综合组⽹实例配置:单出⼝双墙主备+三层核⼼
VRRP+MSTP+NAT+NATSERVER+。。。
mouthwatering⼀、 组⽹需求:
企业的两台FW的业务接⼝都⼯作在三层,使⽤路由模式进⾏部署,上下⾏分别连接交换机。上⾏交换机连接路由器,下⾏连接核⼼交换机。路由器连接⼆个运营商的接⼊点,运营商其⼀为企业提供专线业务,其分配的IP地址为202.100.99.55~56(⽤做内部web服务映射)。运营商其⼆为企业提供pppoe拨号。专线业务主要⽤于企业业务系统为外部提供访问,员⼯上⽹使⽤pppoe线路。通过在路由器上部署策略路由以实现业务和上⽹流量的分流。
现在希望两台FW以主备备份⽅式⼯作。正常情况下,流量通过FW-1转发。当FW-1出现故障时,流量通过FW-2转发,保证业务不中断。内⽹核⼼⽹络通过VRRP+MSTP的组⽹⽅式将⼆台5700核⼼交换机与汇聚交换机建⽴具有冗余、负载的⾼可靠的⽹络。同时AC控制器也通过vrrp的形式与⼆台核⼼交换机建⽴连接,为内⽹⽤户提供⽆线访问业务。数据中⼼也采⽤VRRP的形式与⼆台防⽕墙建⽴连接,并且都放置在DMZ区域。在边界出⼝路由器上通过配置IP SEC VPN与分部⽹络中⼼建⽴连接,实现集团内资源共享和业务访问。在边界出⼝路由器上配置NAT SERVER将内⽹VLAN 100中的http服务和DMZ区域VLAN 201中的ftp服务发布到外⽹,并配置Easy-IP允许内⽹100和112的⽤户可以上⽹,113⽹段的⽤户
不能上⽹(后期更改为100和201⾛专线,112和113⾛pppoe线路上⽹)。为了实现内⽹⽤户可以通过公⽹IP访问内⽹的http和ftp服务,在路由器上配置域内NAT。
⼆、⽹络拓扑:
sad是什么意思
dslam其他说明:IP SEC VPN未完成。
三、AC⽆线⽹络规划reali是什么意思
3.1 常规AC组⽹⽅式:
(1)单节点(⽆冗余)
(2)双链路双机热备(AP同时与主备AC建⽴CAPWAP隧道,也需要通过HSB通道同步业务信息)
码头英文(3)VRRP双机热备(AC之间通过HSB同步业务信息和⽤户信息)法制演讲稿
(4)特殊情况就是我这个⽹络拓扑,因为现⽹只有⼀个AC,且核⼼⼜做了VRRP,只能采⽤这种组⽹⽅式规划AC。(其实现在基本都在采⽤交换机虚拟机技术,VRRP在核⼼层的组⽹还是少了)
服装设计培训3.2 ⽹络规划:
(1)AC组⽹⽅式为三层组⽹,直接转发模式。
(2)AC:172.20.20.253,SWA:172.20.20.1,SWB:172.20.20.2。业务⽹段暂时与有线⽹段⼀样,分别为VALN100,VALN112和VALN113。
(3)VRRP组VID:88,虚拟⽹关地址为:172.20.20.254。SWA为主,SWB为备。
免费英语资料
问题:(应该是ensp的bug,真机或者没有这个问题)
默认情况下AC上STP功能是禁⽤的。在主SWA正常的情况下,AC上开启stp enable对⽆线业务⽆影响(如果不开启stp服务,⽹络会出现环路),AP能与AC建⽴CAPWAP隧道。但是假如主SWA的G0/0/2⼝出现故障或SWA与AC之间的链路出现故障,或者是SWA出现当机后。SWA和SWB之间的主备VRRP组能正常切换,但是当SWB成为主后,AP始终⽆法上线,从AP或SWB上⽆法ping通AC的
172.20.20.253。同样从AC上⽆法ping通VRRP虚拟⽹关172.20.20.254。
此种情况下,如果在AC上执⾏undo stp enable后(或者全局stp enable,然后在G0/0/2接⼝下执⾏stp disable),AP能与AC建⽴CAPWAP隧道,⽆线⽹络恢复正常,STA也能搜索到ssid并能连接上,且访问外⽹正常。如下:滑铁卢大学排名
四、IP SEC VPN规划:未完成
五、IP地址规划:
介绍一本书的作文
六、配置思路:
6.1 防⽕墙部署位置
防⽕墙上连路由器,下连三层交换机。为了解决路由器接⼝不⾜问题,在防⽕墙和路由器之间接⼊⼀个⼆层汇聚交换机。上⾏VRRP虚拟⽹关地址 1.1.1.1/24 ,采⽤双链路双⽹关确保出⼝正常使⽤。下⾏VRRP虚拟⽹关地址 172.16.200.254/24,采⽤双链路双⽹关确保核⼼⽹络正常使⽤。
6.2 配置防⽕墙主备
⼆台防⽕墙做主备备份,其中FW-1为主,FW-2为备。⼆台防⽕墙通过⼼跳线监测VRRP的状态和故障切换。FW-1上配置接⼝track,⼀旦发⽣接⼝故障或链路故障,Master和Backup⾓⾊将进⾏互换。FW-1上配置⾓⾊抢占功能(hrp preempt delay 20),当FW-1接⼝或链路故障恢复正常后,将在20秒后进⾏Master⾓⾊抢占。
6.3 配置安全策略
在主FW-1上创建⼆条策略(会⾃动同步到FW-2上)。①允许trust区域到untrust区域的流量访问 ②允许hrp区域hrp区域的流量访问,此策略主要是为了让⼆台防⽕墙之间的vrrp⼼跳报⽂能正常传输。③允许从外⽹访问企业内部的web服务,指定外⽹可以访问⽬标服务器172.21.100.80和172.16.201.80。
6.4 策略路由
规划核⼼业务系统(VLAN100 VLAN201⽹段)从专线出去,在R1上做策略路由并将配置下⼀跳的地址为202.100.99.2。普通上⽹流量⾛PPPOE拨号线路。在R1上配置⼀条默认路由,下⼀跳为Dialer1并调⽤NQA,同时配置⼀条到202.100.99.2的默认路由,优先级为65。
6.5 NAT策略
在R1上做NAT Server上。同时为了能让内⽹⽤户通过公⽹IP访问HTTP服务器,在GE 0/0/1内⽹⼝做域内NAT+NAT Server(双向NAT),服务器映射关系如下:
