这是总拓扑包含公司总部,分公司,公网服务器集群,客户,公司内部服务器集群和ISP运行商等等六大部分。
需求:
销售部和售后部能访问任何区域。研发部和财务部无法与分公司互相访问。公司内部服务器集群能访问外网,不能访问内部网络。客户能访问公司的web和ftp服务器和外网。分公司能访问售后部,销售部和公司内部服务器集群。核心交换机部署虚拟网关和负载均衡。路由器只是启路由转发功能。fw1和fw2部署ipsec vpn通过fw1的100.0.0.5端口和fw2的100.0.4.2端口,fw1部署easy-ip和nat server把ftp映射为100.0.0.4和web映射为100.0.1.4。fw1做一个流量分流把vlan10,20的流量走100.0.0.5端口和vlan30,40的流量走100.0.1.5端口。
技术运用:
这一个拓扑运用了核心交换机部署dhcp,vrrp,mstp,ospf单区域,链路聚合,fw1部署了nat,nat server,ipsec vpn,出口流量分流(只是做了一个简单分流,没有做负载均衡,负载均衡要涉及链路检测以及一个分流问题,比较复杂,估计下一个版本会做一个出口的负载均衡)和大量静态路由(我也尝试过把ospf部署到fw1但实际效果不佳,可能是策略没做到位,所有就直接用了数条静态路由),ISP部署了一个多区域的ospf,从而实现多区域的联通。
ip划分:
ip | 机构名称 |
---|---|
192.168.10.0 | 销售部 |
192.168.20.0 | 售后部 |
192.168.30.0 | 研发部 |
192.168.40.0 | 财务部 |
192.168.50.0 | 公司内部服务器集群 |
192.168.60.0 | 分公司 |
200.0.0.0 | 公网服务器集群 |
100.0.10.0 | 客户设备 |
100.0.1.0 | ISP |
100.0.2.0 | ISP |
100.0.3.0 | ISP |
100.0.0.0 | ISP |
100.0.4.0 | ISP |
技术代码分析:
dhcp
sw1的dhcp部分
#
dhcp enable 开启dhcp服务
#
ip pool vlan10 #进入地址池vlan10
gateway-list 192.168.10.254 #设置网关
network 192.168.10.0 mask 255.255.255.0 #地址分配区域
excluded-ip-address 192.168.10.240 192.168.10.253 #地址分配区域排除
lease day 3 hour 0 minute 0 #地址租期为3天
dns-list 192.168.50.3 #dns服务器地址
#下同
ip pool vlan20
gateway-list 192.168.20.254
network 192.168.20.0 mask 255.255.255.0
excluded-ip-address 192.168.20.240 192.168.20.253
lease day 3 hour 0 minute 0
dns-list 192.168.50.3
#
sw2dhcp部分
#
dhcp enable
#
ip pool vlan30
gateway-list 192.168.30.254
network 192.168.30.0 mask 255.255.255.0
excluded-ip-address 192.168.30.240 192.168.30.253
lease day 3 hour 0 minute 0
dns-list 192.168.50.3
#
ip pool vlan40
gateway-list 192.168.40.254
network 192.168.40.0 mask 255.255.255.0
excluded-ip-address 192.168.40.240 192.168.40.253
lease day 3 hour 0 minute 0
dns-list 192.168.50.3
效果查看:
sw1查看dhcp状态
sw2查看dhcp状态
pc1获取ip
pc5获取ip
vrrp
sw1代码
#
interface Vlanif10 #进入vlan10
ip address 192.168.10.252 255.255.255.0 #配置vlan10的真实网关(sw1和 sw2的vlan10的真实网关不能相同)
vrrp vrid 10 virtual-ip 192.168.10.254 #配置vlan10虚拟网关
vrrp vrid 10 priority 200 #配置vrrp的优先级
vrrp vrid 10 track interface GigabitEthernet0/0/24 reduced 60 #侦测GigabitEthernet0/0/24链路,如果链路down则降低60的优先级
vrrp vrid 10 track interface GigabitEthernet0/0/1 reduced 60 #侦测GigabitEthernet0/0/1链路,如果链路down则降低60的优先级
dhcp select global #开启全局dhcp服务,作用就是将dhcp请求进行转发
#下同
interface Vlanif20
ip address 192.168.20.252 255.255.255.0
vrrp vrid 20 virtual-ip 192.168.20.254
vrrp vrid 20 priority 200
vrrp vrid 20 track interface GigabitEthernet0/0/24 reduced 60
vrrp vrid 20 track interface GigabitEthernet0/0/1 reduced 60
dhcp select global
#
interface Vlanif30
ip address 192.168.30.252 255.255.255.0
vrrp vrid 30 virtual-ip 192.168.30.254
vrrp vrid 30 priority 150
vrrp vrid 30 track interface GigabitEthernet0/0/2 reduced 60
vrrp vrid 30 track interface GigabitEthernet0/0/24 reduced 60
#
interface Vlanif40
ip address 192.168.40.252 255.255.255.0
vrrp vrid 40 virtual-ip 192.168.40.254
vrrp vrid 40 priority 150
vrrp vrid 40 track interface GigabitEthernet0/0/24 reduced 60
vrrp vrid 40 track interface GigabitEthernet0/0/2 reduced 60
#
sw2代码
#
interface Vlanif10
ip address 192.168.10.253 255.255.255.0
vrrp vrid 10 virtual-ip 192.168.10.254
vrrp vrid 10 priority 150
vrrp vrid 10 track interface GigabitEthernet0/0/24 reduced 60
vrrp vrid 10 track interface GigabitEthernet0/0/1 reduced 60
#
interface Vlanif20
ip address 192.168.20.253 255.255.255.0
vrrp vrid 20 virtual-ip 192.168.20.254
vrrp vrid 20 priority 150
vrrp vrid 20 track interface GigabitEthernet0/0/1 reduced 60
vrrp vrid 20 track interface GigabitEthernet0/0/24 reduced 60
#
interface Vlanif30
ip address 192.168.30.253 255.255.255.0
vrrp vrid 30 virtual-ip 192.168.30.254
vrrp vrid 30 priority 200
vrrp vrid 30 track interface GigabitEthernet0/0/24 reduced 60
vrrp vrid 30 track interface GigabitEthernet0/0/2 reduced 60
dhcp select global
#
interface Vlanif40
ip address 192.168.40.253 255.255.255.0
vrrp vrid 40 virtual-ip 192.168.40.254
vrrp vrid 40 priority 200
vrrp vrid 40 track interface GigabitEthernet0/0/2 reduced 60
vrrp vrid 40 track interface GigabitEthernet0/0/24 reduced 60
dhcp select global
#
sw1查看vrrp状态
sw2查看vrrp状态
将sw1上行端口down后
将sw1和sw2上行端口down后
pc1访问100.0.0.5pc5访问100.0.1.5
mstp
sw1代码
#由于华为交换机默认就是mstp所以不用像思科交换机更改交换机模式
stp region-configuration #进入mstp配置
region-name lin #命名
instance 10 vlan 10 to 20 #将vlan10 到vlan20 划分到实例10中
instance 20 vlan 30 to 40 #将vlan30到vlan40 划分到实例20中
active region-configuration #配置生效
#以上配置在所有交换机的mstp配置中必须相同
stp instance 10 root primary #把实例10的主根划分到sw1,这里必须和vrrp10,20的默认主网关要一致
stp instance 20 root secondary #把实例20的副根划分到sw1,这里必须和vrrp30,40的默认副网关要一致
#下同
sw2代码
#
stp region-configuration
region-name lin
instance 10 vlan 10 to 20
instance 20 vlan 30 to 40
active region-configuration
#
stp instance 10 root secondary
stp instance 20 root primary
#
sw3代码和sw4相同
#
stp region-configuration
region-name lin
instance 10 vlan 10 to 20
instance 20 vlan 30 to 40
active region-configuration
#
sw1查看stp状态
sw2查看stp状态
ospf单区域
sw1代码
#
ospf 1 #进入ospf1
area 0.0.0.0 #进入area 0,这里和思科的ospf不同,思科的ospf的区域是配置network
后面的,而华为是先进区域再配network
network 192.168.10.0 0.0.0.255 #sw1连接的网段,后面配置的是反码,思科防火墙配置要求是掩码的
network 192.168.20.0 0.0.0.255
network 192.168.30.0 0.0.0.255
network 192.168.40.0 0.0.0.255
network 192.168.100.0 0.0.0.255
#下同
sw2代码
#
ospf 1
area 0.0.0.0
network 192.168.10.0 0.0.0.255
network 192.168.20.0 0.0.0.255
network 192.168.30.0 0.0.0.255
network 192.168.40.0 0.0.0.255
network 192.168.101.0 0.0.0.255
#
ar1
#
ospf 1
area 0.0.0.0
network 192.168.100.0 0.0.0.255
network 192.168.101.0 0.0.0.255
#
sw1查看路由表
sw2查看路由表
ar1查看路由表
pc1访问192.168.99.2
pc5访问192.168.99.2
ospf多区域
isp2
#要注意区域的划分
ospf 1
area 0.0.0.0
network 100.0.0.0 0.0.0.255
network 100.0.2.0 0.0.0.255
area 0.0.0.1
network 200.0.0.0 0.0.0.255
#
isp3
#
ospf 1
area 0.0.0.0
network 100.0.1.0 0.0.0.255
network 100.0.2.0 0.0.0.255
area 0.0.0.2
network 100.0.3.0 0.0.0.255
#
isp4
#
ospf 1
area 0.0.0.2
network 10.0.0.0 0.0.0.255
network 100.0.3.0 0.0.0.255
network 100.0.4.0 0.0.0.255
#
isp2查看ospf路由表
isp3查看ospf路由表
isp4查看ospf路由表
链路聚合
这里做的是二层链路聚合,华为交换机似乎没办法由二层接口转换成三层接口,所以在连接路由器是用其他方法。而思科是可以将二层接口转换为三层接口,但在做三层链路的时候要注意先把原接口转换为三层接口,再做链路不然会导致链路down。
sw1
#
interface Eth-Trunk1 #进入链路1
port link-type trunk #配置为trunk
port trunk allow-pass vlan 2 to 4094 #允许所有的vlan通过
mode lacp-static #选择lacp模式
max active-linknumber 2 #最大链路数量为2
#
lacp priority 100 #使sw1成为lacp的主设备
#
interface GigabitEthernet0/0/4
eth-trunk 1 #加入链路1
lacp priority 100 #配置链路优先级
#下同
interface GigabitEthernet0/0/5
eth-trunk 1
lacp priority 100
#
sw2
#
interface Eth-Trunk1 #进入链路1
port link-type trunk #配置为trunk
port trunk allow-pass vlan 2 to 4094 #允许所有的vlan通过
mode lacp-static #选择lacp模式
max active-linknumber 2 #最大链路数量为2
#
interface GigabitEthernet0/0/4
eth-trunk 1 #加入链路1
lacp priority 100 #配置链路优先级
#下同
interface GigabitEthernet0/0/5
eth-trunk 1
lacp priority 100
#
pc9访问100.0.0.5和200.0.0.1
nat
#
nat-policy #进入nat策略
rule name ccn #进入命名为ccn的策略规则
source-zone dmz #来自dmz区域
source-zone trust #来自trust区域
destination-zone untrust #去向untrust区域
source-address 192.168.10.0 mask 255.255.255.0 #源地址为192.168.10.0,下同
source-address 192.168.20.0 mask 255.255.255.0
source-address 192.168.30.0 mask 255.255.255.0
source-address 192.168.40.0 mask 255.255.255.0
source-address 192.168.50.0 mask 255.255.255.0 #nat server 只是单向访问,无法使公司内部服务器集群访问外网
destination-address-exclude 192.168.60.0 mask 255.255.255.0 #排除目的地址为192.168.60.0网段的地址,
主要防止访问分公司的包进入nat转换后,无法被acl识别,导致ipsec vpn无法生效
action source-nat easy-ip #把源地址转换,应用在easy-ip是nat转换方式
#
fw1查看nat配置
pc1访问200.0.0.10
nat server
#这个要配合策略使用,不知道为什么华为的nat server 粗泛好像有点问题,所以我才用nat server精细
nat server web protocol tcp global 100.0.1.4 www inside 192.168.50.1 www #把访问100.0.1.4的80端口转换为192.168.50.1的80端口
nat server ftp protocol tcp global 100.0.0.4 ftp inside 192.168.50.2 ftp #把访问100.0.0.4的21端口转换为192.168.50.2的21端口
#
ip route-static 100.0.0.0 255.255.255.0 100.0.0.6 #这个是将目的ip为100.0.0.0 的数据包的下一跳定向到100.0.0.6
ip route-static 100.0.0.4 255.255.255.255 NULL0 #配置黑洞路由避免路由环路,下同
ip route-static 100.0.1.0 255.255.255.0 100.0.1.6
ip route-static 100.0.1.4 255.255.255.255 NULL0
fw1查看nat server 配置
clinet9访问公司的web服务和ftp服务
防火墙的策略
security-policy #进入策略配置,dmz区域为公司内部服务器集群,untrust为公网,trust为内网
rule name trust-other #进入命名为trust-other的规则,这是允许trust访问dmz和untrust区域的
source-zone trust
destination-zone dmz
destination-zone untrust
service dns #这个一定要配置不然内部设备无法解析域名
service ftp
service http
service icmp
action permit
rule name untrust-dmz #这里允许untrust访问dmz区域
source-zone untrust
destination-zone dmz
destination-address 192.168.50.0 mask 255.255.255.0 #这是设置目的地址为192.168.50.0的才允许访问
service ftp #配置nat server 精细必须要配置这个
service http #配置nat server 精细必须要配置这个
service icmp
action permit
rule name dmz-untrust #这里是允许dmz访问untrsut
source-zone dmz
destination-zone untrust
source-address 192.168.50.0 mask 255.255.255.0 #这里允许192.168.50.0访问
service ftp
service http
service icmp
action permit
rule name vpn #这里为ipsec vpn配套策略,允许总公司访问分公司
source-zone trust
destination-zone untrust
action permit
rule name vpn2 #这里为ipsec vpn配套策略,允许分公司访问总公司
source-zone untrust
destination-zone trust
source-address 192.168.60.0 mask 255.255.255.0 #将访问trust区域的源地址限制
为192.168.60.0,只有源地址为60网段才可以访问
action permit
rule name local-untrust #这是允许untrust到达local(防火墙本地),下同
source-zone local
destination-zone untrust
action permit
rule name local-trust
source-zone local
destination-zone trust
action permit
rule name trust-local
source-zone trust
destination-zone local
action permit
rule name untrust-local
source-zone untrust
destination-zone local
action permit
rule name local-dmz
source-zone local
destination-zone dmz
action permit
rule name dmz-local
source-zone dmz
destination-zone local
action permit
rule name vpn4 #这里是允许分公司访问dmz
source-zone untrust
destination-zone dmz
source-address 192.168.60.0 mask 255.255.255.0
service dns
service ftp
service http
service icmp
action permit
ipsec vpn
fw1
#
ipsec proposal 1
transform esp //封装协议为ESP协议(ESP既支持认证也可进行数据加密相对于SA更安全)
encapsulation-mode tunnel //数据封装模式为隧道模式
esp authentication-algorithm sha2-256 //ESP的认证算法
esp encryption-algorithm aes-256 //ESP的加密算法
#
fw2
#
ipsec proposal 1
transform esp //封装协议为ESP协议(ESP既支持认证也可进行数据加密相对于SA更安全)
encapsulation-mode tunnel //数据封装模式为隧道模式
esp authentication-algorithm sha2-256 //ESP的认证算法
esp encryption-algorithm aes-256 //ESP的加密算法
#
fw1
#
ike proposal 1
encryption-algorithm aes-256 //加密算法
dh group14 //最大支持的秘钥宽度
authentication-algorithm sha2-256 //认证算法
authentication-method pre-share //认证方式
integrity-algorithm hmac-sha2-256 //完整性算法(选择配置)
prf hmac-sha2-256 //prf算法(选择配置)
#
fw2
#
ike proposal 1
encryption-algorithm aes-256 //加密算法
dh group14 //最大支持的秘钥宽度
authentication-algorithm sha2-256 //认证算法
authentication-method pre-share //认证方式
integrity-algorithm hmac-sha2-256 //完整性算法(选择配置)
prf hmac-sha2-256 //prf算法(选择配置)
#
fw1
#
ike peer 1
undo version 2 //使用版本1,不使用版本2
pre-shared-key huawei@123 //预共享秘钥
ike-proposal 1 //绑定IKE提案
dpd type periodic //dpd消息为周期发送
dpd idle-time 10 //检测包发送时间为10S,缺省为30
remote-address 100.0.4.2 //对端IPSEC地址
local-id-type ip //本地ID类型指为IP
exchange-mode main //ike在1阶段交互模式为主模式
#
fw2
#
ike peer 1
undo version 2 //使用版本1,不使用版本2
pre-shared-key huawei@123 //预共享秘钥
ike-proposal 1 //绑定IKE提案
dpd type periodic //dpd消息为周期发送
dpd idle-time 10 //检测包发送时间为10S,缺省为30
remote-address 100.0.0.5 //对端IPSEC地址
local-id-type ip //本地ID类型指为IP
exchange-mode main //ike在1阶段交互模式为主模式
#
fw1
#用acl抓取ipsec感兴趣的流量
acl number 3000
rule 10 permit ip source 192.168.10.0 0.0.0.255 destination 192.168.60.0 0.0.0.255
rule 20 permit ip source 192.168.20.0 0.0.0.255 destination 192.168.60.0 0.0.0.255
rule 30 permit ip source 192.168.50.0 0.0.0.255 destination 192.168.60.0 0.0.0.255
rule 40 deny ip
#
fw2
#
acl number 3000
rule 10 permit ip source 192.168.60.0 0.0.0.255 destination 192.168.10.0 0.0.0.255
rule 20 permit ip source 192.168.60.0 0.0.0.255 destination 192.168.20.0 0.0.0.255
rule 30 permit ip source 192.168.60.0 0.0.0.255 destination 192.168.50.0 0.0.0.255
#
fw1
#
ipsec policy fw1 1 isakmp
security acl 3000
ike-peer 1
proposal 1
tunnel local 100.0.0.5 //设置隧道本地地址,(华为路由器是在ike-peer 视图下指定)
#
fw2
#
ipsec policy fw2 1 isakmp
security acl 3000
ike-peer 1
proposal 1
tunnel local 100.0.4.2 //设置隧道本地地址,(华为路由器是在ike-peer 视图下指定)
#
fw1
#
interface GigabitEthernet1/0/0
ipsec policy fw1
#
fw2
#
interface GigabitEthernet1/0/0
ipsec policy fw2
#
fw1
#
ip route-static 192.168.60.0 255.255.255.0 100.0.4.2 #把访问分公司的流量定向到100.0.4.2,下同
#
fw2
#
ip route-static 192.168.10.0 255.255.255.0 100.0.0.5
ip route-static 192.168.20.0 255.255.255.0 100.0.0.5
ip route-static 192.168.50.0 255.255.255.0 100.0.0.5
#
pc1访问192.168.60.1
pc5访问192.168.60.1(防火墙其实做了一个不发ipsec vpn 不做nat,就直接发到外网,直接被丢弃,可以在策略上直接拦截数据包出去也可以会更好)
pc13访问192.168.50.1
直接抓数据包,分析udp流得到都是乱码
出口分流
fw1
#
ip route-static 0.0.0.0 0.0.0.0 100.0.0.6 #配置等价默认路由
ip route-static 0.0.0.0 0.0.0.0 100.0.1.6
#
policy-based-route #进入基本路由规则
rule name ccna 2 #进入命名为ccna的规则
ingress-interface GigabitEthernet1/0/3 #进入端口为GigabitEthernet1/0/3
source-address 192.168.10.0 mask 255.255.255.0 #源地址为192.168.10.0
source-address 192.168.20.0 mask 255.255.255.0
destination-address-exclude 192.168.50.0 mask 255.255.255.0 #排除目的地址为192.168.50.0,这个优先于静态路由,
如果不配置如导致访问dmz的流量直接出到untrust
action pbr egress-interface GigabitEthernet1/0/0 next-hop 100.0.0.6 #给他们定向到GigabitEthernet1/0/0 下一跳为100.0.0.6,下同
rule name ccnb 3
ingress-interface GigabitEthernet1/0/3
source-address 192.168.30.0 mask 255.255.255.0
source-address 192.168.40.0 mask 255.255.255.0
destination-address-exclude 192.168.50.0 mask 255.255.255.0
action pbr egress-interface GigabitEthernet1/0/1 next-hop 100.0.1.6
#
pc1访问200.0.0.10
pc2访问200.0.0.10
fw1查看nat转换
核心交换机与路由器的联通
sw1
#因为华为交换机没有办法直接转换为三层接口只能,转换为access接口
interface Vlanif2
ip address 192.168.100.2 255.255.255.0
#
interface GigabitEthernet0/0/24
port link-type access
port default vlan 2
#
sw2
#
interface Vlanif3
ip address 192.168.101.2 255.255.255.0
#
interface GigabitEthernet0/0/24
port link-type access
port default vlan 3
#
ar1
#
interface GigabitEthernet0/0/1
ip address 192.168.100.1 255.255.255.0
#
interface GigabitEthernet0/0/2
ip address 192.168.101.1 255.255.255.0
#
路由器与防火墙联通
ar1
#
ip route-static 0.0.0.0 0.0.0.0 192.168.99.1
#
fw1
#
ip route-static 192.168.10.0 255.255.255.0 192.168.99.2 #配置回程路由
ip route-static 192.168.20.0 255.255.255.0 192.168.99.2
ip route-static 192.168.30.0 255.255.255.0 192.168.99.2
ip route-static 192.168.40.0 255.255.255.0 192.168.99.2
ip route-static 192.168.50.0 255.255.255.0 GigabitEthernet1/0/2 #把访问dmz区域的流量定向到GigabitEthernet1/0/2
#
若需要完整文件,请点击链接
https://download.csdn.net/download/weixin_44732231/87683244