防火墻技術(shù)案例9-數(shù)據(jù)中心防火墻應(yīng)用_第1頁(yè)
防火墻技術(shù)案例9-數(shù)據(jù)中心防火墻應(yīng)用_第2頁(yè)
防火墻技術(shù)案例9-數(shù)據(jù)中心防火墻應(yīng)用_第3頁(yè)
防火墻技術(shù)案例9-數(shù)據(jù)中心防火墻應(yīng)用_第4頁(yè)
防火墻技術(shù)案例9-數(shù)據(jù)中心防火墻應(yīng)用_第5頁(yè)
已閱讀5頁(yè),還剩1頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶(hù)提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、-. z.防火墻技術(shù)案例9_強(qiáng)叔拍案驚奇數(shù)據(jù)中心防火墻應(yīng)用近期經(jīng)常有小伙伴們問(wèn)到防火墻在數(shù)據(jù)中心如何部署?防火墻的雙機(jī)熱備功能如何與虛擬系統(tǒng)功能結(jié)合使用?正好強(qiáng)叔最近接觸了一個(gè)云數(shù)據(jù)中心的工程,現(xiàn)在就跟大家分享下,相信能完美的解決各位小伙伴的問(wèn)題?!窘M網(wǎng)需求】如下列圖所示,兩臺(tái)防火墻USG9560 V300R001C01版本旁?huà)煸跀?shù)據(jù)中心的核心交換機(jī)CE12800側(cè)。兩臺(tái)CE12800工作在二層模式,且采用堆疊技術(shù)。數(shù)據(jù)中心對(duì)防火墻的具體需求如下:1、防火墻需要為每個(gè)虛擬主機(jī)都提供一個(gè)單獨(dú)的虛擬系統(tǒng),以便為每個(gè)虛擬主機(jī)都提供單獨(dú)的訪(fǎng)問(wèn)控制策略。2、每個(gè)虛擬機(jī)都能夠使用公網(wǎng)IP訪(fǎng)問(wèn)Interne

2、t,并且能夠?qū)nternet用戶(hù)提供訪(fǎng)問(wèn)效勞。【強(qiáng)叔規(guī)劃】1、從上圖的數(shù)據(jù)中心整網(wǎng)構(gòu)造和流量走向藍(lán)色虛線(xiàn)來(lái)看,防火墻旁?huà)煸贑E12800側(cè)就相當(dāng)于把CE12800在中間隔斷,把一臺(tái)CE12800當(dāng)作兩臺(tái)設(shè)備來(lái)使用。所以我們可以將上面的組網(wǎng)圖轉(zhuǎn)換成下面更容易理解的邏輯圖。由于CE12800工作在二層模式,整個(gè)邏輯圖就可以理解為經(jīng)典的防火墻上下行連接二層設(shè)備的雙機(jī)熱備組網(wǎng)。這種組網(wǎng)的特點(diǎn)是需要在防火墻的上下行業(yè)務(wù)接口上配置VRRP備份組。2、為了實(shí)現(xiàn)每一個(gè)虛擬主機(jī)都有一個(gè)單獨(dú)的虛擬系統(tǒng),我們需要為每個(gè)虛擬主機(jī)創(chuàng)立VLAN、子接口、虛擬系統(tǒng),并將他們相互關(guān)聯(lián)成一個(gè)網(wǎng)絡(luò),具體操作如下所示:1)在S5

3、700上為每個(gè)虛擬機(jī)都建立一個(gè)VLAN,然后將對(duì)應(yīng)的連接虛擬機(jī)的接口參加此VLAN。2)將S5700的上行接口,以及CE12800的上下行接口設(shè)置為T(mén)runk接口,允許各個(gè)虛擬主機(jī)的VLAN報(bào)文通過(guò)。3)在防火墻的下行接口上為每個(gè)虛擬機(jī)都建立一個(gè)子接口,并終結(jié)對(duì)應(yīng)的虛擬機(jī)的VLAN。4)在防火墻上為每個(gè)虛擬機(jī)都創(chuàng)立一個(gè)虛擬系統(tǒng),并將此虛擬系統(tǒng)與對(duì)應(yīng)的子接口綁定。5)同理,在防火墻上行的CE12800上需要?jiǎng)?chuàng)立VLAN與下行的ID不同,并將CE12800的上下行接口設(shè)置為T(mén)runk接口。上述操作是在主用鏈路上的設(shè)備S5700_A、CE12800_A和USG9560_A進(jìn)展的,我們還需要在備用鏈路

4、上的設(shè)備S5700_B、CE12800_B和USG9560_B進(jìn)展同樣的操作除了防火墻子接口IP地址不同。3、最后,我們需要將前兩步分析的雙機(jī)熱備和虛擬系統(tǒng)結(jié)合起來(lái)考慮。由于兩臺(tái)防火墻處于雙機(jī)熱備狀態(tài),而每臺(tái)防火墻又都被虛擬成多個(gè)虛擬系統(tǒng),因此兩臺(tái)防火墻中的一樣的虛擬系統(tǒng)也處于雙機(jī)熱備狀態(tài)。例如下列圖所示,USG9560_A的VFW1與USG9560_B的VFW1之間形成雙機(jī)熱備狀態(tài),因此我們需要在虛擬系統(tǒng)的子接口上配置VRRP備份組?!九渲貌襟E】1、配置雙機(jī)熱備功能。#在USG9560_A上配置雙機(jī)熱備功能。 system-viewUSG9560_A interface Eth-Trunk

5、1USG9560_A-Eth-Trunk1 ip address 10.10.10.1 24USG9560_A-Eth-Trunk1 quitUSG9560_A interface GigabitEthernet1/0/0USG9560_A -GigabitEthernet1/0/0 Eth-Trunk 1USG9560_A -GigabitEthernet1/0/0 quitUSG9560_A interface GigabitEthernet1/0/1USG9560_A -GigabitEthernet1/0/1 Eth-Trunk 1USG9560_A -GigabitEthernet1

6、/0/1 quitUSG9560_A firewall zone dmzUSG9560_A-zone-dmz add interface Eth-Trunk 1USG9560_A-zone-dmz quitUSG9560_A hrp enable#在USG9560_B上配置雙機(jī)熱備功能。 system-viewUSG9560_B interface Eth-Trunk 1USG9560_B-Eth-Trunk1 ip address 10.10.10.2 24USG9560_B-Eth-Trunk1 quitUSG9560_B interface GigabitEthernet1/0/0USG

7、9560_B -GigabitEthernet1/0/0 Eth-Trunk 1USG9560_B -GigabitEthernet1/0/0 quitUSG9560_B interface GigabitEthernet1/0/1USG9560_B -GigabitEthernet1/0/1 Eth-Trunk 1USG9560_B -GigabitEthernet1/0/1 quitUSG9560_B firewall zone dmzUSG9560_B-zone-dmz add interface Eth-Trunk 1USG9560_B-zone-dmz quitUSG9560_B h

8、rp enable【強(qiáng)叔點(diǎn)評(píng)】配置心跳口hrp interface并啟用雙機(jī)熱備功能(hrp enable)后,雙機(jī)熱備狀態(tài)就已經(jīng)成功建立。這時(shí)主用設(shè)備USG9560_A的配置就能夠備份到備用設(shè)備USG9560_B上了。2、為每臺(tái)虛擬主機(jī)創(chuàng)立一個(gè)虛擬系統(tǒng),并分配資源。這里僅以虛擬系統(tǒng)vfw1為例,其他虛擬系統(tǒng)的配置參照此即可。#創(chuàng)立子接口GigabitEthernet1/2/0.1和GigabitEthernet1/2/3.1。HRP_M USG9560_A interface GigabitEthernet1/2/0.1HRP_M USG9560_A -GigabitEthernet1/2/

9、0.1 quitHRP_M USG9560_A interface GigabitEthernet1/2/3.1HRP_M USG9560_A -GigabitEthernet1/2/3.1 quit#配置虛擬系統(tǒng)的資源類(lèi),限制每個(gè)虛擬系統(tǒng)的帶寬為100M。HRP_M USG9560_A resource-class class1HRP_M USG9560_A -resource-class-class1 resource-item-limit bandwidth 100 entireHRP_M USG9560_A -resource-class-class1 quit#創(chuàng)立虛擬系統(tǒng)vfw1,

10、并為vfw1分配子接口和帶寬資源。HRP_M USG9560 vsys vfw1HRP_M USG9560-vsys-vfw1 assign resource-class class1HRP_M USG9560-vsys-vfw1 assign interface GigabitEthernet1/2/0.1HRP_M USG9560-vsys-vfw1 assign interface GigabitEthernet1/2/3.1HRP_M USG9560-vsys-vfw1 quit【強(qiáng)叔點(diǎn)評(píng)】本步驟的配置只需要在主用設(shè)備USG9560_A上配置即可,因?yàn)樘摂M系統(tǒng)的配置會(huì)自動(dòng)同步到備用設(shè)備

11、USG9560_B。3、在兩臺(tái)防火墻的子接口上分別配置IP地址和VRRP備份組。這里僅以虛擬系統(tǒng)vfw1為例,其他虛擬系統(tǒng)的配置參照此即可。#在主用設(shè)備上為虛擬系統(tǒng)vfw1配置子接口的IP地址和VRRP備份組。HRP_M USG9560_A interface GigabitEthernet1/2/0.1HRP_M USG9560_A -GigabitEthernet1/2/0.1 vlan-type dot1q 1HRP_M USG9560_A -GigabitEthernet1/2/0.1 ip address 10.1.1.2 24HRP_M USG9560_A -GigabitEthe

12、rnet1/2/0.1 vrrp vrid 1 virtual-ip 10.1.1.1 masterHRP_M USG9560_A -GigabitEthernet1/2/0.1 quitHRP_M USG9560_A interface GigabitEthernet1/2/3.1HRP_M USG9560_A -GigabitEthernet1/2/3.1 vlan-type dot1q 101HRP_M USG9560_A -GigabitEthernet1/2/3.1 ip address 10.1.100.2 24HRP_M USG9560_A -GigabitEthernet1/2

13、/3.1 vrrp vrid 101 virtual-ip 10.1.100.1 masterHRP_M USG9560_A -GigabitEthernet1/2/3.1 quit#在備用設(shè)備上為虛擬系統(tǒng)vfw1配置子接口的IP地址和VRRP備份組。HRP_S USG9560_B interface GigabitEthernet1/2/0.1HRP_S USG9560_B -GigabitEthernet1/2/0.1 ip address 10.1.1.3 24HRP_S USG9560_B -GigabitEthernet1/2/0.1 vrrp vrid 1 virtual-ip 1

14、0.1.1.1 slaveHRP_S USG9560_B -GigabitEthernet1/2/0.1 quitHRP_S USG9560_B interface GigabitEthernet1/2/3.1HRP_S USG9560_B -GigabitEthernet1/2/3.1 ip address 10.1.100.3 24HRP_S USG9560_B -GigabitEthernet1/2/3.1 vrrp vrid 101 virtual-ip 10.1.100.1 slaveHRP_S USG9560_B -GigabitEthernet1/2/3.1 quit【強(qiáng)叔點(diǎn)評(píng)】

15、接口IP地址和VRRP備份組的配置是不備份的,因此需要分別在主備設(shè)備上進(jìn)展配置。4、在主防火墻的每個(gè)虛擬系統(tǒng)上配置平安策略和NAT功能。這里僅以虛擬系統(tǒng)vfw1為例,其他虛擬系統(tǒng)的配置參照此即可。#從防火墻的根視圖切換到虛擬系統(tǒng)vfw1的視圖。HRP_M USG9560_A switch vsys vfw1HRP_M system-view#將虛擬系統(tǒng)的各接口參加對(duì)應(yīng)的平安區(qū)域。HRP_M USG9560_A-vfw1 firewall zone trustHRP_M USG9560_A-vfw1-zone-trust add interface GigabitEthernet1/2/0.1H

16、RP_M USG9560_A-vfw1-zone-trust quitHRP_M USG9560_A-vfw1 firewall zone untrustHRP_M USG9560_A-vfw1-zone-trust add interface GigabitEthernet1/2/3.1HRP_M USG9560_A-vfw1-zone-trust quit#為虛擬系統(tǒng)vfw1配置平安策略,允許虛擬機(jī)訪(fǎng)問(wèn)外網(wǎng),只允許外網(wǎng)用戶(hù)訪(fǎng)問(wèn)虛擬機(jī)的業(yè)務(wù)。HRP_M USG9560_A-vfw1 firewall packet-filter default permit interzone trustun

17、trust direction outboundHRP_M USG9560_A-vfw1 policy interzone trust untrust inboundHRP_M USG9560_A -vfw1-policy-interzone-trust-untrust-vfw1-inbound policy 1HRP_M USG9560_A -vfw1-policy-interzone-trust-untrust-vfw1-inbound-1 policyservice service-set HRP_M USG9560_A -vfw1-policy-interzone-trust-untr

18、ust-vfw1-inbound-1action permitHRP_M USG9560_A -vfw1-policy-interzone-trust-untrust-vfw1-inbound-1quitHRP_M USG9560_A -vfw1-policy-interzone-trust-untrust-vfw1-inboundquit #為虛擬系統(tǒng)vfw1配置NAT Server和NAT策略。HRP_M USG9560_A-vfw1 nat address-group 1HRP_M USG9560_A-vfw1 -address-group-1 quitHRP_M USG9560_A-vfw1 nat-policy interzone trust untrust

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶(hù)所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶(hù)上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶(hù)上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶(hù)因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論