大型园区网建设(防火墙部分)

最新推荐文章于 2024-07-26 19:52:50 发布
最新推荐文章于 2024-07-26 19:52:50 发布
阅读量911 收藏 10
点赞数 7
分类专栏: 大型园区建设案例 HCIP-Datacom HCIE-Datacom 文章标签: 网络 网络协议 tcp/ip
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chuaxing/article/details/128578425
版权

三、防火墙部分

在这里插入图片描述

1、FW1,FW2部署双机热备实现负载分担,并启用会话快速备份功能,解决来回路径不一致的问题,使用ip-link技术检测R1的loopback 0接口不可达则触发主备切换

[FW1-zone-dmz]di th
firewall zone dmz
 set priority 50
 add interface GigabitEthernet1/0/2
#

interface GigabitEthernet1/0/2
 ip address 172.16.245.12 255.255.255.0
#


HRP_M[FW1]dis cu | in hrp
 hrp enable
 hrp interface GigabitEthernet1/0/2 remote 172.16.245.13
 hrp mirror session enable


[FW2-zone-dmz]di th
firewall zone dmz
 set priority 50
 add interface GigabitEthernet1/0/2
#

interface GigabitEthernet1/0/2
 ip address 172.16.245.13 255.255.255.0
#

HRP_S[FW2]dis cu | in hrp
 hrp enable
 hrp interface GigabitEthernet1/0/2 remote 172.16.245.12
 hrp mirror session enable

#开启备用设备的部分配置功能
hrp standby config enable
#

配置安全策略,放行防火墙自身向外发送的包

HRP_M[FW1-policy-security]di th
security-policy
 rule name local_any
  source-zone local
  action permit
#

ip-link:
HRP_M[FW1]ip-link check enable 
HRP_M[FW1]switch vsys VPN_A
HRP_M<FW1-VPN_A>sy
HRP_M[FW1-VPN_A]ip-link name R1
HRP_M[FW1-VPN_A-iplink-R1]destination 10.1.1.1

在这里插入图片描述

2、FW1,FW2部署虚拟防火墙,创建虚拟系统VPN_A、VPN_B分别对应业务VLAN10与VLAN20的业务

1)配置FW1,其中虚拟系统VPN_A包含vlan120,vlan121接口,虚拟系统VPN_B包含vlan122,vlan123接口
FW1:
vsys enable
vsys name VPN_A 
 assign vlan 120
 assign vlan 121

vsys name VPN_B 
 assign vlan 122
 assign vlan 123
#
#需要在根墙开启相应接口
int vlanif120
int vlanif121
int vlanif122
int vlanif123

#切换到虚拟系统VPN_A
switch vsys VPN_A
sys
interface Vlanif120
 ip binding vpn-instance VPN_A
 ip address 172.16.120.12 255.255.255.0
#
interface Vlanif121
 ip binding vpn-instance VPN_A
 ip address 172.16.121.12 255.255.255.0
#

#切换到虚拟系统VPN_B
switch vsys VPN_B
sys
interface Vlanif122
 ip binding vpn-instance VPN_B
 ip address 172.16.122.12 255.255.255.0
#
interface Vlanif123
 ip binding vpn-instance VPN_B
 ip address 172.16.123.12 255.255.255.0
#

#
注意: vlan121,vlan123连接外网,vlan120,vlan122连接内网
#配置虚拟系统VPN_A的安全区域
switch vsys VPN_A
sys
firewall zone trust
 set priority 85
 add interface Vlanif120
#
firewall zone untrust
 set priority 5
 add interface Virtual-if1
 add interface Vlanif121
#

#配置虚拟系统VPN_B的安全区域
switch vsys VPN_B
sys
firewall zone trust
 set priority 85
 add interface Vlanif122
#
firewall zone untrust
 set priority 5
 add interface Virtual-if2
 add interface Vlanif123
#
2)配置FW2,其中虚拟系统VPN_A包含vlan130,vlan131接口,虚拟系统VPN_B包含vlan132,vlan133接口
FW2:
vsys enable
vsys name VPN_A 
 assign vlan 130
 assign vlan 131

vsys name VPN_B 2
 assign vlan 132
 assign vlan 133
#
#需要在根墙开启相应接口
int vlanif130
int vlanif131
int vlanif132
int vlanif133

#切换到虚拟系统VPN_A
switch vsys VPN_A
sys
interface Vlanif130
 ip binding vpn-instance VPN_A
 ip address 172.16.130.13 255.255.255.0
#
interface Vlanif131
 ip binding vpn-instance VPN_A
 ip address 172.16.131.13 255.255.255.0
#

#切换到虚拟系统VPN_B
switch vsys VPN_B
sys
interface Vlanif132
 ip binding vpn-instance VPN_B
 ip address 172.16.132.13 255.255.255.0
#
interface Vlanif133
 ip binding vpn-instance VPN_B
 ip address 172.16.133.13 255.255.255.0
#
#
注意:vlan131,vlan133连接外网,vlan130,vlan132连接内网
#配置虚拟系统VPN_A的安全区域
switch vsys VPN_A
sys
firewall zone trust
 set priority 85
 add interface Vlanif130
#
firewall zone untrust
 set priority 5
 add interface Virtual-if1
 add interface Vlanif131

#配置虚拟系统VPN_B的安全区域
switch vsys VPN_B
sys
firewall zone trust
 set priority 85
 add interface Vlanif132
#
firewall zone untrust
 set priority 5
 add interface Virtual-if2
 add interface Vlanif133
#

3、设置VPN_A、VPN_B分别与S3、S4建立OSPF邻居关系,分别划分到区域1与区域2

FW1:
FW1:
ospf 1 vpn-instance VPN_A
#禁止路由环路检测,直接进行路由计算
 vpn-instance-capability simple
 area 0.0.0.1
  network 172.16.0.0 0.0.255.255
#

ospf 2 vpn-instance VPN_B
#禁止路由环路检测,直接进行路由计算
 vpn-instance-capability simple
 area 0.0.0.2
  network 172.16.0.0 0.0.255.255
#

[S3-ospf-100]di th
#
ospf 100 router-id 10.0.0.9
 silent-interface Vlanif10
 silent-interface Vlanif20
 area 0.0.0.0
  authentication-mode md5 1 plain huawei
  network 172.16.79.9 0.0.0.0
  network 172.16.89.9 0.0.0.0
 #需要在区域1和区域2宣告外网口,vlanif121和vlanif123
 area 0.0.0.1
  network 172.16.121.9 0.0.0.0
 area 0.0.0.2
  network 172.16.123.9 0.0.0.0
 area 0.0.0.3
  network 172.16.254.9 0.0.0.0
  vlink-peer 10.0.0.10 authentication-null
#

FW1的邻居关系如下所示:
在这里插入图片描述

FW2:
FW2:
ospf 1 vpn-instance VPN_A
#禁止路由环路检测,直接进行路由计算
 vpn-instance-capability simple
 area 0.0.0.1
  network 172.16.0.0 0.0.255.255
#

ospf 2 vpn-instance VPN_B
#禁止路由环路检测,直接进行路由计算
 vpn-instance-capability simple
 area 0.0.0.2
  network 172.16.0.0 0.0.255.255
#

[S4-ospf-100]di th
#
ospf 100 router-id 10.0.0.10
 area 0.0.0.0
  authentication-mode md5 1 plain huawei
  network 172.16.108.10 0.0.0.0
  network 172.16.107.10 0.0.0.0
#需要在区域1和区域2宣告外网口,vlanif131和vlanif133
 area 0.0.0.1
  network 172.16.131.10 0.0.0.0
 area 0.0.0.2
  network 172.16.133.10 0.0.0.0
 area 0.0.0.3
  network 172.16.254.10 0.0.0.0
  vlink-peer 10.0.0.9 authentication-null
#

FW的邻居关系如下所示:
在这里插入图片描述

4、配置静态路由实现虚拟系统之间互访,VLAN10访问VLAN20的业务流量通过虚拟系统之间完成互通,避免次优路径

FW1:
ip route-static vpn-instance VPN_A 172.16.20.0 255.255.255.0 vpn-instance VPN_B
ip route-static vpn-instance VPN_B 172.16.10.0 255.255.255.0 vpn-instance VPN_A
#在VPN实例的OSPF进程中引入静态路由
HRP_M[FW1-ospf-1]import-route static 
#
HRP_M[FW1-ospf-2]import-route static

FW2:
ip route-static vpn-instance VPN_A 172.16.20.0 255.255.255.0 vpn-instance VPN_B
ip route-static vpn-instance VPN_B 172.16.10.0 255.255.255.0 vpn-instance VPN_A
#

5、安全策略

FW1、FW2:
switch vsys VPN_A
sys
security-policy
 rule name local_any
  source-zone local
  action permit
 rule name trust_untrust
  source-zone trust
  destination-zone untrust
  action permit
 rule name untrust_trust
  source-zone untrust
  destination-zone trust
  destination-address 172.16.10.0 mask 255.255.255.0
  action permit
#
switch vsys VPN_B
sys
security-policy
 rule name local_any
  source-zone local
  action permit
 rule name trust_untrust
  source-zone trust
  destination-zone untrust
  action permit
 rule name untrust_trust
  source-zone untrust
  destination-zone trust
  destination-address 172.16.20.0 mask 255.255.255.0
  action permit
#
#使能防火墙接口的ICMP TTL超时报文的发送功能
icmp ttl-exceeded send

6、验证

PC1获取到的地址:
在这里插入图片描述
PC2获取到的地址:
在这里插入图片描述
PC1与PC2互访是通过虚拟系统之间完成的:
在这里插入图片描述
PC2 访问R2的loopback 0接口:
在这里插入图片描述

wx:wlgcs_123
关注
专栏目录
园区项目建设
彭淦淦的博客
04-17 980
1.1 问题 基于项目需求,完成项目建设 实现内与外的互相访问 1.2 方案 使用eNSP搭建实验环境,如图-1所示。 图-1 1.3 步骤 实现此案例需要按照如下步骤进行。 1)配置终端设备 - PC1~PC8 为 DHCP 客户端 2)配置网络设备 – 每个交换机配置相同的vlan <Huawei>undo terminal monitor &...
大型园区建设(路由部分
chuaxing的博客
01-07 719
大型园区建设学习案例
园区典型组架构及案例实践
最新发布
weixin_64893542的博客
07-26 337
园区典型组架构及案例实践是指在一个园区内部搭建和维护网络的结构和实际操作。通过合理的组架构和实践,可以建立一个稳定、安全、高效的园区网络,满足用户的网络需求。
ICT案例——园区配置
xsepower的博客
07-07 1964
1. 注意点 VLAN STP 链路聚合 VRRP 2. 架构图 3. 配置 3.1 二层配置 3.1.1 接入交换机ASW01 先配置下行 [H3C]sysn ASW01 //修改设备名称 //创建VLAN并添加描述 [ASW01]vlan 20 [ASW01-vlan20]description To_Dep20_PC//描述:VLAN20是Department20使用 [ASW01-vlan20]vlan 21 [ASW01-vlan21]description TO_Dep21_PC //
网络工程师-大型园区网络建设与管理
qq_43416206的博客
11-26 650
在以流量为计费标准的局域中,接入电路每月重复的花费是造成运行大型网络成本很高的一个主要原因,因此可以选用适当的技术加以降低。易用性是指网络用户访问网络和服务的难易程度。模型从系统开始,经历用户需求分析、逻辑网络设计、物理网络设计和测试,并贯彻网络工程监理。主要任务包括网络环境设计和网络设备选型,其中网络环境设备主要是指结构化布线系统设计、网络机房设计和供电系统设计等方面;是一个折中方案,要求客户将他们想花费在可扩展性、可用性、网络性能、安全性、可管理性、易用性、适用性、可付性等方面的成本比例做个选择。
园区经典案例(附配置代码)
02-07
园区经典案例(附配置代码)园区经典案例(附配置代码)园区经典案例(附配置代码)园区经典案例(附配置代码)园区经典案例(附配置代码)园区经典案例(附配置代码)园区经典案例(附配置代码)园区经典案例(附配置代码)
大型园区网络建设与管理4.6
qq_43416206的博客
01-24 1039
2. VPN 实现的主要安全协议VPN 区别于一般网络互联的关键是隧道的建立, 数据包经过加密后, 按隧道协议进行封装、 传送以保证安全性。一般, 在数据链路层实现数据封装的协议叫第二层隧道协议, 常用的有 PPTP、 L2TP 等;在网络层实现数据封装的协议叫第三层隧道协议, 如 IPSec。另外,SOCKSv5 协议则在 TCP 层实现数据安全。1996 年 Microsoft 和 Ascend 等在 PPP 协议的基础上开发了 PPTP, 它集成于 Windows NT。
大型园区网络建设与管理5.7
qq_43416206的博客
02-28 1185
本章以大型园区网络综合布线系统设计为主题, 讨论了大型园区综合布线系统方案设计 和施工技术。 1) 介绍了综合布线系统的相关概念、 特点、 结构和组成。 2) 详细介绍了综合布线系统中的网络传输介质。 3) 重点介绍综合布线系统设计与施工技术, 并对测试技术进行了介绍。 4) 以高校校园为例, 介绍了一个网络综合布线系统设计方案。
基于华为eNSP的中小企业办公园区/校园网络规划与设计
10-18
通过建设一个高速、高安全性、高可靠性、可扩展的网络结构,使整个办公园区网络系统通过一张连接在一起,实现企业内部信息的共享,以及在工作协助中更高效、迅速地传递至相关部门,同时也便于管理层管理,能对...
大型园区网络建设与管理-校园安全管理技术7.7
qq_43416206的博客
03-03 735
大型园区网络建设任务完成后, 重点工作就转入日常化的网络运维管理。 网络管理是 保障网络正常运行的必修课。 本章以大型园区网络管理技术为主题, 讨论了大型园区管理技 术。 1 ) 简要介绍了网络管理的概念、 目标和内容、 基本功能。 2) 详细介绍了 802. 1 x 认证技术, 这是目前最先进的身份认证, 对提高网络安全管理水 平至关重要。 3) 介绍了
大型园区网络建设与管理4.7
qq_43416206的博客
01-24 934
入侵检测系统 ( Intrusion Detection System, IDS) , 就是进行入侵检测的软件与硬件组成的独立系统。统对付网络攻击, 扩展了系统管理员的安全管理能力 ( 包括安全审计、 监视、 进攻识别和响应) , 提高了信息安全基础结构的完整性。其优点是可检测到未知的入侵和更为复杂的入侵, 其缺点是误报、 漏报率高, 且不适应用户正常行为的突然改变。要保证用来检测网络系统的软件的完整性, 特别是入侵检测系统软件本身应具有相当强的坚固性, 防止被篡改而收集到错误的信息。
智简园区网络解决方案大中型园区网络典型配置案例(虚拟化场景).pdf
11-02
智简园区网络解决方案大中型园区网络典型配置案例(虚拟化场景),华为针对大中型网络进行的真实设计方案,内容丰富,各位网络工程师撰写方案的资料参考
中小型企业园区网络建设的部署与实现.doc
11-07
随着现代科学技术的发展,人类生活已和网络息息相关。现代企业的发展更离不开网络,企业园区网络是个复杂而且庞大的系统,它不仅为企业提供了综合管理、办公自动化,多媒体办公等一系列应用的平台,而且能使企业与外界更便捷的进行信息交互,使企业内部可以及时的进行信息共享。广通汽车制造有限公司是一个中型的办公加制造的企业,不同的任务作为一个整体有要对各种数据信息进行交流整合,因此公司的信息化是对于通信的保证,企业园区使网络建设必须具有安全性、可用性、实用性、可靠性等性能。 本文简述了对广通汽车制造有限公司企业园区网络建设的指导思想以及对应相关的网络技术该选用的网络设备,在总体的网络架构上,采用经典的三层网络结构,使在地域上分开的部分可以通过核心层相连接,本次方案采用了链路冗余和设备冗余的双冗余备份,同时采用了ACL、身份验证等技术对网络的安全性进行保障,并采用了各种网络协议防止网络产生环路,保证数据的安全可靠的传输
园区的设计与配置实例
12-22
51CTO下载-某某校园设计与配置实例
华为企业园区网络建设-技术方案
12-27
华为企业园区网络建设-技术方案,
中小企业园区建设项目
03-26
某企业计划建设自己的企业园区网络,希望通过这个新建的网络,提供一个安全、可靠、可扩展、高效的网络环境,将两个办公地点连接到一起,使企业内能够方便快捷的实现网络资源共享、全接入Internet等目标,同时实现公司内部的信息保密隔离,以及对于公的安全访问
园区真实详细配置大全案例
IT技术
11-04 1148
园区真实详细配置大全案例
园区典型配置案例
shatianyzg的博客
08-27 687
配置各设备的sshSw:[SW]aaaRouter:SwitchA:SwitchB:1.vlan5管理vlan 10.10.1.0/24[SW]vlan 52.eth-trunk 配置,静态 lacp。
一文梳理新一代云化园区网络建设方案-建篇(2023版)
asterfusion的博客
03-03 362
借鉴云数据中心网络的发展经验,星融元Asterfusion创新性地提出了新一代精简高效的云化园区网络架构。其中,型号丰富的CX-M系列主要作为接入或汇聚交换机,而高速率、高密度的CX-N系列作为汇聚和核心交换机。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

wx:wlgcs_123

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值