收藏
下载资源

防火墙技术案例9_数据中心防火墙应用

上传人:公**** 文档编号:571519841 上传时间:2024-08-11 格式:PDF 页数:8 大小:408.82KB
返回 下载 相关 举报
防火墙技术案例9_数据中心防火墙应用_第1页
第1页 / 共8页
防火墙技术案例9_数据中心防火墙应用_第2页
第2页 / 共8页
防火墙技术案例9_数据中心防火墙应用_第3页
第3页 / 共8页
防火墙技术案例9_数据中心防火墙应用_第4页
第4页 / 共8页
防火墙技术案例9_数据中心防火墙应用_第5页
第5页 / 共8页
点击查看更多>>
资源描述

《防火墙技术案例9_数据中心防火墙应用》由会员分享,可在线阅读,更多相关《防火墙技术案例9_数据中心防火墙应用(8页珍藏版)》请在金锄头文库上搜索。

1、防火墙技术案例防火墙技术案例 9_9_强叔拍案惊奇强叔拍案惊奇 数据中心防火墙应用数据中心防火墙应用近期经常有小伙伴们问到防火墙在数据中心如何部署防火墙的双机热备功能如何与虚拟系统功能结合使用正好强叔最近接触了一个云数据中心的项目,现在就跟大家分享下,相信能完美的解决各位小伙伴的问题。【组网需求】如下图所示,两台防火墙(USG9560 V300R001C01 版本)旁挂在数据中心的核心交换机 CE12800 侧。两台CE12800 工作在二层模式,且采用堆叠技术。数据中心对防火墙的具体需求如下:1、防火墙需要为每个虚拟主机都提供一个单独的虚拟系统,以便为每个虚拟主机都提供单独的访问控制策略。2

2、、每个虚拟机都能够使用公网 IP 访问 Internet,并且能够对 Internet 用户提供访问服务。【强叔规划】1、 从上图的数据中心整网结构和流量走向 (蓝色虚线) 来看, 防火墙旁挂在 CE12800 侧就相当于把 CE12800在中间隔断,把一台 CE12800 当作两台设备来使用。所以我们可以将上面的组网图转换成下面更容易理解的逻辑图。由于 CE12800 工作在二层模式,整个逻辑图就可以理解为经典的防火墙上下行连接二层设备的双机热备组防火墙上下行连接二层设备的双机热备组网网。这种组网的特点是需要在防火墙的上下行业务接口上配置 VRRP 备份组。2、为了实现每一个虚拟主机都有一个

3、单独的虚拟系统,我们需要为每个虚拟主机创建 VLAN、子接口、虚拟系统,并将他们相互关联成一个网络,具体操作如下所示:1)在 S5700 上为每个虚拟机都建立一个 VLAN,然后将对应的连接虚拟机的接口加入此 VLAN。2)将 S5700 的上行接口,以及 CE12800 的上下行接口设置为 Trunk 接口,允许各个虚拟主机的 VLAN 报文通过。3)在防火墙的下行接口上为每个虚拟机都建立一个子接口,并终结对应的虚拟机的 VLAN。4)在防火墙上为每个虚拟机都创建一个虚拟系统,并将此虚拟系统与对应的子接口绑定。5)同理,在防火墙上行的 CE12800 上需要创建 VLAN(与下行的 ID 不

4、同),并将 CE12800 的上下行接口设置为 Trunk 接口。上述操作是在主用链路上的设备(S5700_A、CE12800_A 和 USG9560_A)进行的,我们还需要在备用链路上的设备(S5700_B、CE12800_B 和 USG9560_B)进行同样的操作(除了防火墙子接口 IP 地址不同)。3、最后,我们需要将前两步分析的双机热备和虚拟系统结合起来考虑。由于两台防火墙处于双机热备状态,而每台防火墙又都被虚拟成多个虚拟系统,因此两台防火墙中的相同的虚拟系统也处于双机热备状态。例如下图所示,USG9560_A 的 VFW1 与 USG9560_B 的 VFW1 之间形成双机热备状态,

5、因此我们需要在虚拟系统的子接口上配置 VRRP 备份组。【配置步骤】1、配置双机热备功能。#在 USG9560_A 上配置双机热备功能。 system-viewUSG9560_A interface Eth-Trunk 1USG9560_A-Eth-Trunk1 ip address 24USG9560_A-Eth-Trunk1 quitUSG9560_A interface GigabitEthernet1/0/0USG9560_A -GigabitEthernet1/0/0 Eth-Trunk 1USG9560_A -GigabitEthernet1/0/0 quitUSG9560_A i

6、nterface GigabitEthernet1/0/1USG9560_A -GigabitEthernet1/0/1 Eth-Trunk 1USG9560_A -GigabitEthernet1/0/1 quitUSG9560_A firewall zone dmzUSG9560_A-zone-dmz add interface Eth-Trunk 1USG9560_A-zone-dmz quitUSG9560_A hrp interface Eth-Trunk 1 remote hrp enable#在 USG9560_B 上配置双机热备功能。 system-viewUSG9560_B

7、interface Eth-Trunk 1USG9560_B-Eth-Trunk1 ip address 24USG9560_B-Eth-Trunk1 quitUSG9560_B interface GigabitEthernet1/0/0USG9560_B -GigabitEthernet1/0/0 Eth-Trunk 1USG9560_B -GigabitEthernet1/0/0 quitUSG9560_B interface GigabitEthernet1/0/1USG9560_B -GigabitEthernet1/0/1 Eth-Trunk 1USG9560_B -Gigabit

8、Ethernet1/0/1 quitUSG9560_B firewall zone dmzUSG9560_B-zone-dmz add interface Eth-Trunk 1USG9560_B-zone-dmz quitUSG9560_B hrp interface Eth-Trunk 1 remote hrp enable【强叔点评】配置心跳口(hrphrp interfaceinterface)并启用双机热备功能(hrphrp enableenable)后,双机热备状态就已经成功建立。这时主用设备(USG9560_A)的配置就能够备份到备用设备(USG9560_B)上了。2、为每台虚拟

9、主机创建一个虚拟系统,并分配资源。这里仅以虚拟系统 vfw1 为例,其他虚拟系统的配置参照此即可。#创建子接口 GigabitEthernet1/2/和 GigabitEthernet1/2/。HRP_M USG9560_A interface GigabitEthernet1/2/HRP_M USG9560_A -GigabitEthernet1/2/ quitHRP_M USG9560_A interface GigabitEthernet1/2/HRP_M USG9560_A -GigabitEthernet1/2/ quit#配置虚拟系统的资源类,限制每个虚拟系统的带宽为 100M。H

10、RP_M USG9560_A resource-class class1HRP_M USG9560_A -resource-class-class1 resource-item-limit bandwidth 100 entireHRP_M USG9560_A -resource-class-class1 quit#创建虚拟系统 vfw1,并为 vfw1 分配子接口和带宽资源。HRP_M USG9560 vsys vfw1HRP_M USG9560-vsys-vfw1 assign resource-class class1HRP_M USG9560-vsys-vfw1 assign inte

11、rface GigabitEthernet1/2/HRP_M USG9560-vsys-vfw1 assign interface GigabitEthernet1/2/HRP_M USG9560-vsys-vfw1 quit【强叔点评】本步骤的配置只需要在主用设备(USG9560_A)上配置即可,因为虚拟系统的配置会自动同步到备用设备(USG9560_B)。3、在两台防火墙的子接口上分别配置 IP 地址和 VRRP 备份组。这里仅以虚拟系统 vfw1 为例,其他虚拟系统的配置参照此即可。#在主用设备上为虚拟系统 vfw1 配置子接口的 IP 地址和 VRRP 备份组。HRP_M USG956

12、0_A interface GigabitEthernet1/2/HRP_M USG9560_A -GigabitEthernet1/2/ vlan-type dot1q 1HRP_M USG9560_A -GigabitEthernet1/2/ ip address 24HRP_M USG9560_A -GigabitEthernet1/2/ vrrp vrid 1 virtual-ip masterHRP_M USG9560_A -GigabitEthernet1/2/ quitHRP_M USG9560_A interface GigabitEthernet1/2/HRP_M USG95

13、60_A -GigabitEthernet1/2/ vlan-type dot1q 101HRP_M USG9560_A -GigabitEthernet1/2/ ip address 24HRP_M USG9560_A -GigabitEthernet1/2/ vrrp vrid 101 virtual-ip masterHRP_M USG9560_A -GigabitEthernet1/2/ quit#在备用设备上为虚拟系统 vfw1 配置子接口的 IP 地址和 VRRP 备份组。HRP_S USG9560_B interface GigabitEthernet1/2/HRP_S USG9

14、560_B -GigabitEthernet1/2/ ip address 24HRP_S USG9560_B -GigabitEthernet1/2/ vrrp vrid 1 virtual-ip slaveHRP_S USG9560_B -GigabitEthernet1/2/ quitHRP_S USG9560_B interface GigabitEthernet1/2/HRP_S USG9560_B -GigabitEthernet1/2/ ip address 24HRP_S USG9560_B -GigabitEthernet1/2/ vrrp vrid 101 virtual-

15、ip slaveHRP_S USG9560_B -GigabitEthernet1/2/ quit【强叔点评】接口 IP 地址和 VRRP 备份组的配置是不备份的,因此需要分别在主备设备上进行配置。4、在主防火墙的每个虚拟系统上配置安全策略和 NAT 功能。这里仅以虚拟系统 vfw1 为例,其他虚拟系统的配置参照此即可。#从防火墙的根视图切换到虚拟系统 vfw1 的视图。HRP_M USG9560_A switch vsys vfw1HRP_M system-view#将虚拟系统的各接口加入对应的安全区域。HRP_M USG9560_A-vfw1 firewall zone trustHRP_

16、M USG9560_A-vfw1-zone-trust add interface GigabitEthernet1/2/HRP_M USG9560_A-vfw1-zone-trust quitHRP_M USG9560_A-vfw1 firewall zone untrustHRP_M USG9560_A-vfw1-zone-trust add interface GigabitEthernet1/2/HRP_M USG9560_A-vfw1-zone-trust quit#为虚拟系统 vfw1 配置安全策略,允许虚拟机访问外网,只允许外网用户访问虚拟机的 HTTP 业务。HRP_M USG

17、9560_A-vfw1 firewall packet-filter default permit interzone trustuntrust direction outboundHRP_M USG9560_A-vfw1 policy interzone trust untrust inboundHRP_M USG9560_A -vfw1-policy-interzone-trust-untrust-vfw1-inbound policy 1HRP_M USG9560_A -vfw1-policy-interzone-trust-untrust-vfw1-inbound-1 policy d

18、estinationUSG9560_A -vfw1-policy-interzone-trust-untrust-vfw1-inbound-1 policyservice service-set httpHRP_M USG9560_A -vfw1-policy-interzone-trust-untrust-vfw1-inbound-1action permitHRP_M USG9560_A -vfw1-policy-interzone-trust-untrust-vfw1-inbound-1quitHRP_M USG9560_A -vfw1-policy-interzone-trust-un

19、trust-vfw1-inboundquit #为虚拟系统 vfw1 配置 NAT Server 和 NAT 策略。HRP_M USG9560_A-vfw1 nat server 1 zone untrust global insideUSG9560_A-vfw1 nat address-group 1HRP_M USG9560_A-vfw1 -address-group-1 section USG9560_A-vfw1 -address-group-1 quitHRP_M USG9560_A-vfw1 nat-policy interzone trust untrust outboundHR

20、P_M USG9560_A-vfw1-nat-policy-interzone-trust-untrust-vfw1-outbound policy 1HRP_M USG9560_A-vfw1-nat-policy-interzone-trust-untrust-vfw1-outbound-1 actionsource-natHRP_M USG9560_A-vfw1-nat-policy-interzone-trust-untrust-vfw1-outbound-1 address-group1HRP_M USG9560_A-vfw1-nat-policy-interzone-trust-untrust-vfw1-outbound-1 quitHRP_M USG9560_A-vfw1-nat-policy-interzone-trust-untrust-vfw1-outbound quit【强叔点评】安全区域、安全策略、NAT 的配置都会进行备份,因此只在主用设备(USG9560_A)的虚拟系统上配置即可。【拍案惊奇】1、此案例的惊奇之处在于介绍了数据中心中双机热备与虚拟系统的结合应用。2、此案例的另一惊奇之处在于展现了高端防火墙的双机功能与 CE12800 交换机的堆叠功能的结合使用。【强叔问答】除了本案例中配置的安全策略和 NAT 外,数据中心还会用到哪些常见的防火墙特性呢

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 建筑/环境 > 施工组织

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号