress24精品文檔放心下載

//配置和Router2相連的接口的IP地址感謝閱讀[FW2-GigabitEthernet1/0/1]quit謝謝閱讀[FW2]interfacegigabitethernet1/0/7精品文檔放心下載[FW2-GigabitEthernet1/0/7]ipaddress24感謝閱讀

//配置雙機熱備心跳線IP地址[FW2-GigabitEthernet1/0/7]quit感謝閱讀[FW2]interfaceeth-trunk20謝謝閱讀[FW2-Eth-Trunk20]ipaddress24//配置和CSS相連的Eth-Trunk接口的IP地址謝謝閱讀[FW2-Eth-Trunk20]quit#配置CSS。[CSS]interfaceloopback0謝謝閱讀[CSS-LoopBack0]ipaddress32//用來做RouterID感謝閱讀[CSS-LoopBack0]quit[CSS]interfaceeth-trunk10感謝閱讀[CSS-Eth-Trunk10]undoportswitch//缺少情況下，交換機的Eth-Trunk接口為二層模式，如果作為三層接口使用，需要首先使用undoportswitch命令將接口切換為三層模式[CSS-Eth-Trunk10]ipaddress24//配置和FW1相連的Eth-Trunk10接口的IP地址謝謝閱讀[CSS-Eth-Trunk10]quit[CSS]interfaceeth-trunk20感謝閱讀[CSS-Eth-Trunk20]undoportswitch//缺少情況下，交換機的Eth-Trunk接口為二層模式，如果作為三層接口使用，需要首先使用undoportswitch命令將接口切換為三層模式[CSS-Eth-Trunk20]ipaddress24//配置和FW2相連的Eth-Trunk20接口的IP地址感謝閱讀[CSS-Eth-Trunk20]quit[CSS]vlanbatch100200300//批量創(chuàng)建VLAN精品文檔放心下載[CSS]interfaceeth-trunk100謝謝閱讀[CSS-Eth-Trunk100]porthybridpvidvlan100精品文檔放心下載[CSS-Eth-Trunk100]porthybriduntaggedvlan100感謝閱讀[CSS-Eth-Trunk100]quit[CSS]interface vlanif100精品文檔放心下載[CSS-Vlanif100]ipaddress24//配置和匯聚交換機AGG1相連的接口的IP地址謝謝閱讀[CSS-Vlanif100]quit[CSS]interfaceeth-trunk200謝謝閱讀[CSS-Eth-Trunk200]porthybridpvidvlan200感謝閱讀[CSS-Eth-Trunk200]porthybriduntaggedvlan200精品文檔放心下載[CSS-Eth-Trunk200]quit[CSS]interface vlanif200謝謝閱讀[CSS-Vlanif200]ipaddress24//配置和匯聚交換機AGG2相連的接口的IP地址感謝閱讀[CSS-Vlanif200]quit[CSS]interfacegigabitethernet1/1/0/10//進入連接HTTP服務器的接口感謝閱讀[CSS-GigabitEthernet1/1/0/10]portlink-typeaccess感謝閱讀[CSS-GigabitEthernet1/1/0/10]portdefaultvlan300//以Access方式加入VLAN300精品文檔放心下載[CSS-GigabitEthernet1/1/0/10]quit精品文檔放心下載[CSS]interfacevlanif300精品文檔放心下載[CSS-Vlanif300]ipaddress24//配置連接HTTP服務器接口的IP地址謝謝閱讀.[CSS-Vlanif300]quit#配置AGG1。[AGG1]interfaceloopback0感謝閱讀[AGG1-LoopBack0]ipaddress32//用來做RouterID精品文檔放心下載[AGG1-LoopBack0]quit[AGG1]vlanbatch100500[AGG1]interfaceeth-trunk100謝謝閱讀[AGG1-Eth-Trunk100]porthybridpvidvlan100精品文檔放心下載[AGG1-Eth-Trunk100]porthybriduntaggedvlan100感謝閱讀[AGG1-Eth-Trunk100]quit[AGG1]interfacevlanif100感謝閱讀[AGG1-Vlanif100]ipaddress24//配置和CSS相連的接口的IP地址謝謝閱讀[AGG1-Vlanif100]quit[AGG1]interfaceeth-trunk500感謝閱讀[AGG1-Eth-Trunk500]porthybridpvidvlan500謝謝閱讀[AGG1-Eth-Trunk500]porthybriduntaggedvlan500感謝閱讀[AGG1-Eth-Trunk500]quit[AGG1]interfacevlanif500感謝閱讀[AGG1-Vlanif500]ipaddress24//配置和接入交換機相連的接口的IP地址，并作為部門A的網感謝閱讀關[AGG1-Vlanif500]quit#配置AGG2。[AGG2]interfaceloopback0感謝閱讀[AGG2-LoopBack0]ipaddress32//用來做RouterID謝謝閱讀[AGG2-LoopBack0]quit[AGG2]vlanbatch200600[AGG2]interfaceeth-trunk200謝謝閱讀[AGG2-Eth-Trunk200]porthybridpvidvlan200精品文檔放心下載[AGG2-Eth-Trunk200]porthybriduntaggedvlan200謝謝閱讀[AGG2-Eth-Trunk200]quit[AGG2]interface vlanif200精品文檔放心下載[AGG2-Vlanif200]ipaddress24//配置和CSS相連的接口的IP地址精品文檔放心下載[AGG2-Vlanif200]quit[AGG2]interfaceeth-trunk600謝謝閱讀[AGG2-Eth-Trunk600]porthybridpvidvlan600謝謝閱讀[AGG2-Eth-Trunk600]porthybriduntaggedvlan600謝謝閱讀[AGG2-Eth-Trunk600]quit[AGG2]interfacevlanif600精品文檔放心下載[AGG2-Vlanif600]ipaddress24//配置和接入交換機相連的接口的IP地址，并作為部門B的網精品文檔放心下載關[AGG2-Vlanif600]quit步驟5防火墻：配置防火墻各接口所屬安全區(qū)域和安全策略精品文檔放心下載.#將各接口加入到安全區(qū)域。[FW1]firewallzonetrust[FW1-zone-trust]addinterfaceEth-Trunk10//將連接內網的Eth-Trunk10加入安全區(qū)域謝謝閱讀[FW1-zone-trust]quit[FW1]firewallzoneuntrust精品文檔放心下載[FW1-zone-untrust]addinterfacegigabitethernet1/0/1//將連接外網的GE1/0/1加入非安全區(qū)域精品文檔放心下載[FW1-zone-untrust]quit[FW1]firewallzonedmz[FW1-zone-dmz]addinterfacegigabitethernet1/0/7//將心跳口GE1/0/7加入DMZ區(qū)域精品文檔放心下載[FW1-zone-dmz]quit[FW2]firewallzonetrust[FW2-zone-trust]addinterfaceEth-Trunk20//將連接內網的Eth-Trunk20加入安全區(qū)域精品文檔放心下載[FW2-zone-trust]quit[FW2]firewallzoneuntrust精品文檔放心下載[FW2-zone-untrust]addinterfacegigabitethernet1/0/1//將連接外網的GE1/0/1加入非安全區(qū)域謝謝閱讀[FW2-zone-untrust]quit[FW2]firewallzonedmz[FW2-zone-dmz]addinterfacegigabitethernet1/0/7//將心跳口GE1/0/7加入DMZ區(qū)域謝謝閱讀[FW2-zone-dmz]quit#FW1:配置安全策略[FW1]policyinterzonelocaluntrustinbound[FW1-policy-interzone-local-untrust-inbound]policy2[FW1-policy-interzone-local-untrust-inbound-2]policysourcemask24//允許位于untrust區(qū)域的接入路由器訪問防火墻[FW1-policy-interzone-local-untrust-inbound-2]actionpermit[FW1-policy-interzone-local-untrust-inbound-2]quit[FW1-policy-interzone-local-untrust-inbound]quit[FW1]policyinterzonelocaltrustoutbound[FW1-policy-interzone-local-trust-outbound]policy1[FW1-policy-interzone-local-trust-outbound-1]policysourcemask24//允許位于Trust區(qū)域的設備訪問防火墻[FW1-policy-interzone-local-trust-outbound-1]policysourcemask24//允許位于Trust區(qū)域的設備訪問防火墻[FW1-policy-interzone-local-trust-outbound-1]policysourcemask24//允許位于Trust區(qū)精品文檔放心下載域的設備訪問防火墻[FW1-policy-interzone-local-outbound-inbound-1]actionpermit感謝閱讀[FW1-policy-interzone-local-outbound-inbound-1]quit謝謝閱讀[FW1-policy-interzone-local-outbound-inbound]quit感謝閱讀[FW1]policyinterzonetrustuntrustoutbound精品文檔放心下載[FW1-policy-interzone-trust-untrust-outbound]policy4精品文檔放心下載[FW1-policy-interzone-trust-untrust-outbound-4]policysourcemask24//允許感謝閱讀/24網段訪問外網[FW1-policy-interzone-trust-untrust-outbound-4]actionpermit精品文檔放心下載[FW1-policy-interzone-trust-untrust-outbound-4]quit謝謝閱讀.[FW1-policy-interzone-trust-untrust-outbound]quit感謝閱讀[FW1]policyinterzonetrustuntrustinbound謝謝閱讀[FW1-policy-interzone-trust-untrust-inbound]policy3感謝閱讀[FW1-policy-interzone-trust-untrust-inbound-3]policysourcemask24//允許訪問內精品文檔放心下載網[FW1-policy-interzone-trust-untrust-inbound-3]actionpermit謝謝閱讀[FW1-policy-interzone-trust-untrust-inbound-3]quit精品文檔放心下載[FW1-policy-interzone-trust-untrust-inbound]quit感謝閱讀#FW2:配置安全策略[FW2]policyinterzonelocaluntrustinbound[FW2-policy-interzone-local-untrust-inbound]policy2[FW2-policy-interzone-local-untrust-inbound-2]policysourcemask24//允許位于untrust區(qū)域的接入路由器訪問防火墻[FW2-policy-interzone-local-untrust-inbound-2]actionpermit[FW2-policy-interzone-local-untrust-inbound-2]quit[FW2-policy-interzone-local-untrust-inbound]quit[FW2]policyinterzonelocaltrustoutbound[FW2-policy-interzone-local-trust-outbound]policy1[FW2-policy-interzone-local-trust-outbound-1]policysourcemask24//允許位于Trust區(qū)域的設備訪問防火墻[FW2-policy-interzone-local-trust-outbound-1]policysourcemask24//允許位于Trust區(qū)域的設備訪問防火墻[FW2-policy-interzone-local-trust-outbound-1]policysourcemask24//允許位于Trust區(qū)謝謝閱讀域的設備訪問防火墻[FW2-policy-interzone-local-dmz-inbound-1]actionpermit感謝閱讀[FW2-policy-interzone-local-dmz-inbound-1]quit精品文檔放心下載[FW2-policy-interzone-local-dmz-inbound]quit謝謝閱讀[FW2]policyinterzonetrustuntrustinbound感謝閱讀[FW2-policy-interzone-trust-untrust-inbound]policy3感謝閱讀[FW2-policy-interzone-trust-untrust-inbound-3]policysourcemask24//允許訪問內謝謝閱讀網[FW2-policy-interzone-trust-untrust-inbound-3]actionpermit感謝閱讀[FW2-policy-interzone-trust-untrust-inbound-3]quit謝謝閱讀[FW2-policy-interzone-trust-untrust-inbound]quit感謝閱讀步驟6部署路由路由器、防火墻、核心交換機上行接口配置為骨干區(qū)域Area0謝謝閱讀#配置Router1[Router1]routerid感謝閱讀[Router1]ospf1 //配置OSPF感謝閱讀.[Router1-ospf-1]area0 //配置為骨干區(qū)域謝謝閱讀[Router1-ospf-1-area-]network55//將連接FW1的網段發(fā)布到OSPF骨干區(qū)精品文檔放心下載域[Router1-ospf-1-area-]quit精品文檔放心下載[Router1-ospf-1]quit#配置Router2[Router2]routerid謝謝閱讀[Router2]ospf1 //配置OSPF謝謝閱讀[Router2-ospf-1]area0 //配置為骨干區(qū)域感謝閱讀[Router2-ospf-1-area-]network55//將連接FW2的網段發(fā)布到OSPF骨干區(qū)謝謝閱讀域[Router2-ospf-1-area-]quit感謝閱讀[Router2-ospf-1]quit#配置FW1[FW1]routerid[FW1]ospf1 //配置OSPF[FW1-ospf-1]area0 //配置為骨干區(qū)域精品文檔放心下載[FW1-ospf-1-area-]network55謝謝閱讀

//將連接Router1的網段發(fā)布到OSPF骨干區(qū)精品文檔放心下載域[FW1-ospf-1-area-]network55謝謝閱讀[FW1-ospf-1-area-]quit謝謝閱讀[FW1-ospf-1]quit

//將連接CSS的網段發(fā)布到OSPF骨干區(qū)域感謝閱讀#配置FW2[FW2]routerid[FW2]ospf1 //配置OSPF[FW2-ospf-1]area0 //配置為骨干區(qū)域謝謝閱讀[FW2-ospf-1-area-]network55謝謝閱讀

//將連接Router2的網段發(fā)布到OSPF骨干區(qū)精品文檔放心下載域[FW2-ospf-1-area-]network55精品文檔放心下載[FW2-ospf-1-area-]quit精品文檔放心下載[FW2-ospf-1]quit

//將連接CSS的網段發(fā)布到OSPF骨干區(qū)域感謝閱讀#配置CSS[CSS]routerid[CSS]ospf1 //配置OSPF[CSS-ospf-1]area0 //配置為骨干區(qū)域精品文檔放心下載[CSS-ospf-1-area-]network55//將連接FW1的網段發(fā)布到OSPF骨干區(qū)域感謝閱讀[CSS-ospf-1-area-]network55//將連接FW2的網段發(fā)布到OSPF骨干區(qū)域謝謝閱讀[CSS-ospf-1-area-]network55//將連接HTTP服務器的網段發(fā)布到OSPF精品文檔放心下載骨干區(qū)域[CSS-ospf-1-area-]quit精品文檔放心下載.[CSS-ospf-1]quit核心交換機下行接口、匯聚交換機配置為NSSA區(qū)域Area1、Area2謝謝閱讀#配置CSS[CSS]ospf1

//配置OSPF[CSS-ospf-1]area1

//配置為Area1[CSS-ospf-1-area-]network55//將連接AGG1的網段發(fā)布到OSPFArea1精品文檔放心下載[CSS-ospf-1-area-]nssa //將Area1配置為NSSA區(qū)域感謝閱讀[CSS-ospf-1-area-]quit精品文檔放心下載[CSS-ospf-1]area2 //配置為Area2感謝閱讀[CSS-ospf-1-area-]network55//將連接AGG2的網段發(fā)布到OSPFArea2感謝閱讀[CSS-ospf-1-area-]nssa //將Area1配置為NSSA區(qū)域感謝閱讀[CSS-ospf-1-area-]quit精品文檔放心下載[CSS-ospf-1]quit#配置AGG1[AGG1]ospf1 //配置OSPF[AGG1-ospf-1]area1 //配置為Area1感謝閱讀[AGG1-ospf-1-area-]network55//將連接CSS的網段發(fā)布到OSPFArea1感謝閱讀[AGG1-ospf-1-area-]network55//將用戶網段發(fā)布到OSPFAea1謝謝閱讀[AGG1-ospf-1-area-]nssa //將Area1配置為NSSA區(qū)域感謝閱讀[AGG1-ospf-1-area-]quit精品文檔放心下載[AGG1-ospf-1]quit#配置AGG2[AGG2]ospf1 //配置OSPF[AGG2-ospf-1]area2 //配置為Area2謝謝閱讀[AGG2-ospf-1-area-]network55//將連接CSS的網段發(fā)布到OSPFArea2感謝閱讀[AGG2-ospf-1-area-]network55//將用戶網段發(fā)布到OSPFAea1精品文檔放心下載[AGG2-ospf-1-area-]nssa //將Area2配置為NSSA區(qū)域謝謝閱讀[AGG2-ospf-1-area-]quit感謝閱讀[AGG2-ospf-1]quit在核心交換機上配置一條缺省路由，下一跳指向防火墻，在防火墻上配置一條缺省路由，下一跳指向出口路由器，出口路由器上配置一條缺省路由，下一跳指向運行商網絡設備的對接地址（公網網關）感謝閱讀[Router1]iproute-static感謝閱讀[Router2]iproute-static謝謝閱讀[FW1]iproute-static感謝閱讀[FW2]iproute-static感謝閱讀[CSS]iproute-static感謝閱讀[CSS]iproute-static精品文檔放心下載.檢查配置結果在AGG上查看路由表，可以看到到內網各網段都生成了路由，并且通過NSSA區(qū)域生成一條缺省路由，以AGG1為例：感謝閱讀[AGG1]displayiprouting-table謝謝閱讀RouteFlags:R-relay,D-downloadtofib謝謝閱讀------------------------------------------------------------------------------感謝閱讀RoutingTables:PublicDestinations:14Routes:14Destination/MaskProtoPreCostFlagsNextHopInterface/0O_NSSA1501DVlanif100/32Direct00DLoopBack0/24OSPF103DVlanif100/24OSPF103DVlanif100/24OSPF102DVlanif100/24OSPF102DVlanif100/24Direct00DVlanif100/32Direct00DVlanif100/24OSPF102DVlanif100/8Direct00DInLoopBack0/32Direct00DInLoopBack0/24Direct00DVlanif500/32Direct00DVlanif500/24OSPF103DVlanif100#在CSS上查看路由表，可以看到到內網各網段都生成了路由，上行到防火墻的兩條路Cost值都一樣，說感謝閱讀明采用負載負擔方式上行。[CSS]displayiprouting-table感謝閱讀RouteFlags:R-relay,D-downloadtofib謝謝閱讀------------------------------------------------------------------------------謝謝閱讀Destinations:18Routes:19Destination/MaskProtoPreCostFlagsNextHopInterface/0Static600RDEth-Trunk10Static600RDEth-Trunk/32Direct00DLoopBack0/24OSPF102DEth-Trunk10/24OSPF102DEth-Trunk20/24Direct00DEth-Trunk10/32Direct00DEth-Trunk10/24Direct00DEth-Trunk20/32Direct00DEth-Trunk20/24Direct00DVlanif100/32Direct00DVlanif100/24Direct00DVlanif.1/32Direct00DVlanif200/24Direct00DVlanif300/32Direct00DVlanif300/8Direct00DInLoopBack0/32Direct00DInLoopBack0/24OSPF102DVlanif100/24OSPF102DVlanif200步驟7核心交換機CSS、匯聚交換機AGG：配置DHCP謝謝閱讀#在核心交換機CSS上配置DHCP服務器，自動為用戶分配IP地址。感謝閱讀[CSS]dhcpenable //使能DHCP精品文檔放心下載[CSS]interfacevlanif100//通過VLANIF100接口為部門A用戶分配IP地址感謝閱讀[CSS-Vlanif100]dhcpselectglobal//配置全局DHCP服務器謝謝閱讀[CSS-Vlanif100]quit[CSS]interfacevlanif200//通過VLANIF100接口為部門B用戶分配IP地址謝謝閱讀[CSS-Vlanif200]dhcpselectglobal//配置全局DHCP服務器精品文檔放心下載[CSS-Vlanif200]quit[CSS]ippoolpoola //配置地址池poola，為部門A用戶分配IP地址/謝謝閱讀[CSS-ip-pool-poola]networkmask24//配置為部門A分配的網段謝謝閱讀[CSS-ip-pool-poola]gateway-list//配置為部門A用戶分批的網關謝謝閱讀[CSS-ip-pool-poola]quit[CSS]ippoolpoolb //配置地址池poolb，為部門B用戶分配IP地址感謝閱讀[CSS-ip-pool-poolb]networkmask24//配置為部門B分配的網段感謝閱讀[CSS-ip-pool-poolb]gateway-list//配置為部門B用戶分批的網關謝謝閱讀[CSS-ip-pool-poolb]quit#在匯聚交換機AGG1上配置DHCP中繼。精品文檔放心下載[AGG1]dhcpenable //使能DHCP感謝閱讀[AGG1]interfacevlanif500//在用戶接入網口做DHCP中繼精品文檔放心下載[AGG1-Vlanif500]dhcpselectrelay//配置DHCP中繼精品文檔放心下載[AGG1-Vlanif500]dhcprelayserver-ip//配置DHCP服務器IP地址感謝閱讀[AGG1-Vlanif500]quit#在匯聚交換機AGG2上配置DHCP中繼。精品文檔放心下載[AGG2]dhcpenable //使能DHCP感謝閱讀[AGG2]interfacevlanif600//在用戶接入網口做DHCP中繼謝謝閱讀[AGG2-Vlanif600]dhcpselectrelay//配置DHCP中繼精品文檔放心下載[AGG2-Vlanif600]dhcprelayserver-ip//配置DHCP服務器IP地址精品文檔放心下載[AGG2-Vlanif600]quit#檢查配置結果。.在客戶端配置通過DHCP服務器獲取IP地址，然后在設備上查看地址池情況，可以看謝謝閱讀到已分配兩個IP地址給用戶（Used :2），還剩余503個精品文檔放心下載（Idle :503），說明IP地址已經分配成功。精品文檔放心下載[CSS]displayippool-----------------------------------------------------------------------謝謝閱讀Pool-name :poolaPool-No :0Position :Local

Status

:UnlockedGateway-0 :Mask :VPNinstance :-------------------------------------------------------------------------感謝閱讀Pool-name :poolbPool-No :1Position :Local

Status

:UnlockedGateway-0 :Mask :VPNinstance :--IPaddressStatisticTotal :506Used:2Idle:503Expired:0Conflict:1Disable:0步驟8出口路由器：配置NAT內網用戶使用的私網IP地址，要想實現(xiàn)如下功能：部門A用戶可以訪問Internet，在出口路由器配置NAT地址轉換，在出口路由器將私網IP地址轉換成公網IP。感謝閱讀外網用戶能否訪問內網HTTP服務器，在出口路由器配置NATServer。感謝閱讀假設運營商分配給企業(yè)用戶的公網IP為：~0，精品文檔放心下載~0。其中作為Router1連接外網的IP地址，為Router2連接外網的IP地址。0作為外網用戶訪問HTTP服務器的公網地址。內網用戶使用剩余IP公網IP訪問Internet。感謝閱讀#在Router1上配置NAT，將部門A的用戶的IP私網地址轉換成公網IP，保證部門A的用戶能夠訪問Internet精品文檔放心下載[Router1]nataddress-group1//配置NAT地址池，包括用來運營商分配的公網IP謝謝閱讀[Router1]aclnumber2000[Router1-acl-basic-2000]rulepermitsource55//配置可以用來訪問外網的用戶地址段精品文檔放心下載.[Router1-acl-basic-2000]quit感謝閱讀[Router1]interfacegigabitethernet0/0/2精品文檔放心下載[Router1-GigabitEthernet0/0/2]natoutbound2000address-group1//在連接外網的接口上應用NAT精品文檔放心下載[Router1-GigabitEthernet0/0/2]quit精品文檔放心下載#在Router2上配置NAT，將部門A的用戶的IP私網地址轉換成公網IP精品文檔放心下載[Router2]nataddress-group10//配置NAT