园区出口配置举例防火墙旁路

1、 DOCPROPERTY Product&Project Name DOCPROPERTY DocumentName STYLEREF 1 n * MERGEFORMAT 1 STYLEREF 1 综合配置案例-文档版本 DOCPROPERTY DocumentVersion * MERGEFORMAT ( DOCPROPERTY ReleaseDate ) DOCPROPERTY ProprietaryDeclaration * MERGEFORMAT 华为专有和*信息 所有 华为技术*PAGE 1. z.大型园区出口配置例如防火墙旁路部署配置考前须知本举例中的交换机以华为公司的S系列框式交

2、换机为例、防火墙以USG系列为例、路由器以NE系列为例。本配置案例仅涉及企业网络出口相关配置，涉及企业网的相关配置请参见华为S系列园区交换机快速配置中的大型园区组网场景。本例仅涉及防火墙与交换机的对接配置以及防火墙的双机热备配置。防火墙上的平安业务规划及园区平安策略、攻击防、带宽管理、IPSec等功能的配置例如请参见防火墙配置案例集。本例仅涉及园区出口路由器与交换机的对接配置。路由器在公网侧的配置例如请参见NE系列路由器配置指南。组网需求在大型园区出口，核心交换机上行通过路由器访问外网。防火墙旁挂于核心交换机，对业务流量提供平安过滤功能。为了简化网络并提高可靠性，在核心层交换机通常部署集群。在

3、防火墙上部署双机热备主备模式，当其中一台故障时，业务可以平滑切换到另一台。核心交换机双归接入2台出口路由器，路由器之间部署VRRP确保可靠性。为提高链路可靠性，在核心交换机与出口路由器之间，核心交换机与防火墙之间，2台防火墙之间均通过Eth-Trunk互连。如下列图所示。园区出口组网图防火墙旁挂，双机热备在一般的三层转发环境下，园区外部之间的流量将直接通过交换机转发，不会经过FW1或FW2。当流量需要从交换机转发至FW，经FW检测后再转发回交换机，就需要在交换机上配置VRF功能，将交换机隔离成两个相互独立的虚拟交换机VRF-A和根交换机Public。Public作为连接出口路由器的交换机。对于

4、下行流量，它将外网进来的流量转发给FW进展检测；对于上行流量，它接收经FW检测后的流量，并转发到路由器。VRF-A作为连接网侧的交换机。对于下行流量，它接收经FW检测后的流量，并转发到网；对于上行流量，它将网的流量转发到FW去检测。根据上图中的流量转发路径可以将上图转换成如下所示的更容易理解的逻辑组网图。交换机与路由器、防火墙之间物理接口连接示意图本例所示核心交换机工作在三层模式，上图所示的逻辑组网图可以理解为防火墙上下行连接三层交换机的双机热备组网。这种组网的特点是需要在防火墙的上下行业务接口上部署VRRP备份组，如下所示。交换机与路由器、防火墙之间三层口连接示意图如上图所示，部用户访问外网

5、的流量转发路径如下上图中蓝色路径：当部用户访问外网的流量到达VRF-A时，流量根据VRF-A上的静态路由下一跳设置为防火墙下行VRRP的虚拟IP地址被转发到防火墙。防火墙完成对流量的平安检测后，会根据静态路由下一跳设置为CSS的VLANIF20将流量转发到Public上。最后，Public通过到路由器的静态路由下一跳设置为路由器VRRP的虚拟IP地址将流量转发到路由器。外部用户访问网的流量转发路径如下上图中红色路径：当外部用户访问网的流量到路由器时，流量根据OSPF路由表被转发到Public上。流量到达Public后，先根据Public上的静态路由下一跳设置为防火墙上行VRRP的虚拟IP地址被

6、转发到防火墙。防火墙完成对流量的平安检测后，会根据静态路由下一跳设置为CSS的VLANIF30将流量转发到VRF-A上。VRF-A通过OSPF路由表将流量转发会聚交换机，最后由会聚交换机将流量转发到业务网络。数据规划链路聚合接口规划设备接口编号成员接口VLANIFIP地址对端设备对端接口编号Router1Eth-trunk1.10010GE1/0/110GE1/0/2-Switch 1Switch 2Eth-Trunk1Router2Eth-trunk1.10010GE1/0/110GE1/0/2-Switch 1Switch 2Eth-Trunk2Router 1和Router 2的VRRP

7、-CSSSwitch 1和Switch 2Eth-trunk110GE1/4/0/010GE2/4/0/0VLANIF10Router 1Eth-Trunk1Eth-trunk210GE1/4/0/110GE2/4/0/1VLANIF10Router 2Eth-Trunk1Eth-trunk4GE1/1/0/7GE2/1/0/7VLANIF20FW 1Eth-Trunk4Eth-trunk5GE1/1/0/8GE2/1/0/8VLANIF30FW 1Eth-Trunk5Eth-trunk6GE1/2/0/7GE2/2/0/7VLANIF20FW 2Eth-Trunk6Eth-trunk7GE1

8、/2/0/8GE2/2/0/8VLANIF30FW 2Eth-Trunk7Eth-trunk8GE1/3/0/1GE2/3/0/1VLANIF100业务网络1-本案例不表达配置Eth-trunk9GE1/3/0/2GE2/3/0/2VLANIF200业务网络2-本案例不表达配置FW1Eth-trunk1GE2/0/0GE2/0/1-FW2Eth-Trunk1Eth-Trunk4GE1/0/0GE1/0/1-Switch 1Switch 2Eth-Trunk4Eth-Trunk5GE1/1/0GE1/1/1-Switch 1Switch 2Eth-Trunk5FW2Eth-trunk1GE2/0

9、/0GE2/0/1-FW1Eth-Trunk1Eth-Trunk6GE1/0/0GE1/0/1-Switch 1Switch 2Eth-Trunk6Eth-Trunk7GE1/1/0GE1/1/1-Switch 1Switch 2Eth-Trunk7FW 1和FW 2的VRRP1上行-FW 1和FW 2的VRRP2下行-配置思路采用如下思路配置园区出口举例：配置核心交换机集群CSS。配置交换机与防火墙、路由器之间的接口及IP地址。为提高链路可靠性，在交换机与防火墙、交换机与路由器之间配置跨框Eth-Trunk接口。在防火墙的接口上配置平安区域。在出口路由器上部署VRRP。为了保证核心交换机与两

10、个出口路由器之间的可靠性，在两个出口路由器之间部署VRRP，VRRP的心跳报文经过核心交换机进展交互。Router1为Master设备，Router2为Backup设备。部署路由。交换机上配置VRF功能，将交换机隔离成两个相互独立的虚拟交换机VRF-A和根交换机Public，以隔离业务网段路由与公网路由。为了引导各设备的上行流量，在核心交换机上配置一条缺省路由，下一跳指向出口路由器VRRP的虚地址。为了引导园区两个出口路由器的回程流量，在两个出口路由器和核心交换机之间部署OSPF，核心交换机上将所有用户网段发布到OSPF里面，通告给两个出口路由器。为了将业务网络的上行流量引导至防火墙，在交换机

11、上配置一条缺省路由，下一跳指向防火墙VRRP VRID2的虚拟IP。为了将到业务网络1的下行流量引导至防火墙，在交换机上配置一条缺省路由，下一跳指向防火墙VRRP VRID1的虚拟IP。为了将到业务网络2的下行流量引导至防火墙，在交换机上配置一条缺省路由，下一跳指向防火墙VRRP VRID1的虚拟IP。为了将业务网络的上行流量引导至交换机，在防火墙上配置一条缺省路由，下一跳指向交换机VLANIF20的IP地址。为了将到业务网络1的下行流量引导至交换机，在防火墙上配置一条缺省路由，下一跳指向交换机VLANIF30的IP地址。为了将到业务网络2的下行流量引导至交换机，在防火墙上配置一条缺省路由，下

12、一跳指向交换机VLANIF30的IP地址。配置防火墙双机热备。操作步骤交换机：配置交换机集群。连接集群卡的线缆。下列图以S12700交换机的EH1D2VS08000集群卡连线为例。本例连线示意图中，S12700主控板、交换网板和集群卡都是满配的情况。实际使用时，S12700每框至少配置一块主控板和一块交换网板即可。推荐每框配置两块交换网板并插上两块集群卡。集群卡连线示意图两框之间至少要连接一根集群线缆。一块集群卡只能与对框一块集群卡相连，不能连接到多块集群卡，且不能与本框集群卡相连。集群卡上组1的任意接口只能与对框集群卡上组1的任意接口相连，组2的要求同组1。每块集群卡上连接集群线缆的数量一样

13、如果不一样会影响总的集群带宽，且两端按照接口编号的顺序对接。在Switch 1上配置集群。# 集群连接方式为集群卡缺省值，不需配置。集群ID采用缺省值1不需配置。优先级为100。 system-view HUAWEI set css mode css-card /设备缺省值，不需再执行命令配置,此步骤仅用作示命令。 HUAWEI set css id 1 /设备缺省值，不需再执行命令配置,此步骤仅用作示命令。 HUAWEI set css priority 100 /集群优先级缺省为1，修改主交换机的优先级大于备交换机 HUAWEI css enable Warning: The CSS co

14、nfiguration takes effect only after the system is rebooted. The ne*t CSS mode is CSS-card. Reboot now Y/N:y/重启交换机 在Switch 2上配置集群。集群连接方式为集群卡缺省值，不需配置。集群ID为2。优先级采用缺省值1不需配置。 system-view HUAWEI set css id 2 /集群ID缺省为1，修改备交换机的ID为2 HUAWEI css enable Warning: The CSS configuration takes effect only after the

15、 system is rebooted. The ne*t CSS mode is CSS-card. Reboot now Y/N:y/重启交换机 交换机完成重启后，查看集群状态。在集群系统的主交换机Switch 1上，主用主控板上的CSS MASTER灯绿色常亮。图1Switch 1的两块主控板上编号为1的CSS ID灯绿色常亮，Switch 2的两块主控板上编号为2的CSS ID灯绿色常亮。图1集群卡上有集群线缆连接的端口LINK/ALM灯绿色常亮。图2主框上所有集群卡的MASTER灯绿色常亮，备框上所有集群卡的MASTER灯常灭。图2CSS系统指示灯示意图集群建立后，后续交换机的配置都

16、在主交换机Switch 1上进展，数据会自动同步到备交换机Switch 2。在集群系统中，接口编号会变为4维，例如，10GE1/4/0/0。其中左边第一位表示集群ID。配置CSS与FW、路由器之间的跨框Eth-Trunk口，CSS上的VLANIF口以及IP地址。配置交换机与路由器之间的跨框Eth-Trunk，VLANIF以及IP地址。# 在CSS上创立Eth-Trunk1，用于连接Router1，并参加Eth-Trunk成员接口。 system-view HUAWEI sysname CSS /给集群系统重新命名。 CSS interface Eth-Trunk 1 CSS-Eth-Trunk

17、1 quit CSS interface *Gigabitethernet 1/4/0/0 /在Eth-Trunk1中参加主交换机上的成员接口 CSS-*GigabitEthernet1/4/0/0 Eth-Trunk 1 CSS-*GigabitEthernet1/4/0/0 quit CSS interface *Gigabitethernet 2/4/0/0 /在Eth-Trunk1中参加备交换机上的成员接口 CSS-*GigabitEthernet2/4/0/0 Eth-Trunk 1 CSS-*GigabitEthernet2/4/0/0 quit# 在CSS上创立Eth-Trunk

18、2，用于连接Router2，并参加Eth-Trunk成员接口。CSS interface Eth-Trunk 2 CSS-Eth-Trunk2 quit CSS interface *Gigabitethernet 1/4/0/1 /在Eth-Trunk2中参加主交换机上的成员接口 CSS-*GigabitEthernet1/4/0/1 Eth-Trunk 2 CSS-*GigabitEthernet1/4/0/1 quit CSS interface *Gigabitethernet 2/4/0/1 /在Eth-Trunk2中参加备交换机上的成员接口 CSS-*GigabitEthernet

19、2/4/0/1 Eth-Trunk 2 CSS-*GigabitEthernet2/4/0/1 quit# 创立VLANIF，并配置IP地址。CSS vlan batch 10 CSS interface Eth-Trunk 1 /将Eth-Trunk1参加VLAN10 CSS-Eth-Trunk1 port link-type trunk CSS-Eth-Trunk1 port trunk allow-pass vlan 10 CSS-Eth-Trunk1 quit CSS interface Eth-Trunk 2 /将Eth-Trunk2参加VLAN10 CSS-Eth-Trunk2 p

20、ort link-type trunk CSS-Eth-Trunk2 port trunk allow-pass vlan 10 CSS-Eth-Trunk2 quit CSS interface Vlanif 10 /创立VLANIF10，用于CSS与Router1、Router2通信 CSS-Vlanif10 ip address 10.10.4.1 24 CSS-Vlanif10 quit配置交换机与FW之间的跨框Eth-Trunk，CSS上的VLANIF口以及IP地址。# 在CSS上创立Eth-Trunk4，用于将Pubilc与FW1连接，并参加Eth-Trunk成员接口。CSS in

21、terface Eth-Trunk 4 CSS-Eth-Trunk4 quit CSS interface Gigabitethernet 1/1/0/7 /在Eth-Trunk4中参加主交换机上的成员接口 CSS-Gigabitethernet1/1/0/7 Eth-Trunk 4 CSS-Gigabitethernet1/1/0/7 quit CSS interface Gigabitethernet 2/1/0/7 /在Eth-Trunk4中参加备交换机上的成员接口 CSS-Gigabitethernet2/1/0/7 Eth-Trunk 4 CSS-Gigabitethernet2/1

22、/0/7 quit# 在CSS上创立Eth-Trunk5，用于将VRF-A与FW1连接，并参加Eth-Trunk成员接口。CSS interface Eth-Trunk 5 CSS-Eth-Trunk5 quit CSS interface Gigabitethernet 1/1/0/8 /在Eth-Trunk5中参加主交换机上的成员接口 CSS-Gigabitethernet1/1/0/8 Eth-Trunk 5 CSS-Gigabitethernet1/1/0/8 quit CSS interface Gigabitethernet 2/1/0/8 /在Eth-Trunk5中参加备交换机上

23、的成员接口 CSS-Gigabitethernet2/1/0/8 Eth-Trunk 5 CSS-Gigabitethernet2/1/0/8 quit# 在CSS上创立Eth-Trunk6，用于将Pubilc与FW2连接，并参加Eth-Trunk成员接口。CSS interface Eth-Trunk 6 CSS-Eth-Trunk6 quit CSS interface Gigabitethernet 1/2/0/7 /在Eth-Trunk6中参加主交换机上的成员接口 CSS-Gigabitethernet1/2/0/7 Eth-Trunk 6 CSS-Gigabitethernet1/2

24、/0/7 quit CSS interface Gigabitethernet 2/2/0/7 /在Eth-Trunk6中参加备交换机上的成员接口 CSS-Gigabitethernet2/2/0/7 Eth-Trunk 6 CSS-Gigabitethernet2/2/0/7 quit# 在CSS上创立Eth-Trunk7，用于将VRF-A与FW2连接，并参加Eth-Trunk成员接口。CSS interface Eth-Trunk 7 CSS-Eth-Trunk7 quit CSS interface Gigabitethernet 1/2/0/8 /在Eth-Trunk7中参加主交换机上

25、的成员接口 CSS-Gigabitethernet1/2/0/8 Eth-Trunk 7 CSS-Gigabitethernet1/2/0/8 quit CSS interface Gigabitethernet 2/2/0/8 /在Eth-Trunk7中参加备交换机上的成员接口 CSS-Gigabitethernet2/2/0/8 Eth-Trunk 7 CSS-Gigabitethernet2/2/0/8 quit# 创立VLANIF，并配置IP地址。CSS vlan batch 20 30 CSS interface Eth-Trunk 4 /将Eth-Trunk4参加VLAN20 CS

26、S-Eth-Trunk4 port link-type trunk CSS-Eth-Trunk4 port trunk allow-pass vlan 20 CSS-Eth-Trunk4 quit CSS interface Eth-Trunk 6 /将Eth-Trunk6参加VLAN20 CSS-Eth-Trunk6 port link-type trunk CSS-Eth-Trunk6 port trunk allow-pass vlan 20 CSS-Eth-Trunk6 quit CSS interface Vlanif 20 /创立VLANIF20，用于CSS的Public连接FW1

27、、FW2 CSS-Vlanif20 ip address 10.10.2.1 24 CSS-Vlanif20 quit CSS interface Eth-Trunk 5 /将Eth-Trunk5参加VLAN30 CSS-Eth-Trunk5 port link-type trunk CSS-Eth-Trunk5 port trunk allow-pass vlan 30 CSS-Eth-Trunk5 quit CSS interface Eth-Trunk 7 /将Eth-Trunk7参加VLAN30 CSS-Eth-Trunk7 port link-type trunk CSS-Eth-T

28、runk7 port trunk allow-pass vlan 30 CSS-Eth-Trunk7 quit CSS interface Vlanif 30 /创立VLANIF30，用于CSS的VRF-A连接FW1、FW2 CSS-Vlanif30 ip address 10.10.3.1 24 CSS-Vlanif30 quit配置交换机与业务网络之间的跨框Eth-Trunk，VLANIF以及IP地址。# 在CSS上创立Eth-Trunk8，用于连接业务网络1，并参加Eth-Trunk成员接口。CSS interface Eth-Trunk 8 CSS-Eth-Trunk8 quit CS

29、S interface Gigabitethernet 1/3/0/1 /在Eth-Trunk8中参加主交换机上的成员接口 CSS-Gigabitethernet1/3/0/1 Eth-Trunk 8 CSS-Gigabitethernet1/3/0/1 quit CSS interface Gigabitethernet 2/3/0/1 /在Eth-Trunk8中参加备交换机上的成员接口 CSS-Gigabitethernet2/3/0/1 Eth-Trunk 8 CSS-Gigabitethernet2/3/0/1 quit# 在CSS上创立Eth-Trunk9，用于连接业务网络2，并参加

30、Eth-Trunk成员接口。CSS interface Eth-Trunk 9 CSS-Eth-Trunk9 quit CSS interface Gigabitethernet 1/3/0/2 /在Eth-Trunk9中参加主交换机上的成员接口 CSS-Gigabitethernet1/3/0/2 Eth-Trunk 9 CSS-Gigabitethernet1/3/0/2 quit CSS interface Gigabitethernet 2/3/0/2 /在Eth-Trunk9中参加备交换机上的成员接口 CSS-Gigabitethernet2/3/0/2 Eth-Trunk 9 CS

31、S-Gigabitethernet2/3/0/2 quit# 创立VLANIF，并配置IP地址。CSS vlan batch 100 200 CSS interface Eth-Trunk 8 /将Eth-Trunk8参加VLAN100 CSS-Eth-Trunk8 port link-type trunk CSS-Eth-Trunk8 port trunk allow-pass vlan 100 CSS-Eth-Trunk8 quit CSS interface Vlanif 100 /创立VLANIF100，用于CSS连接业务网络1 CSS-Vlanif100 ip address 10.

32、10.100.1 24 CSS-Vlanif100 quit CSS interface Eth-Trunk 9 /将Eth-Trunk9参加VLAN200 CSS-Eth-Trunk9 port link-type trunk CSS-Eth-Trunk9 port trunk allow-pass vlan 200 CSS-Eth-Trunk9 quit CSS interface Vlanif 200 /创立VLANIF200，用于CSS连接业务网络2 CSS-Vlanif200 ip address 10.10.200.1 24 CSS-Vlanif200 quit路由器：配置路由器与

33、CSS之间的接口# 配置Router1，在Router1上创立Eth-Trunk1，并参加成员接口。 system-view Huawei sysname Router1 Router1 interface Eth-Trunk 1 Router1-Eth-Trunk1 quit Router1 interface *Gigabitethernet 1/0/1 Router1-*GigabitEthernet1/0/1 undo shutdown Router1-*GigabitEthernet1/0/1 Eth-Trunk 1 Router1-*GigabitEthernet1/0/1 qui

34、t Router1 interface *Gigabitethernet 1/0/2 Router1-*GigabitEthernet1/0/2 undo shutdown Router1-*GigabitEthernet1/0/2 Eth-Trunk 1 Router1-*GigabitEthernet1/0/2 quit# 配置Dot1q终结子接口，终结VLAN10。并配置IP地址。Router1 interface Eth-Trunk 1.100 Router1-Eth-Trunk1.100 ip address 10.10.4.2 24 Router1-Eth-Trunk1.100 d

35、ot1q termination vid 10 Router1-Eth-Trunk1.100 quit# Router2上的配置步骤与Router1一样，仅接口IP地址有差异，请参照Router1完成Router2的配置。防火墙：配置防火墙的接口与平安区# 配置FW1的接口与平安区。 system-view USG sysname FW1 FW1 interface Eth-Trunk 4 /配置与CSS连接的接口及IP地址 FW1-Eth-Trunk4 ip address 10.10.2.2 24 FW1-Eth-Trunk4 quit FW1 interface Gigabitether

36、net 1/0/0 /在Eth-Trunk4中参加成员接口 FW1-GigabitEthernet1/0/0 Eth-Trunk 4 FW1-GigabitEthernet1/0/0 quit FW1 interface Gigabitethernet 1/0/1 /在Eth-Trunk4中参加成员接口 FW1-GigabitEthernet1/0/1 Eth-Trunk 4 FW1-GigabitEthernet1/0/1 quit FW1 interface Eth-Trunk 5 /配置与CSS连接的接口及IP地址 FW1-Eth-Trunk5 ip address 10.10.3.2

37、24 FW1-Eth-Trunk5 quit FW1 interface Gigabitethernet 1/1/0 /在Eth-Trunk5中参加成员接口 FW1-GigabitEthernet1/1/0 Eth-Trunk 5 FW1-GigabitEthernet1/1/0 quit FW1 interface Gigabitethernet 1/1/1 /在Eth-Trunk5中参加成员接口 FW1-GigabitEthernet1/1/1 Eth-Trunk 5 FW1-GigabitEthernet1/1/1 quit FW1 interface Eth-Trunk 1 /配置FW

38、1与FW2连接的接口 FW1-Eth-Trunk1 ip address 10.1.1.1 24 FW1-Eth-Trunk1 quit FW1 interface Gigabitethernet 2/0/0 /在Eth-Trunk1中参加成员接口 FW1-GigabitEthernet2/0/0 Eth-Trunk 1 FW1-GigabitEthernet2/0/0 quit FW1 interface Gigabitethernet 2/0/1 /在Eth-Trunk1中参加成员接口 FW1-GigabitEthernet2/0/1 Eth-Trunk 1 FW1-GigabitEthe

39、rnet2/0/1 quit FW1 firewall zone trust FW1-zone-trust add interface Eth-Trunk 5 /将连接网的Eth-Trunk5参加平安区域 FW1-zone-trust quit FW1 firewall zone untrust FW1-zone-untrust add interface Eth-Trunk 4 /将连接外网的Eth-Trunk4参加非平安区域 FW1-zone-untrust quit FW1 firewall zone dmz FW1-zone-dmz add interface Eth-Trunk 1

40、/将FW1、FW2之间的接口参加DMZ区域 FW1-zone-dmz quit# 配置FW2的接口与平安区。 system-view USG sysname FW2 FW2 interface Eth-Trunk 6 /配置与CSS连接的接口及IP地址 FW2-Eth-Trunk6 ip address 10.10.2.3 24 FW2-Eth-Trunk6 quit FW2 interface Gigabitethernet 1/0/0 /在Eth-Trunk6中参加成员接口 FW2-GigabitEthernet1/0/0 Eth-Trunk 6 FW2-GigabitEthernet1/

41、0/0 quit FW2 interface Gigabitethernet 1/0/1 /在Eth-Trunk6中参加成员接口 FW2-GigabitEthernet1/0/1 Eth-Trunk 6 FW2-GigabitEthernet1/0/1 quit FW2 interface Eth-Trunk 7 /配置与CSS连接的接口及IP地址 FW2-Eth-Trunk7 ip address 10.10.3.3 24 FW2-Eth-Trunk7 quit FW2 interface Gigabitethernet 1/1/0 /在Eth-Trunk7中参加成员接口 FW2-Gigab

42、itEthernet1/1/0 Eth-Trunk 7 FW2-GigabitEthernet1/1/0 quit FW2 interface Gigabitethernet 1/1/1 /在Eth-Trunk7中参加成员接口 FW2-GigabitEthernet1/1/1 Eth-Trunk 7 FW2-GigabitEthernet1/1/1 quit FW2 interface Eth-Trunk 1 /配置FW2与FW1连接的接口 FW2-Eth-Trunk1 ip address 10.1.1.2 24 FW2-Eth-Trunk1 quit FW2 interface Gigab

43、itethernet 2/0/0 /在Eth-Trunk1中参加成员接口 FW2-GigabitEthernet2/0/0 Eth-Trunk 1 FW2-GigabitEthernet2/0/0 quit FW2 interface Gigabitethernet 2/0/1 /在Eth-Trunk1中参加成员接口 FW2-GigabitEthernet2/0/1 Eth-Trunk 1 FW2-GigabitEthernet2/0/1 quit FW2 firewall zone trustFW2-zone-trust add interface Eth-Trunk 7 /将连接网的Eth

44、-Trunk7参加平安区域 FW2-zone-trust quit FW2 firewall zone untrust FW2-zone-untrust add interface Eth-Trunk 6 /将连接外网的Eth-Trunk6参加非平安区域 FW2-zone-untrust quit FW2 firewall zone dmz FW2-zone-dmz add interface Eth-Trunk 1 /将FW1、FW2之间的接口参加DMZ区域 FW2-zone-dmz quit路由器：部署VRRP。Router1为VRRP的Master，Router2为VRRP的Backup

45、# 配置Router1。Router1 interface Eth-Trunk 1.100 Router1-Eth-Trunk1.100 /配置VRRP的虚拟IP地址 Router1-Eth-Trunk1.100 vrrp vrid 1 priority 120 /提高Router1的优先级，使其成为Master Router1-Eth-Trunk1.100 quit# 配置Router2。Router2 interface Eth-Trunk 1.100 Router2-Eth-Trunk1.100 /配置VRRP的虚拟IP地址 Router2-Eth-Trunk1.100 quit配置完成

46、后，Router1和Router2之间应该能建立VRRP的主备份关系，执行display vrrp命令可以看到Router1和Router2的VRRP状态。# 查看Router1的VRRP状态为Master。Router1 display vrrp Eth-Trunk1.100 | Virtual Router 1 State : Master Virtual IP : 10.10.4.100 Master IP : 10.10.4.2 PriorityRun : 120 PriorityConfig : 120 MasterPriority : 120 Preempt : YES Delay

47、 Time : 0 s TimerRun : 1 s TimerConfig : 1 s Auth type : NONE Virtual MAC : 0000-5e00-0101 Check TTL : YES Config type : normal-vrrp Create time : 2015-05-18 06:53:47 UTC-05:13 Last change time : 2015-05-18 06:54:14 UTC-05:13# 查看Router2的VRRP状态为Backup。Router2 display vrrp Eth-Trunk1.100 | Virtual Rou

48、ter 1 State : Backup Virtual IP : 10.10.4.100 Master IP : 10.10.4.2 PriorityRun : 100 PriorityConfig : 100 MasterPriority : 120 Preempt : YES Delay Time : 0 s TimerRun : 1 s TimerConfig : 1 s Auth type : NONE Virtual MAC : 0000-5e00-0101 Check TTL : YES Config type : normal-vrrp Create time : 2015-0

49、5-18 06:53:52 UTC-05:13 Last change time : 2015-05-18 06:57:12 UTC-05:13 配置CSS与FW、路由器之间的路由。在交换机与路由器之间部署OSPF。# 在CSS上创立VPN实例Public，将连接路由器的接口和连接防火墙上行口的接口绑定到Public。CSS ip vpn-instance Public /创立Public CSS-vpn-instance-Public ipv4-family CSS-vpn-instance-Public-af-ipv4 route-distinguisher 100:2 CSS-vpn-i

50、nstance-Public-af-ipv4 vpn-target 222:2 both CSS-vpn-instance-Public-af-ipv4 quit CSS-vpn-instance-Public quit CSS interface Vlanif 10 CSS-Vlanif10 ip binding vpn-instance Public /将CSS连接路由器的接口VLANIF10绑定至Public CSS-Vlanif10 ip address 10.10.4.1 24 /将接口绑定到Public时，接口上的IP地址会被删除，需要重新配置IP地址。 CSS-Vlanif10

51、quit CSS interface Vlanif 20 CSS-Vlanif20 ip binding vpn-instance Public /将CSS连接防火墙上行口的接口VLANIF20绑定至Public CSS-Vlanif20 ip address 10.10.2.1 24 /将接口绑定到Public时，接口上的IP地址会被删除，需要重新配置IP地址。 CSS-Vlanif20 quit# 对于上行流量,在Public中配置静态路由，路由下一跳指向路由器VRRP虚拟IP。CSS ip route-static vpn-instance Public 0.0.0.0 0.0.0.0

52、10.10.4.100 /Public中的缺省路由，下一跳指向路由器VRRP的虚拟IP# 对于下行流量，在CSS与Router之间运行OSPF协议，用于Router学习到业务网段的回程路由信息。CSS CSS-ospf-100 area 0 CSS-ospf-100-area-0.0.0.0 /将业务网络1所在网段发布到OSPF中 CSS-ospf-100-area-0.0.0.0 /将业务网络2所在网段发布到OSPF中 CSS-ospf-100-area-0.0.0.0 /将连接Router的网段发布到OSPF中 CSS-ospf-100-area-0.0.0.0 quit CSS-ospf

53、-100 import-route static /在OSPF中引入静态路由 CSS-ospf-100 quit在两个出口路由器Router1、Router2上部署OSPF。# 配置Router1Router1 Router1-ospf-100 area 0 Router1-ospf-100-area-0.0.0.0 /将连接CSS的网段发布到OSPF中 Router1-ospf-100-area-0.0.0.0 quit Router1-ospf-100 quit# 配置Router2Router2 Router2-ospf-100 area 0 Router2-ospf-100-area-

54、0.0.0.0 /将连接CSS的网段发布到OSPF中 Router2-ospf-100-area-0.0.0.0 quit Router2-ospf-100 quit# 配置完成后，CSS、Router1和Router2之间能建立邻居关系。以查看CSS上的OSPF邻居为例，能看到Router1和Router2，并且邻居状态是Full。CSS display ospf peer OSPF Process 100 with Router ID 1.1.1.1 Neighbors Area 0.0.0.0 interface 10.10.4.1(Vlanif10)s neighbors Router

55、 ID: 2.2.2.2 Address: 10.10.4.2 State: Full Mode:Nbr is Master Priority: 1 DR: 10.10.4.1 BDR: 10.10.4.2 MTU: 0 Dead timer due in 31 sec Retrans timer interval: 5 Neighbor is up for 00:13:23 Authentication Sequence: 0 Router ID: 3.3.3.3 Address: 10.10.4.3 State: Full Mode:Nbr is Master Priority: 1 DR

56、: 10.10.4.1 BDR: 10.10.4.2 MTU: 0 Dead timer due in 37 sec Retrans timer interval: 5 Neighbor is up for 00:00:52 Authentication Sequence: 0 交换机：配置交换机与FW之间的静态路由。# 对于上行流量,在CSS上创立VPN实例VRF-A，将连接业务网络的接口和连接防火墙下行的接口绑定到VRF-A，VRF-A的缺省路由下一跳指向防火墙下行VRRP虚拟IPVRID2。CSS ip vpn-instance VRF-A /创立VRF-A CSS-vpn-instan

57、ce-VRF-A ipv4-family CSS-vpn-instance-VRF-A-af-ipv4 route-distinguisher 100:1 CSS-vpn-instance-VRF-A-af-ipv4 vpn-target 111:1 both CSS-vpn-instance-VRF-A-af-ipv4 quit CSS-vpn-instance-VRF-A quit CSS interface Vlanif 100 CSS-Vlanif100 ip binding vpn-instance VRF-A /将CSS连接业务网络1的接口VLANIF100绑定至VRF-A CSS

58、-Vlanif100 ip address 10.10.100.1 24 /将接口绑定到VRF-A时，接口上的IP地址会被删除，需要重新配置IP地址。 CSS-Vlanif100 quit CSS interface Vlanif 200 CSS-Vlanif200 ip binding vpn-instance VRF-A /将CSS连接业务网络2的接口VLANIF200绑定至VRF-A CSS-Vlanif200 ip address 10.10.200.1 24 /将接口绑定到VRF-A时，接口上的IP地址会被删除，需要重新配置IP地址。 CSS-Vlanif200 quit CSS i

59、nterface Vlanif 30 CSS-Vlanif30 ip binding vpn-instance VRF-A /将CSS连接防火墙下行的接口VLANIF30绑定至VRF-A CSS-Vlanif30 ip address 10.10.3.1 24 /将接口绑定到VRF-A时，接口上的IP地址会被删除，需要重新配置IP地址。 CSS-Vlanif30 quit# 在VRF-A中的配置缺省路由，下一跳指向防火墙下行VRRP 2的虚拟IPVRID2。CSS # 在Public中配置静态路由，对于下行流量，路由下一跳指向防火墙上行VRRP 1的虚拟IPVRID1。CSS /目的地址是业务

60、网段1的报文，下一跳指向2台FW VRID2的虚拟地址。CSS /目的地址是业务网段2的报文，下一跳指向2台FW VRID2的虚拟地址。防火墙：配置防火墙的静态路由# 在FW1上配置静态路由。FW1 /对于上行流量，缺省路由下一跳为交换机的Public接口VLANIF20的IP地址 FW1 /对于下行流量，目的地址为业务网络1，下一跳为交换机上VRF-A接口VLANIF30的IP地址 FW1 /对于下行流量，目的地址为业务网络2，下一跳为交换机上VRF-A接口VLANIF30的IP地址 # 在FW2上配置静态路由。FW2 /对于上行流量，缺省路由下一跳为交换机的Public接口VLANIF20