(6)防火墙双机热备,双出口保证可靠性
二、地址规划
总公司地址规划
| 部门 | 地址空间 | 所属vlan | 网关 |
| 财务部 | 10.0.10.0/24 | Vlan10 | 10.0.10.254/24 |
| 销售部 | 10.0.20.0/24 | Vlan20 | 10.0.20.254/24 |
| 人事部 | 10.0.30.0/24 | Vlan30 | 10.0.30.254/24 |
| 市场部 | 10.0.40.0/24 | Vlan40 | 10.0.40.254/24 |
| 员工宿舍 | 10.0.50.0/24 | Vlan50 | 10.0.50.254/24 |
| 内部服务器 | 10.0.100.0/24 | Vlan100 | 10.0.100.254/24 |
拓扑如下:
三、配置过程
1、接入层实现
对于接入层根据规划,分别设置为vlan10、vlan20、vlan30、vlan40、vlan50,
接入用户的端口加入相关VLAN,上行端口打通trunk口允许相关vlan通过。分公司接入层同理。另在接入层交换机上配置MSTP多实例生成树,将相关vlan加入不同的实例。
stp region-configuration //进入MSTP模式
region-name huawei //配置域名为huawei
instance 1 vlan 10 20 //将vlan10,vlan20加入实例1中
instance 2 vlan 30 40 //将vlan30,vlan40加入实例2中
active region-configuration //激活配置
2、核心层实现
(1)DHCP实现
核心交换机上部署DHCP
配置DHCP:
dhcp enable //打开DHCP功能
ip pool vlan10 //创建 IP 地址池取名为vlan10
network 10.0.10.0 mask 255.255.255.0 //配置地址池网段
gateway-list 10.0.10.1 //配置该地址池地址的网关地址
excluded-ip-address 10.0.10.2 10.0.10.3 //配置排除地址
dhcp select global //定义dhcp为全局模式
(2)MSTP+VRRP:
stp instance 1 root primary //指定本交换机为主根桥
stp instance 2 root secondary //指定本交换机为备份根桥
2)VRRP关键代码,其他网关配置同理:
interface Vlanif10
ip address 10.0.10.2 255.255.255.0
//创建VRRP备份组10,并配置VRRP备份组的虚拟IP地址10.0.10.1
vrrp vrid 10 virtual-ip 10.0.10.1
//设置交换机A在VRRP备份组10中的优先级为120,高于交换机B的优先级100
vrrp vrid 10 priority 120
(3)链路聚合
在两个核心交换机间设置链路聚合,关键代码如下:
interface eth-trunk 1 //创建ID为1的Eth-Trunk接口
mode lacp //配置链路聚合模式为LACP模式
interface g0/0/6
eth-trunk 1 //将接口加入Eth-Trunk 1
//设置接口链路类型为trunk
interface eth-trunk 1
port link-type trunk
3、网络出口实现
(1)部署NAT:
NAT关键代码如下:
//创建内网需要上网的源地址到外网的安全策略:
security-policy
rule name nat
source-zone trust
destination-zone untrust
action permit
//创建需要上网的源地址的安全NAT策略:
nat-policy
rule name nat
source-zone trust
destination-zone untrust
action source-nat easy-ip
4、路由协议实现
核心交换机通过双上行与出口设备相连,通过三层OSPF路由技术
//此配置 其他设备 均相同 宣告各自直连网段即可
[Core-A-ospf-1]area 0
[Core-A-ospf-1-area-0.0.0.0]network 10.0.0.0 0.255.255.255
5、双机热备功能实现
在FW上配置VGMP组监控上下行业务接口。
[FW_A] hrp track interface GigabitEthernet 1/0/0
[FW_A] hrp track interface GigabitEthernet 1/0/1
[FW_A] hrp adjust ospf-cost enable //根据VGMP状态调整OSPF Cost值功能
在FW上指定心跳口并启用双机热备功能。
[FW_A] hrp interface GigabitEthernet 0/0/6 remote 10.10.10.1
[FW_A] hrp enable
[FW_B] hrp standby-device
[FW_B] hrp enable
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!
王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。
对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!
【完整版领取方式在文末!!】
93道网络安全面试题
内容实在太多,不一一截图了
黑客学习资源推荐
最后给大家分享一份全套的网络安全学习资料,给那些想学习 网络安全的小伙伴们一点帮助!
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
1️⃣零基础入门
① 学习路线
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
② 路线对应学习视频
同时每个成长路线对应的板块都有配套的视频提供:
网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。
一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
2300
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
