首先我们的数据中心和上一篇文章内容相似
先配置VRRP,MSTP负载均衡。
LSW11走实例1,LSW10走实例2
一,防火墙划分区域
FW6
FW7类推。
二,然后就是配置OSPF协议
LSW2与LSW3为area 0和area1 ,FW6,FW7,LSW10,LSW11为area1.
LSW2
LSW3
FW6
FW7
LSW10
LSW11
三, 防火墙配置HRP
FW6
配置hrp的作用,备份防火墙的配置命令,备份会话表(用于实现负载均衡:流量从FW6进入,允许从FW7出去,如果不备份会话表,FW7没有相对应的会话表流量是不能从FW7出去的)
FW7类推。
四,配置防火墙策略
FW6
FW7不用配置,HRP会自动备份过去。
配置到这里之后,企业内部网络入vlan3,vlan4 等都可以访问数据中心192.168.20.0网段的地址。
五,公网的边界防火墙划分区域
FW1
这里的防火墙采用的是双出口链路,要命名两个区域isp1与ips2
以便后面的nat地址转换。
FW2类推。
这里FW1,FW2也是运行ospf的,其为area0
FW1
FW2
没有宣告公网的网段。
其中default-route-advertise always命令的作用:
令其他运行ospf设备都有一个指向本设备的默认路由。
六,配置nat
FW1
其中在USG5500虚拟防火墙中 只允许一个ip地址pat
FW2类推
七,配置内网出外网的策略
FW1
FW2类推。
八,配置ip-link,及默认路由
FW1
这里ip-link的作用是监测上行链路,若出现故障则设备会自动切换到备用链路。
USG5500虚拟机的ip-link好像保存不了
每次都要重新设置但是USG6000可以。
FW2类推。
九,配置公网网络
这里配置的也是ospf协议,此处配置省略给出。
配置到这里之后,企业内部网络入vlan3,vlan4 等都可以访问公共网络。
十,数据中心发布nat server。及需要配置的策略。
FW1
这里应该换成192.168.20.1 mask 32比较妥当。
此时公网的网络已经可以访问数据中心的192.168.20.1 的web服务,他们访问用的是公网58.67.177.6 他们是不知道内网地址的。
这里的拓扑还是有缺点的。
这里的FW1与FW2也是需要配置hrp的,但是由于自己的设备性能有限我使用的是USG 5500,
5500这个虚拟机好像不能配置hrp备份防火墙,不过我FW6与FW7用的是USG6000.
这里如果不配置hrp,那么流量从FW1进,从FW2出的话是出不去的,会话表不一致。
