小型公司网络项目

小型公司网络项目

客户已采购设备 华为防火墙USG6331E （100个 ssl vpn 授权）、路由器 S6150、交换机S5720S-52P
两台无线ap 一台电信光猫拨号上网 一台电信光猫公网ip。
客户需求：
公司员工正常上网，上海分公司同事通过ssl vpn访问内网服务器，无线wifi和内网用户不能互访。
配置思路:
防火墙作核心配置公网ip，配置ssl vpn。路由器拨号上网，串连在防火墙上，两者出口互为冗余，路由器作为内网用户主要上网路径。
实施过程：
本次采取从下往上配置。交换机0/0/1作为上联口，划分3个网段的vlan，留出两个口0/0/38-0/0/39做接口配置AP，ap各用分配一个vlan，并配置两个ip地址池，在两个接口0/0/38-0/0/39下开启全局地址池。ap配置与地址池相应的ip。（两个Ap配置之前已经刷成胖ap）,其余的接口全部化分为access接口，连接用户的接口全部开启边缘端口。精确vlan放行范围，减少广播收敛速度。
防火墙出接口配置公网ip加入untrust区域，划分固定的内网ip，安全策略放行trust区域到untrust区域，NAT配置trust转换成untrust出接口地址，写两条内网段回程路由。
默认优选路由器上网，把连接路由器的线路优先级调成50。路由器配置拨号上网，配置安全策略，配置NAT放行内网所有网段。在防火墙上配置BFD快速检测，实现链路冗余。
SSL VPN隧道接入（网络扩展+本地认证），SSL VPN配置完成后需要在防火墙上手动导入客户端，不然用户网页访问无法下载客户端。
编写SSL VPN 使用手册，编写技术文档，告诉用户各个设备的管理用户名密码，画出客户公司网路逻辑拓扑图。
华为官网配置案例
对自己日常项目做一个总结，不足之处请多包含，大佬们轻点喷!