思科双核心交换机双出口防火墙配置案例

原创 已于 2023-02-27 17:14:06 修改 · 5.1k 阅读 · 30 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络协议 #tcp/ip

于 2023-02-23 18:54:57 首次发布

拓扑图如下:

一、组网设计:

该网络采用典型的三层结构:接入层,汇聚层,核心层。为了实现企业高速互联,核心由两个核心节点组成,核心之间采用链路聚合的方式以获得更高的传输效率跟冗余性。核心与防火墙之间采用SLA端口检测功能的方式实现利用ping包检测ISP端口是否通讯使用静态浮动路由实现出口自动切换出口路由的结构保证了网络的可靠性跟网络稳定性。

二、组网中需要用到的网络技术:

1、VLAN:虚拟局域网:用于一个物理LAN划分成多个不同逻辑广播域

2、链路聚合:用于将多个端口绑定在一起,提高带宽,提高可靠性

3、OSPF:开放式最短路径优先:基于链路状态,用于给路由器之间交换自身的路由表

4、路由引入:用于在不同的路由协议之间交换路由

5、NAT:网络地址转换,用于实现私有地址转换成公网地址,以供内部网络访问互联网

6、SLA:端口检测功能,让核心交换机自动切换出口

7、RSTP:快速生成树协议:用于消除环路+链路备份

三、配置过程 注:一下只展示重要配置信息

1.vpc的配置 6台均一样

VPCS> ip dhcp -x 释放ip地址

VPCS> ip dhcp -r DHCP获取IP地址

DDORA IP 172.21.10.2/24 GW 172.21.10.1

VPCS> show ip 检查IP地址

NAME : VPCS[1]

IP/MASK : 172.21.10.2/24

GATEWAY : 172.21.10.1

DNS :

DHCP SERVER : 172.21.10.20

DHCP LEASE : 86334, 86400/43200/75600

MAC : 00:50:79:66:68:01

LPORT : 20000

RHOST:PORT : 127.0.0.1:30000

MTU : 1500

2.接入层交换机配置 三台均一样

!

spanning-tree mode pvst 开启生成树

spanning-tree extend system-id

!

interface Ethernet0/0 pc接入端口配置accsee模式,并将端口划入vlan10中

switchport access vlan 10

switchport mode access

!

interface Ethernet0/1

switchport access vlan 20

switchport mode access

!

interface Ethernet0/2 与核心交换机连接端口采用802.1q封装 trunk模式允许所有vlan通过

switchport trunk encapsulation dot1q

switchport mode trunk

!

interface Ethernet0/3

switchport trunk encapsulation dot1q

switchport mode trunk

3.核心交换机SW10的配置

!

spanning-tree mode rapid-pvst 开启生成树

spanning-tree extend system-id

spanning-tree backbonefast

spanning-tree vlan 10,20,30,40,50,60 priority 4096 给所有vlan开启生成树配置优先级高于sw13上的vlan

!

!

track 10 ip sla 1 reachability 进程track10关联sla 1

!

!

!

interface Port-channel10 端口聚合

switchport trunk encapsulation dot1q 封装802.1q模式trunk允许所有vlan通过

switchport mode trunk

!

interface Ethernet0/0

switchport trunk encapsulation dot1q

switchport mode trunk

!

interface Ethernet0/1

switchport trunk encapsulation dot1q

switchport mode trunk

!

interface Ethernet0/2

switchport trunk encapsulation dot1q

switchport mode trunk

!

interface Ethernet0/3 端口聚合组10挂接到物理端口 模式主动协商

channel-group 10 mode active

!

interface Ethernet1/0

channel-group 10 mode active

!

interface Ethernet1/1 上联防火墙端口配置ip

no switchport

ip address 172.21.50.2 255.255.255.0

!

interface Ethernet1/2

!

interface Ethernet1/3

!

interface Vlan10 给vlan配置ip地址

ip address 172.21.10.1 255.255.255.0

ip helper-address 172.21.10.20 dhcp中继指定dhcp server的IP地址在sw11上

!

interface Vlan10 给vlan配置ip地址

ip address 172.21.10.1 255.255.255.0

ip helper-address 172.21.10.20 dhcp中继指定dhcp server的IP地址在sw11上

standby 1 ip 172.21.10.10 VRRP配置虚拟网关ip

standby 1 timers 30 38

standby 1 priority 245 VRRP 优先级245 (越高越优先)

standby 1 preempt 开启VRRP抢占功能

standby 1 track 10 decrement 10 检测到进程10断开,此vlan优先级减少10

!

interface Vlan20

ip address 172.21.20.1 255.255.255.0

ip helper-address 172.21.20.20

standby 2 ip 172.21.20.10

standby 2 timers 30 38

standby 2 priority 245

standby 2 preempt

standby 2 track 10 decrement 10

!

interface Vlan30

ip address 172.21.30.1 255.255.255.0

ip helper-address 172.21.30.20

standby 3 ip 172.21.30.10

standby 3 timers 30 38

standby 3 priority 245

standby 3 preempt

standby 3 track 10 decrement 10

!

interface Vlan40

ip address 172.21.40.1 255.255.255.0

ip helper-address 172.21.40.20

standby 4 ip 172.21.40.10

standby 4 timers 30 38

standby 4 priority 245

standby 4 preempt

standby 4 track 10 decrement 10

router ospf 200 启用ospf协议,宣告sw10自己的网段

router-id 10.10.10.10

redistribute connected subnets

network 172.21.10.0 0.0.0.255 area 0

network 172.21.20.0 0.0.0.255 area 0

network 172.21.30.0 0.0.0.255 area 0

network 172.21.40.0 0.0.0.255 area 0

network 172.21.50.0 0.0.0.255 area 0

default-information originate metric-type 1

!

ip forward-protocol nd

!

ip http server

ip http secure-server

!

ip route 0.0.0.0 0.0.0.0 172.21.50.1 track 10 去往ASA12的默认路由关联track10 (track10在上面已经关联了sla进程1)

ip route 0.0.0.0 0.0.0.0 172.21.60.1 10 去往ASA13的默认路由 优先级为10 默认 为1 越大越优先

!

!

ip sla 1 启用sla,进程为1

icmp-echo 50.1.1.1 source-ip 172.21.50.2 使用端口e1/1的IP地址去ping 运营商ISP的ip是否 正常 (如果运营商禁pin可改ping防火墙的inside口)

frequency 5 每5秒ping一次

ip sla schedule 1 life forever start-time now 从现在开始sla 1开始永远生效

!

!

4.核心交换机SW11的配置

注意:同sw10,多了DHCP的配置(dhcp默认网关一定要指向VRRP虚拟的vlan IP )

!

!

!

ip dhcp pool vlan10

network 172.21.10.0 255.255.255.0

default-router 172.21.10.10 默认网关指向VRRP虚拟的ip,不然sw10关机了,pc无法与网关通讯

!

ip dhcp pool vlan20

network 172.21.20.0 255.255.255.0

default-router 172.21.20.10 默认网关指向VRRP虚拟的ip,不然sw10关机了,pc无法与网关通讯

!

ip dhcp pool vlan30

network 172.21.30.0 255.255.255.0

default-router 172.21.30.10 默认网关指向VRRP虚拟的ip,不然sw10关机了,pc无法与网关通讯

!

ip dhcp pool vlan40

network 172.21.40.0 255.255.255.0

default-router 172.21.40.10 默认网关指向VRRP虚拟的ip,不然sw10关机了,pc无法与网关通讯

!

!

ip cef

no ipv6 cef

!

!

!

spanning-tree mode rapid-pvst

spanning-tree extend system-id

spanning-tree vlan 10,20,30,40,50,60 priority 0

!

!

track 10 ip sla 1 reachability

!

!

!

!

!

!

!

!

!

!

!

!

!

!

interface Port-channel10

switchport trunk encapsulation dot1q

switchport mode trunk

!

interface Ethernet0/0

switchport trunk encapsulation dot1q

switchport mode trunk

!

interface Ethernet0/1

switchport trunk encapsulation dot1q

switchport mode trunk

!

interface Ethernet0/2

switchport trunk encapsulation dot1q

switchport mode trunk

!

interface Ethernet0/3

channel-group 10 mode active

!

interface Ethernet1/0

channel-group 10 mode active

!

interface Ethernet1/1

no switchport

ip address 172.21.60.20 255.255.255.0

!

interface Ethernet1/2

!

interface Ethernet1/3

!

interface Vlan10

ip address 172.21.10.20 255.255.255.0

standby 0 preempt

standby 1 ip 172.21.10.10

standby 1 timers 30 38

standby 1 priority 240 注:sw11作为备用交换机,优先级要低于sw10的245优先级

standby 1 preempt 也可以通过更改优先级实现不同vlan不同出口。

standby 1 track 10 decrement 10

!

interface Vlan20

ip address 172.21.20.20 255.255.255.0

standby 2 ip 172.21.20.10

standby 2 timers 30 38

standby 2 priority 240 注:sw11作为备用交换机,优先级要低于sw10的245优先级

standby 2 preempt 也可以通过更改优先级实现不同vlan不同出口。

standby 2 track 10 decrement 10

!

interface Vlan30

ip address 172.21.30.20 255.255.255.0

standby 3 ip 172.21.30.10

standby 3 timers 30 38

standby 3 priority 240 注:sw11作为备用交换机,优先级要低于sw10的245优先级

standby 3 preempt 也可以通过更改优先级实现不同vlan不同出口。

standby 3 track 10 decrement 10

!

interface Vlan40

ip address 172.21.40.20 255.255.255.0

standby 4 ip 172.21.40.10

standby 4 timers 30 38

standby 4 priority 240 注:sw11作为备用交换机,优先级要低于sw10的245优先级

standby 4 preempt 也可以通过更改优先级实现不同vlan不同出口。

standby 4 track 10 decrement 10

!

router ospf 200 启用ospf协议,宣告sw11自己的网段

router-id 11.11.11.11

redistribute connected subnets

network 172.21.10.0 0.0.0.255 area 0

network 172.21.20.0 0.0.0.255 area 0

network 172.21.30.0 0.0.0.255 area 0

network 172.21.40.0 0.0.0.255 area 0

network 172.21.60.0 0.0.0.255 area 0

default-information originate metric-type 1

!

ip forward-protocol nd

!

ip http server

ip http secure-server

!

ip route 0.0.0.0 0.0.0.0 172.21.60.1 track 1

ip route 0.0.0.0 0.0.0.0 172.21.50.1 10

ip ssh server algorithm encryption aes128-ctr aes192-ctr aes256-ctr

ip ssh client algorithm encryption aes128-ctr aes192-ctr aes256-ctr

!

!

ip sla 1

icmp-echo 172.21.60.1 source-ip 172.21.60.20

frequency 5

ip sla schedule 1 life forever start-time now

!

5.ASAv12的配置 无用信息已删除

!

interface GigabitEthernet0/0

nameif inside

security-level 100

ip address 172.21.50.1 255.255.255.0

!

interface GigabitEthernet0/1

nameif outside

security-level 0

ip address 50.1.1.2 255.255.255.0

!

interface GigabitEthernet0/2

nameif outside2

security-level 0

ip address 60.1.1.2 255.255.255.0

!

!

access-list 100 extended permit ip any any 思科默认禁止所有,建立ACL进程100 允许所有 ip执行所有动作

nat (inside,outside) source dynamic any interface 地址转换

nat (inside,outside2) source dynamic any interface

access-group 100 in interface outside ACL挂接到outside出口上

access-group 100 in interface outside2

route outside 0.0.0.0 0.0.0.0 50.1.1.1 1 track 1 去往运营商的默认路由,关联track进程1

route outside2 0.0.0.0 0.0.0.0 60.1.1.1 10 track 2 去往运营商的默认路由,关联track进程2

route inside 172.21.0.0 255.255.0.0 172.21.50.2 1 去往内网的路由

sla monitor 1 sla检测进程1

type echo protocol ipIcmpEcho 50.1.1.1 interface outside 使用outside检测对端ip

frequency 5

sla monitor schedule 1 life forever start-time now

sla monitor 2

type echo protocol ipIcmpEcho 60.1.1.1 interface outside2 使用outside2检测对端ip

frequency 5

sla monitor schedule 2 life forever start-time now

track 1 rtr 1 reachability track进程1关联sla进程1

!

track 2 rtr 2 reachability track进程2关联sla进程2

6.ASAv13的配置

!

interface GigabitEthernet0/0

nameif inside

security-level 100

ip address 172.21.60.1 255.255.255.0

!

interface GigabitEthernet0/1

nameif outside

security-level 0

ip address 70.1.1.2 255.255.255.0

!

interface GigabitEthernet0/2

nameif outside2

security-level 0

ip address 80.1.1.2 255.255.255.0

!

nat (inside,outside) source dynamic any interface

nat (inside,outside2) source dynamic any interface

access-group 100 in interface outside

access-group 100 in interface outside2

route outside 0.0.0.0 0.0.0.0 70.1.1.1 1 track 1

route outside2 0.0.0.0 0.0.0.0 80.1.1.1 10 track 2

route inside 172.21.0.0 255.255.0.0 172.21.60.20 1

sla monitor 1

type echo protocol ipIcmpEcho 70.1.1.1 interface outside

frequency 5

sla monitor schedule 1 life forever start-time now

sla monitor 2

type echo protocol ipIcmpEcho 80.1.1.1 interface outside2

frequency 5

sla monitor schedule 2 life forever start-time now

!

track 1 rtr 1 reachability

!

track 2 rtr 2 reachability

以上已完成了企业内部的所有配置,下面是模拟运营商使用ospf协议。BGP我不会,所以..........................

  1. R14的配置

interface Ethernet0/0

ip address 50.1.1.1 255.255.255.0

duplex auto

!

interface Ethernet0/1

ip address 1.1.1.2 255.255.255.0

duplex auto

!

!

router ospf 100

router-id 14.14.14.14

network 1.1.1.0 0.0.0.255 area 0 OSPF宣告自己的网段,不包含内部防火墙的网段。

ip route 0.0.0.0 0.0.0.0 1.1.1.1

8.R15的配置信息

!

interface Ethernet0/0

ip address 70.1.1.1 255.255.255.0

duplex auto

!

interface Ethernet0/1

ip address 80.1.1.2 255.255.255.0

duplex auto

!

router ospf 100 OSPF宣告自己所有网段

router-id 15.15.15.15

network 70.1.1.0 0.0.0.255 area 0

network 80.1.1.0 0.0.0.255 area 0

R14-R15-R16-R17配置基本相同,不一一介绍,按拓扑图ip更改即可

9.R18的配置 1个环回口

!

!

interface Loopback0

ip address 10.10.10.10 255.255.255.255

!

interface Ethernet0/0

ip address 1.1.1.1 255.255.255.0

duplex auto

!

interface Ethernet0/1

ip address 2.2.2.1 255.255.255.0

duplex auto

!

interface Ethernet0/2

ip address 3.3.3.1 255.255.255.0

duplex auto

!

interface Ethernet0/3

ip address 4.4.4.1 255.255.255.0

duplex auto

!

interface Ethernet1/0

ip address 5.5.5.1 255.255.255.0

duplex auto

!

router ospf 100

router-id 18.18.18.18

redistribute connected subnets OSPF路由重分布?不太明白

network 1.1.1.0 0.0.0.255 area 0

network 2.2.2.0 0.0.0.255 area 0

network 3.3.3.0 0.0.0.255 area 0

network 4.4.4.0 0.0.0.255 area 0

network 5.5.5.0 0.0.0.255 area 0

network 10.10.10.0 0.0.0.255 area 0

!

ip route 50.1.1.0 255.255.255.0 1.1.1.2 由于asa没有跑ospf,所以我们需要指定去往这些网段的路径

ip route 60.1.1.0 255.255.255.0 2.2.2.2

ip route 70.1.1.0 255.255.255.0 3.3.3.2

ip route 80.1.1.0 255.255.255.0 4.4.4.2

ip route 90.1.1.0 255.255.255.0 5.5.5.2

到此实验完成啦,下面是测试阶段

四、测试阶段

  1. 使用VPC1去ping R18的环回口10.10.10.10 下面是R18收到来自ASA12的信息,源IP50.1.1.2

2.将运营商R14关机,由于防火墙ASA12有sla检测,出口自动切换到R15上,源ip60.1.1.2

3.将核心交换机sw10直接关机。可以看到pc丢包大概15秒后恢复,源IP变成ASA13上的70.1.1.1

总结:

(1)若需要在三层交换机上配置DHCP服务器,注意只能在其中一台上配置,不能两个都配置。若需要提高自动获取IP功能,那么可以配一台单独服务器,用做DHCP服务器。

(2)上述实验中,vlan10~vlan40的活跃路由器都是SW10。在现实中,建议一半vlan的活跃路由器选择SW10,一半选中SW11,主要是为了连接外网时分摊流量。

新手小白上路,欢迎关注我私聊探讨网络问题,文中不正确的地方欢迎评论修改。祝大家工作蒸蒸日上!!!!!!!!妹子钞票双丰收!!!!!!!!!

jake8168
关注
思科VPC配置
qq_44940837的博客
03-30 1775
思科跨设备链路聚合技术(VPC配置案例
企业核心交换机选购秘籍:四要素把关,让你的网络稳如泰山!
网络技术联盟站
09-05 356
今天咱们来聊聊企业网络里的“心脏”——核心交换机。作为企业IT架构的核心,它负责数据的高速交换和路由,选对一台,能让整个网络高效运转;选错了,可能带来频繁故障和升级烦恼。考虑到国内企业大多在升级改造现有网络,我建议大家从产品性能、可扩展性、可靠性、安全性这四个要素入手考察。这不是空谈,我结合了多年从业经验和厂商案例,帮你深度剖析。文章有点长,但干货满满,读完绝对值!先说说为什么核心交换机这么重要。它不像接入层交换机那么简单,而是企业网的“中枢”,处理海量数据转发。
双核心交换机实现企业高可用网,应用到的技术MSTP、VRRP、DHCP
qq_44845384的博客
11-03 5479
双核心交换机实现企业高可用网,应用到的技术MSTP、VRRP、DHCP动态主机获取地址
园区出口防火墙如何配置
qq_39980997的博客
10-10 740
本文提供了园区出口防火墙配置的详细指南,以华为/华三设备为例,分为三个关键部分:基础配置(接口划分、IP设置、路由和管理)、核心配置(安全策略和NAT实现内网访问互联网)以及可选高级配置(DHCP服务和精细化安全策略)。通过命令行示例展示了如何划分安全区域、配置接口IP、设置默认路由、启用远程管理,并详细说明了安全策略和NAT规则的配置方法。文章还包含DHCP服务配置和恶意IP拦截等增强安全性的可选方案,帮助管理员构建安全稳定的园区网络出口。
华为防火墙企业双出口专线,配置策略路由实现多个ISP出接口的智能选路和双向NAT
热门推荐
m0_60444349的博客
11-06 2万+
一、组网需求 1:企业有二条专线接入,当其中一条出现故障时,自动切换至另外一条,保障网络访问正常。 (a)要求PC1从dx专线(1.1.1.2/24)访问外网PC,PC2从yd专线(2.2.2.2/24)访问外网PC。 (b)当dx或yd 任意一条出口线路出现故障时,所有的流量访问都自动切换到另外一条正常的线路上,保障出口流量正常。 2:http SERVER服务器放置在TRUST区域,通过NAT发布到外网。要求外网PC能访问此服务器,同时内网也可以通过公网IP访问企业内部的http服务器。F..
思科防火墙ASA配置案例
weixin_33812433的博客
01-13 1231
思科防火墙ASA配置案例 拓扑图 要求:通过思科防火墙ASA使用内网用户可以访问外网与DMZ中的服务器,DMZ中的服务器可以发布到网络中,供外网用户访问 一.思科模拟防火墙的使用 因为我们没有真实的设备,所以我们使用一个使用linux内核的虚拟系统来模拟思科防火墙,模拟防火墙可以自己下载,在使用时我们还要使用一个软...
CISCO 双出口配置实例
12-04
CISCO路由器双广域网出口配置实例.!!!
思科配置双核心双路由双出口园区网详细命令
07-05
思科配置双核心双路由双出口园区网详细命令 ...我们已经配置思科双核心双路由双出口园区网的详细命令。这个配置涵盖了 VLAN、以太网通道、生成树 STP、热备份路由 HSRP、路由接口、 OSPF 和 NAT 等方面的配置
Packet Tracer思科企业组网实例
立白君的博客
04-09 1万+
思科双核心组网架构 拓扑图如下 1.组网设计: 该网络采用典型的三层结构:接入层,汇聚层,核心层。为了实现企业高速互联,核心由两个核心节点组成,核心之间采用链路聚合的方式以获得更高的传输效率跟冗余性。汇聚跟核心之间采用RSTP+HSRP联动的方式实现双路到核心这样的结构保证了网络的可靠性跟网络稳定性。 2.组网中需要用到的网络技术: 1、DHCP:动态主机协议,用于实现IP地址的自动分配 2、DHCP中继:用于跨路由器实现IP地址分配 3、VLAN:虚拟局域网:用于一个物理LAN划分成多个不同逻辑广播域
ensp双核心加无线 企业网案例
03-30
双核心交换机间部署$OSPF$协议,宣告直连网段: ```cisco router id 1.1.1.1 ospf 1 area 0 network 192.168.10.0 0.0.0.255 network 10.1.1.0 0.0.0.255 ``` ### 典型拓扑结构 ``` [接入层]--(堆叠)--...
思科FWSM防火墙实战指南
最新发布
11-23
本书对AAA的实现细节和配置过程进行了深入探讨,并提供了实际配置案例。 应用层检测是FWSM的一大特色,它能够对应用层的流量进行检测和控制,例如对HTTP、FTP等应用协议进行过滤,确保只有符合安全策略的应用流量...
CiscoASA防火墙图文配置实例.
12-26
非常实用,没有接触过的的可以一看,试用于Cisco ASA防火墙
思科双核心配置
08-07
思科双核心配置,可以参考看一下,写的比较不错!推荐初学者
思科双核心配置2
08-07
核心交换机配置信息,适合初学者,可以作为参考看一下!
Cisco_ASA防火墙图文配置实例
05-14
Cisco_ASA防火墙图文配置实例 peiz
思科路由器交换机防火墙配置手详解
06-20
来自官方的最全的思科设备配置手册. 思科路由器/交换机/防火墙配置手详解
思科pix防火墙配置实例大全
weixin_34037515的博客
12-07 409
思科pix防火墙配置实例大全 在配置PIX防火墙之前,先来介绍一下防火墙的物理特性。防火墙通常具有至少3个接口,但许多早期的防火墙只具有2个接口;当使用具有3个接口的防火墙时,就至少产生了3个网络,描述如下:内部区域(内网):内部区域通常就是指企业内部网络或者是企业内部网络的一部分。它是互连网络的信任区域,即受到了防火墙的保护。 外部区域(外网):外部区域通...
Cisco PIX防火墙配置实例
weixin_34029949的博客
12-10 229
  硬件防火墙,是网络间的墙,防止非法侵入,过滤信息等,Cisco PIX防火墙操作系统跟Cisco IOS相似,都是用命令行的方式来进行操作。用配置线从电脑的COM2连到防火墙的console口,进入PIX操作系统采用windows系统里的“超级终端”,通讯参数设置为默认。初始使用有一个初始化过程,主要设置:Date(日期)、time(时间)、hostname(主机名称)、...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值