交换机配置:三层核心+防火墙
楼层交换机及安全防火墙详细配置及技术要求
楼层交换机及安全防火墙详细配置及技术要求一、楼层交换机及安全防火墙等设备名称及数量二、技术规格需求1、接入交换机技术规格要求2、防火墙技术规格要求三、验收标准1、中标人应按采购方的指令,按批次将一套或多套设备运送至采购方指定的场地。
2、设备验收:设备及配件到场,按投标书要求由中标人提供设备清单,采购方根据投标书及设备清单对到场设备及配件的名称、型号、规格、数量等进行清点,并签字验收。
如不符合投标书要求,采购方不予签字验收,违约责任按中标合同相关条款执行。
3、项目验收:中标人完成设备的的安装、调试、开通、及人员培训,由中标人提供验收报告,交由采购方签字验收。
如不符合投标书要求,采购方不予签字验收,违约责任按中标合同相关条款执行。
4、如项目实施过程中无法按用户要求作出相应功能或服务的,或是按用户要求提交相关资料的,我方将拒绝或推迟验收。
四、售后服务需求1、免费保修期:防火墙设备提供壹年原厂售后服务,其他货物免费质保期壹年,时间自最终验收合格并交付使用之日起计算。
2、原厂服务:投标时提供防火墙设备原厂针对本项目的售后服务承诺函原件复印件,原件备查。
要求原厂质保的产品需能在厂商官网查询到该货物属于我单位的质保信息。
3、维修响应及故障解决时间:在保修期内,一旦发生质量问题,投标人保证在接到通知4小时内赶到现场进行修理或更换。
4、其他:投标人应按其投标文件中的承诺,进行其他售后服务工作。
5、培训要求:运维期限内需安排主要设备的原厂工程师为我方培训不少于四名的网络管理员,要求经过培训后网络管理员能够熟悉我单位业务系统,能够排除简单系统故障;6、驻场要求:用户方业务部署安装时,要求中标单位安排原厂网络工程师1-3人提供现场技术支持。
五、交货期投标人应在合同签订之日起20个日历日内完成全部设备交付,并按我方要求安装部署到位,方可通过验收。
六、投标人资格要求1、投标人必须是在中华人民共和国境内注册的具有合法经营资格的独立法人;2、投标人必须具有符合本项目要求的营业范围,提供证明文件;3、在政府集中采购招标项目中最近三年内无骗取中标、严重违约及重大质量问题之任何一项不良记录;4、投标人投标时必须提供防火墙设备厂商提供的针对本项目的原厂售后服务承诺函;5、本项目不接受联合体投标;6、提供(2015年度)国税或地税纳税证明材料。
两层三层交换机基本配置
两层三层交换机基本配置具有两层三层交换功能的交换机都是可管理的,在工程实施管理等方面它们起着重要的作用,目前我们在工程中用到的基本上都是具有两层三层交换能力的交换机。
一般我们把拥有三层交换的交换机作为核心交换机——起路由功能作为路由器使用,两层交换机主要用来实现工程需求的各个功能。
在工程中我们用到的交换设备主要是华为和思科的设备。
两层设备如华为的2403,Cisco的2950;三层设备如华为的3552,Cisco的3550。
下面我们简单的介绍一下这些设备的基本配置步骤和方法。
我们假设所有的两层三层智能交换设备在同一个局域网内,并且三层交换设备都做为核心路由设备,两层交换设备都作为可管理设备,并且局域网地址位启用192.168.*.*私有地址,根据习惯我们用vlan64作为设备管理vl an,其段地址相应的用192.168.64.*,其中核心路由设备地址我们用192.168.64.254,其余智能交换设备从192.168.64.230开始依次向后用,如果不够则再从230依次向前推。
核心交换设备的出口出在局域网防火墙的LAN(或者insi de)口上,根据习惯我们给局域网的LAN(或者insi de)配置端口地址是:192.168.64.253 netmask255.255.255.0,W AN(或者outsi de)配置端口地址为172.19.2.253 netmask 255.255.255.128,其外部最近的一跳路由地址为172.19.2.254,DMZ区配置端口地址为172.19.2.1 netmask 255.255.255.128。
以下的所有示例都基于以上的假设配置环境。
一:Cisco系列无论是两层还是三层设备,其基本配置步骤是一样的。
一步一步教你配置硬件防火墙
Dmz Int •192.168.1.1 •172.16.1.1
中兴防火墙) 端口映射策略截图(中兴防火墙)
允许从外网访问映射的服务
防火墙配置使用技巧
1 、单独配置一个接口做管理口 2 、只允许可管理 IP能直接访问防火墙 3 、VPN和阻止策略放在最前面 4、尽量定义一组对象并对组做策略 5 、监控防火墙的CPU及内存使用率、连接数是否有 异常,熟悉并利用防火墙的各类日志信息进行相应 管理 6 、对配置经常备份
防火墙(双机) DMZ区 区 外部服务器 (AM、电子 商务等) SDH专线 防火墙 核心三层交换机 路由器 路由器 三层交换机
一级骨干网络; 二级内部网络; 三级内部网络; 四级内部网络。
防火墙/VPN
防火墙 VPN
防火墙 VPN
双核心交换机冗 余
VPN
三层交换机
汇聚层交换机
双三层交换机冗 余
汇聚层交换机
终端
应用服务器
终端
应用服务器
终端
应用服务器
集团总部
二级公司
三级公司
• 1、连接防火墙(consol口或默认IP) • 2、设置防火墙内、外网接口IP • 3、配置路由 默认路由:电信或网通提供的网关IP 内网路由:内网三层接口IP
防火墙的管理:接口IP
防火墙的管理:配置路由
默认路由、静态路由、动态路由
一步一步配置 硬件防火墙
集团信息技术总部 2009年9月 年 月 苏亮
提纲
• 防火墙的配置准备(位置、接口IP、路由) • 防火墙的NAT策略
NAT上网、时间限制、服务限制、连接数限制、带 宽限制……..
• 防火墙的端口映射 备注:主要是中兴防火墙配置
防火墙的配置准备
防火墙以透明模式部署到路由器和三层交换机之间
H3C防火墙F1060透明模式部署到路由器和三层核心交换机之间如图,给路由器R1配置管理地址为192.168.33.1,三层核心交换机SW1管理地址为192.168.33.254,且开启DHCP服务,为PC1和PC2提供IP地址;防火墙F1以透明模式部署到路由器R1和三层交换机SW1之间。
下面是各个设备的配置过程。
一.首先我们配置三层交换机和与三层交换机相连的接入交换机,配置步骤如下:1.启动三层核心交换机SW1,接着启动命令行终端:<H3C>sysSystem View: return to User View with Ctrl+Z.[H3C]vlan 31 to 33[H3C]dhcp enable 开启DHCP服务[H3C]dhcp server ip-pool vlan31pool 创建DHCP地址池并命名[H3C-dhcp-pool-vlan31pool]network 192.168.31.0 mask 255.255.255.0 设置DCHP地址池[H3C-dhcp-pool-vlan31pool]gateway-list 192.168.31.254 设置网关地址[H3C-dhcp-pool-vlan31pool]dns-list 114.114.114.114 180.76.76.76 设置DNS地址[H3C-dhcp-pool-vlan31pool]quit[H3C]dhcp server ip-pool vlan32pool[H3C-dhcp-pool-vlan32pool]network 192.168.32.0 mask 255.255.255.0[H3C-dhcp-pool-vlan32pool]gateway-list 192.168.32.254[H3C-dhcp-pool-vlan32pool]dns-list 114.114.114.114 180.78.76.76[H3C-dhcp-pool-vlan32pool]quit[H3C]int vlan 31[H3C-Vlan-interface31]ip address 192.168.31.254 24[H3C-Vlan-interface31]dhcp select server 设置DHCP模式为server[H3C-Vlan-interface31]dhcp server apply ip-pool vlan31pool 指定应用的地址池[H3C-Vlan-interface31]quit[H3C]int vlan 32[H3C-Vlan-interface32]ip address 192.168.32.254 24[H3C-Vlan-interface32]dhcp select server[H3C-Vlan-interface32]dhcp server apply ip-pool vlan32pool[H3C-Vlan-interface32]quit[H3C]int g1/0/3[H3C-GigabitEthernet1/0/3]port link-type access[H3C-GigabitEthernet1/0/3]port access vlan 33[H3C-GigabitEthernet1/0/3]quit[H3C]int vlan 33[H3C-Vlan-interface33]ip address 192.168.33.254 24[H3C-Vlan-interface33]quit[H3C]int g1/0/1[H3C-GigabitEthernet1/0/1]port link-type trunk[H3C-GigabitEthernet1/0/1]port trunk permit vlan all[H3C-GigabitEthernet1/0/1]undo port trunk permit vlan 1[H3C-GigabitEthernet1/0/1]quit[H3C]int g1/0/2[H3C-GigabitEthernet1/0/2]port link-type trunk[H3C-GigabitEthernet1/0/2]port trunk permit vlan all[H3C-GigabitEthernet1/0/2]undo port trunk permit vlan 1[H3C-GigabitEthernet1/0/2]quit在三层交换机SW1上建立用户admin,并设置密码,用作远程登陆和web登陆。
三层交换机防火墙ACL设置
1.4 实验要求
在交换机A和交换机B上分别划分两个基于 端口的VLAN: VLAN100,VLAN200.
交换机A端口1设置成Trnuk口:
VLAN 100 200 Trunk IP 192.168.100.1 192.1689.200.1 Mask 255.255.255.0 255.255.255.0 1
1.2实验目的
1. 了解什么是标准的ACI; 2.了解标准ACL不同的实现方法。
1.3实验环境
ACL(Access Control List)是交换机实现的一 种数据包过滤机制,通过允许或拒绝特定的数据包进 出网络,交换机可以对网络访问进行控制,有效保障 网络的安全运行。用户可以基于报文中的特定信息制 定一组规则(rule),每条规则都描述了对匹配了一定 信息的数据包所采取的动作:允许通过(permit)或 拒绝通过(deny)。用户可以把这些规则应用到特定 交换机的入口或出口方向,这样特定端口上特定方向 的数据流就必须依照指定的ACL规则进出交换机。通 过ACL,可以限制某个IP地址的PC或者某些网段的的 pc的上网活动。用于网络管理。
2. 研究方法
2.1 实验设备 2.2 实验拓扑 2.3 实验步骤
2.1实验设备
1.DCRS-7604或6804或5526S)交换机1台 2.DCRS-3926 S交换机1台 3.PC机2台 4.Console线1-2根 5.直通网线若干
2.2 实验拓扑
第一步:交换机全部恢复出厂设置,在交换机中 创建vlan100和vlan200,并添加端口
2.3 实验步骤
第二步:设置交换机Truck口 交换机B:
交换机A:
第三步:交换机A添加vlan地址。
第三步:交换机A添加vlan地址。 第四步:不配制ACL验证实验
园区出口配置举例(防火墙旁路)
1 大型园区出口配置示例(防火墙旁路部署)1.1 配置注意事项●本举例中的交换机以华为公司的S系列框式交换机为例、防火墙以USG系列为例、路由器以NE系列为例。
●本配置案例仅涉及企业网络出口相关配置,涉及企业内网的相关配置请参见华为S系列园区交换机快速配置中的“大型园区组网场景”。
●本例仅涉及防火墙与交换机的对接配置以及防火墙的双机热备配置。
防火墙上的安全业务规划及园区安全策略、攻击防范、带宽管理、IPSec等功能的配置示例请参见《防火墙配置案例集》。
●本例仅涉及园区出口路由器与交换机的对接配置。
路由器在公网侧的配置示例请参见NE系列路由器《配置指南》。
1.2 组网需求在大型园区出口,核心交换机上行通过路由器访问外网。
防火墙旁挂于核心交换机,对业务流量提供安全过滤功能。
为了简化网络并提高可靠性,在核心层交换机通常部署集群。
在防火墙上部署双机热备(主备模式),当其中一台故障时,业务可以平滑切换到另一台。
核心交换机双归接入2台出口路由器,路由器之间部署VRRP确保可靠性。
为提高链路可靠性,在核心交换机与出口路由器之间,核心交换机与防火墙之间,2台防火墙之间均通过Eth-Trunk互连。
如下图所示。
图1-1园区出口组网图(防火墙旁挂,双机热备)在一般的三层转发环境下,园区内外部之间的流量将直接通过交换机转发,不会经过FW1或FW2。
当流量需要从交换机转发至FW,经FW检测后再转发回交换机,就需要在交换机上配置VRF功能,将交换机隔离成两个相互独立的虚拟交换机VRF-A和根交换机Public。
Public作为连接出口路由器的交换机。
对于下行流量,它将外网进来的流量转发给FW 进行检测;对于上行流量,它接收经FW检测后的流量,并转发到路由器。
VRF-A作为连接内网侧的交换机。
对于下行流量,它接收经FW检测后的流量,并转发到内网;对于上行流量,它将内网的流量转发到FW去检测。
根据上图中的流量转发路径可以将上图转换成如下所示的更容易理解的逻辑组网图。
基于三层交换机做防火墙的校园网配置
基于三层交换机做防火墙的校园网配置江玉俭(大连广播电视大学旅顺分校辽宁大连116041)摘要:关键词:中图分类号:TP3文献标识码:A文章编号:1671-7597(2012)0510147-01三层交换机技术是近年来新兴的路由技术,将在今后主宰局域网已成为不争的事实。
阐述我校校园网拓扑结构中,使用三层交换机充当防火墙仅用来保护隔离区(DMZ)中的服务器群,以免受到来自Internet和校园内网的攻击。
三层交换机;防火墙;控制列表随着我国企业网、校园网以及宽带建设的迅速发展,网络安全问题日益突显。
防火墙通过它对数据包进行过滤,保护着网络的安全。
大型网络必须使用防火墙,但千兆专业防火墙价格昂贵,基于建设成本考虑,我校校园网采用交换机来充当防火墙,通过配置三层交换机的访问控制列表来达到防火墙的功能。
局域网发展到了千兆以太网,而网络结构却仍使用共享局域网,网络速度受到很大的制约,近年来采用的交换局域网则是以链路层帧为数据交换单位,允许多个结点同时进行通信,每个结点可以独占传输通道和带宽,很好地解决了第一层和第二层的速度问题。
从而解决了共享型以太网的制约速度问题。
但以往的路由器技术并没有随着信息传输量的增大而提高,再也不能满足对高速度的需求,由此便产生了三层交换技术的概念。
什么是三层交换技术呢?要理解这个技术必须从认识OSI(开放系统互联模型)开始。
OSI即开放系统互联模型,把网络系统从低到高分成七层:物理层、数据链路层、网络层、传输层、会话层、表示层、应用层。
这里我们只需要介绍底三层。
物理层:物理层规范是有关传输介质的特性标准,是进行数据传输的基础,由硬件构成。
调制解调器和集线器都属于物理层的网络设备。
数据链路层:数据链路层定义了在单个链路上如何传输数据,提供的数据连路控制和差错校验功能,将不可靠的物理链路变成可靠的数据链路。
以往的交换机是数据链路层的网络设,它只能连接同一个子网的微机,如果IP地址不在同一个子网中则只依靠交换机不能实现通信,还需要第三层中的路由器。
交换机路由防火墙配置实例
在网络中,防火墙、交换机和路由器通常是网络安全的重要组成部分。
以下是一个简单的示例,演示如何配置一个具有防火墙功能的路由器和交换机。
请注意,实际配置可能会根据您的网络架构和设备型号而有所不同。
设备列表:路由器:使用Cisco设备作为示例,实际上可以是其他厂商的路由器。
路由器IP地址:192.168.1.1交换机:同样,使用Cisco设备作为示例。
交换机IP地址:192.168.1.2防火墙规则:允许内部网络向外部网络发出的通信。
阻止外部网络对内部网络的未经请求的通信。
配置示例:1. 配置路由器:Router(config)# interface GigabitEthernet0/0Router(config-if)# ip address 192.168.1.1 255.255.255.0Router(config-if)# no shutdownRouter(config)# interface GigabitEthernet0/1Router(config-if)# ip address [外部IP地址] [外部子网掩码]Router(config-if)# no shutdownRouter(config)# ip route 0.0.0.0 0.0.0.0 [外部网关]2. 配置防火墙规则:Router(config)# access-list 101 permit ip 192.168.1.0 0.0.0.255 anyRouter(config)# access-list 101 deny ip any 192.168.1.0 0.0.0.255Router(config)# access-list 101 permit ip any anyRouter(config)# interface GigabitEthernet0/1Router(config-if)# ip access-group 101 in3. 配置交换机:Switch(config)# interface Vlan1Switch(config-if)# ip address 192.168.1.2 255.255.255.0Switch(config-if)# no shutdown配置说明:路由器通过两个接口连接内部网络(192.168.1.0/24)和外部网络。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Current configuration : 6061 bytes ! version 12.1 no service pad service timestamps debug uptime service timestamps log uptime no service password-encryption service compress-config ! hostname core_switch ! enable secret 5 $1$21p4$rcisbziyY7iFWx0w7jm6d. enable password kindy !
成都互联神州网络技术培训中心 成都思科华为网络技术论坛
! ip classless ip route 0.0.0.0 0.0.0.0 172.16.1.1 no ip http server ! ! ! line con 0 password ****** login stopbits 1 line vty 0 4 password ****** logi中心 成都思科华为网络技术论坛
switchport mode trunk ! interface GigabitEthernet2/4 description To PGZ switchport trunk encapsulation dot1q switchport mode trunk ! interface GigabitEthernet2/5 description To WLZ switchport trunk encapsulation dot1q switchport mode trunk ! interface GigabitEthernet2/6 switchport trunk encapsulation dot1q switchport mode trunk ! interface GigabitEthernet3/1 description To BACK_24 switchport trunk encapsulation dot1q switchport mode trunk ! interface GigabitEthernet3/2 switchport trunk encapsulation dot1q switchport mode trunk ! interface GigabitEthernet3/3
成都互联神州网络技术培训中心 成都思科华为网络技术论坛
vtp mode transparent ip subnet-zero ! spanning-tree extend system-id ! ! vlan 2 name vlan2 ! interface GigabitEthernet1/1 ! interface GigabitEthernet1/2 ! interface GigabitEthernet2/1 description To ZXC switchport trunk encapsulation dot1q switchport mode trunk ! interface GigabitEthernet2/2 description To HYS-310 switchport trunk encapsulation dot1q switchport mode trunk ! interface GigabitEthernet2/3 description To HYS-303 switchport trunk encapsulation dot1q
成都互联神州网络技术培训中心 成都思科华为网络技术论坛
交换机配置:三层核心+防火墙
三层的出口连接防火墙的内口 三层核心交换机最好别用 VLAN1 连接防火墙内口。可能会因为 IP 重定向问题导致内
网访问外网速度奇慢!! 具体事例及解决办法如下: 某企业网核心为 4506,接入基本为 2950 系列。核心有一块 X 4548 GB&nbs p;-RJ 业务板, 其中 48 口上联到防火墙,其他下联到客户端。客户端网关指向核心交换机,上网速度奇慢。 指向防火墙则速度正常,防火墙地址为 172.16.1.1 核心配置如下:
成都互联神州网络技术培训中心 成都思科华为网络技术论坛
! interface GigabitEthernet3/4 ! interface GigabitEthernet3/5 ! interface GigabitEthernet3/6 ! interface GigabitEthernet4/1 switchport trunk encapsulation dot1q switchport mode trunk ! .... .... .... ! interface GigabitEthernet4/47 switchport trunk encapsulation dot1q switchport mode trunk ! interface GigabitEthernet4/48 ! interface Vlan1 ip address 172.16.1.121 255.255.255.0 ! interface Vlan2 ip address 172.16.2.1 255.255.255.0
-------------------------------------------因为上面的配置是把防火墙的内口直接接如了三层核心的 VLAN1 内,所以出现访问外网速度 奇慢的现象。。 解决办法如下: 1、关闭 VLAN 1 的重定向功能 int vlan 1 no ip redirects 2、将防火墙的内网线接如核心的其他 VLAN