1、某某某网络工程规划方案内蒙古某某某网络集成公司2011年4月2日目 录第一章 概述31.1工程建设背景31.2 网 络建设原则4第二章 总体网络设计62.1网络方案描述62.2 完全的分布式的处理方式92.3对于新特性的业务支持力度92.4基于复杂流的检测和控制102.5组播业务10第三章 解决方案203.1 新建网络拓扑结构113.2 内蒙古商贸职业学院新建网络分析113.2.1多出口的需求113.2.2用户管理的需求123.2.3安全管理的需求123.3 设备命名规则133.4 接口描述规则133.5 IP地址规划133.5.1设备管理地址(Loopback地址)143.5.2 互联接口地
2、址143.6 VLAN规划153.7 路由协议规划163.7.1 静态路由163.8 Qos的规划163.9 网络管理173.10 网络安全173.11 本期工程安全建议18第四章 配置举例20第一章 概述1.1工程建设背景 随着网络技术的发展,教育网,特别是大学校园网络发生了很大的变化。校园网不再局限于提供简单的上网服务和email等网络应用,而是成为大学信息化建设和教学、科研改革的最重要支撑之一。从全国看,高校信息化建设的重点是数字化校园建设。但是数字化校园建设是一项艰巨、长期的工作,要求我们能够从学校实际情况出发,结合自身特点,科学的制定方案,分阶段实施。就当前的工作看,建设一个高性能的
3、校园网是最主要的工作。校园网的作用体现在如下几个方面: 1、校园网能促进教师和学生尽快提高应用信息技术的水平;信息技术学科的内容是发展的,它是一门应用型学科,因此,为了让学生学到实用的知识,必须给他们提供一个实践的环境,这个环境离不开校园网。 2、校园网为教师提供了一种先进的辅助教学工具、提供了丰富的资源库,所以校园网是学校进行教学改革、推行素质教育的一种必不可少的工具。 3、校园网是学校现代化管理的基础,深入、全面的学校信息管理系统必须建立在校园网上。 4、校园网提供了学校与外界交流的窗口,学校应将校园网与互联网联接,这也是学校信息化的要求,做到了这一步,通过校园网去了解世界、在互联网上树立
4、学校的形象都是很容易的。 教育即未来,作为国家最重要的战略工程,如何应用信息技术改造我们传统的教学和管理手段;如何加深学生对于信息化和信息技术的理解与了解;如何造就同时具备传统和信息双重文化的一代新人,已成为教育界当前最为紧迫的任务之一。信息技术的应用,势必极大地推进教育手段和教育内容的革命性变革。我们对此深信不疑,并将全身心地为之努力。1.2 网络建设原则早期的高校校园网主要是共用内部教育系统主机资源,共享简单数据库,多以二层交换为主,很少有三层应用,存在安全、可管理性较差、无业务增值能力 等方面的问题。现在内蒙古商贸学院校园网建设要实现内部全方位的数据共享,应用三层交换,提供全面的QoS保
5、障服务,使网络安全可靠,从而实现教育管理、多媒体教学、图书馆管理自动化,而且还要通过Internet实现远程教学,提供可增值可管理的业务,必须具备高性能、高安全性、高可靠性,可管理、可增值特性以及开放性、兼容性、可扩展性。基于对内蒙古商贸学院校园网业务需求的深入理解,结合自身产品和技术特点,华为3Com公司推出了了完善的内蒙古商贸学院校园网解决方案,为内蒙古商贸学院提供“可管理、可增值、可持续发展”的精品网络。内蒙古商贸学院网络建设遵循以下基本原则:1、高带宽内蒙古商贸学院网络是一个庞大而且复杂的网络,为了保障全网的高速转发,校园网全网的组网设计的无瓶颈性,要求方案设计的阶段就要充分考虑到,同
6、时要求核心交换机具有高性能、高带宽的特,整网的核心交换要求能够提供无瓶颈的数据交换。2、可增值性内蒙古商贸学院校园网络的建设、使用和维护需要投入大量的人力、物力,因此网络的增值性是网络持续发展基础。所以在建设时要充分考虑业务的扩展能力,能针对不同的用户需求提供丰富的宽带增值业务,使网络具有自我造血机制,实现以网养网。3、可扩充性考虑到内蒙古商贸学院用户数量和业务种类发展的不确定性,内蒙古商贸学院校园网络要建设成完整统一、组网灵活、易扩充的弹性网络平台,能够随着需求变化,充分留有扩充余地。4、开放性技术选择必须符合相关国际标准及国内标准,避免个别厂家的私有标准或内部协议,确保网络的开放性和互连互
7、通,满足信息准确、安全、可靠、优良交换传送的需要;开放的接口,支持良好的维护、测量和管理手段,提供网络统一实时监控的遥测、遥控的信息处理功能,实现网络设备的统一管理。 5、安全可靠性设计应充分考虑整个网络的稳定性,支持网络节点的备份和线路保护,提供网络安全防范措施。第二章 总体网络设计2.1网络方案描述内蒙古商贸学院校园核心层解决方案总体设计以高性能、高可靠性、高安全性、良好的可扩展性、可管理性和统一的网管系统及可靠组播为原则,以及考虑到技术的先进性、成熟性,并采用模块化的设计方法。组网图如下所示:本次方案设计见下文:1、核心层本次组网采用1台Quidway S9512万兆交换机作为校区核心设
8、备。图书馆与教学楼、办公楼各采用一个汇聚交换机S5624P作为区域的汇聚交换机,在实际的应用的过程当中建议能够实现网络的互联以及高带宽,因此在图书馆、教学楼、办公楼与核心交换机S9512之间可以采用GE方式进行互联,后期考虑到学生宿舍区、住宅区的上网流量较大可以在学生宿舍区的核心交换机与中心交换机之间通过GE或是升级万兆的方式进行互联以便于进一步扩大骨干带宽。Quidway S9512万兆交换机具备1.8T的背板交换能力,最大可支持240/576个GE或20/48个10GE。如图所示,初期,S9512与S5624P之间可以通过千兆的方式实现互联,随着网络应用的增加可在将来升级成万兆。另外,由于
9、S8512具备12个业务槽位,并且具有良好的扩展性,因此我们可以根据校园网的发展增加相应的接口板和交换引擎,或根据需要增加WEBSWITCH、IDS等业务板持续的保证核心层的高性能。2、楼层汇聚层 由于教学楼、办公楼、图书馆存在密集度高的大量用户,为了保证数据传输和交换的效率,现在此类区域设备楼层汇聚层。此类设备不仅分担了片区汇聚层设备的部分压力,同时提高了网络的安全性。根据实际情况楼层汇聚设备分别采用Quidway S624PWR。Quidway S5624PWR提供24个千兆接口,其交换容量192G,包转发率66Mpps。S5624PWR系列交换机可实现强大的三层过滤功能,可支持基于IP地
10、址的ACL列表以及相关的ACL功能,可以实现网络的边缘安全控制功能,使得安全从最底层得到有效的控制。 3、接入层 一个高性能的校园网除了核心、汇聚设备性能要求强劲之外,最重要的一环是数量最大的接入交换机。接入交换机不仅要求保证线速的交换,同时要提供良好的用户认证、管理和安全控制等功能,保证校园网管理策略的一致性。本次组网采用Quidway E126智能交换机,作为主要的接入交换机。产品具体性能指标如下:E126智能交换机交换机系统交换容量12.8G,包转发能力6.55Mpps;Quidway E126系列交换机构建了一个强调安全性和可靠性的大学接入网络。通过用户上网身份认证,费用统计,防MAC
11、地址、IP地址盗用,带宽控制,ACL管理,流分类等功能完成校园网的管理和运营,并且配合强大的处理能力,满足校园网流量大,数据交换频繁,业务开展较多的特点。 4、防火墙 实施校园网安全保证需要所有的设备都能够发挥应有的作用。而所有设备之中,防火墙起到了非常重要的保护校内资源的作用。本次组网采用Juniper SSG 550千兆硬件防火墙。Juniper SSG 550是新一代硬件高速状态防火墙,不仅支持丰富协议的状态检测及地址转换功能,而且具备强大的攻击防范能力,提供静态和动态黑名单过滤,可提供丰富的统计分析功能和分级分类的详细日志。Juniper SSG 550还可支持QOS特性、VPN等特性
12、,提供完善的组网应用解决方案。 5、出口路由器 出口路由器考虑到整个网络是一个庞大的局域网系统,建议采用华为3Com NE20作为整个网络的出口,华为3Com NE20采用NPASIC的设计思想,可支持IPv6、MPLS VPN等VPN特性,同时可以实现网络的安全性,可支持GE、FE接口,其包转发率可达4.5Mpps完全可以承担整个校园网的出口。 6、用户认证、计费管理: 出口处采用华为3Com专业用户认证计费设备iSpath1000作为全网出口计费设备,iSpath1000具有强大的认证功能,可以实现按流量计费、支持多种计费策略,同时可以实现监控全网的出口流量,同时其旁挂式的方式大大提高了网
13、络的安全性,避免了在出口产生流量瓶颈的问题, 7、网管平台 为提高网络管理的效率,减轻网络维护的压力,本次组网采用Quidview网管系统进行全网设备的统一管理。Quidview网络管理软件是华为3Com公司对数据通信设备如路由器、交换机等进行统一管理和维护的网管产品,位于网络解决方案的管理层,能够实现网元管理和网络管理的功能。Quidview网络管理软件基于灵活的组件化结构,包括网元管理平台、广域网管理系统、局域网管理系统、资源管理系统等,用户可以根据自己的管理需要和网络情况灵活选择自己需要的组件,真正实现“按需建构”。2.2 完全的分布式的处理方式 S9512为用户提供完全的分布式的处理方
14、式,内蒙古商贸学院的校园网内部的数据量是非常大的,因此主交换机是否能够做到线速关系到整个网络的是否会发生拥塞。华为3ComS9512背板交换容量1.8T够做到所有GE接口的双向的线速,华为3Com公司的S9512的性能指标是经过完整的测试,而业界厂家在指标宣称上面往往与给最终提供给用户的不一致。而用户又由于测试仪器的限制无法确认实际配置的性能,这一点在华为3Com公司是绝对不会出现的。针对用户要求在实际的组网方面采用户为的12GE接口板提供高速的双向的线速的速率,完全不会产生带宽瓶颈。 再次,分布式的转发,对于S9512路由查找是非常有益的补充。因为S9512的路由查找模式为最长匹配。这样就可
15、以避免校园网内外的非法用户利用专门的攻击软件来攻击中心交换机,因为这种攻击是通过不断变换自己的本网断内的IP地址,来不断消耗主控处理板的CPU处理能力,直到彻底使主控处理板的CPU丧失处理能力,整个机器瘫掉。但是S9512是根据最长匹配来查找路由的,是针对网断进行路由的。所以当攻击者进行攻击时,S9512只能造成该接口板的业务能力处理下降,但是对于整机没有多大影响。这是我们选则S9512的作为核心交换的非常重要的原因。2.3对于新特性的业务支持力度 数据通信的技术的发展的迅速的,所以在内蒙古商贸学院的校园网的建设的过程当中应当充分考虑到网络的延续性以及网络对于未来新业务的支持力度,如:IPv6
16、技术,随着Internet网的迅速的发展,目前国内的IP地址的数量越来越不够使用,这就迫使我们需要进一步扩大IPv6的协议的支持,目前清华、北邮、北方交大等高校正在学校内部的部分局域网实验IPv6的技术,再如:MPLS VPN的技术目前好多的运营商都在兴建自己的VPN线路。在内蒙古商贸学院的建网的过程当中希望能够考虑到网络的延续性以及相关的技术的支持性,以便于网络的建设的发展。传统的路由设备在增加新的业务特性的时候,必须通过更换单板等硬件升级的方式来实现,这样对于用户来说,是一笔极大的浪费。华为3Com公司充分考虑到用户的相关的需求,因此NE20的核心的处理芯片是基于可编程的NP处理器开发的,
17、对于新业务MPLS VPN、IPv6等技术均可支持。2.4基于复杂流的检测和控制 由于校园网的应用越来越复杂,所以如何维护内蒙古商贸学院的应用和规范校园网的应用,提高内蒙古商贸学院校园网的安全性和可控制性,S9512/NE20可以根据基于复杂流的分类来检测数据报文的合法性和安全性。S9512/NE20可以检测数据报文中最长128字节的匹配内容,例如S9512会根据预先设定的检测匹配内容如“法轮功”,如果设置了该匹配内容,那么S9512会检测报文流中最长的128个字节内容,如果有匹配的内容就丢弃该流的报文,提供从校园网内部的安全性,维护学校的形象。所以此项功能又是非常必要的。我们这次为内蒙古商贸
18、学院设计方案时已经设计了此项功能的应用。2.5组播业务 Quidway S9512、S5624PWR、E126通过标准的组播协议完成用户的组播管理,并通过HGMP协议将各楼道交换机也纳入到组播实现中。由S5600完成对其下挂的汇聚交换机以及楼道交换机的组播用户进行报文复制和发送。通过这种机制,使得整个网络的流量做到最优,有效的保证了视频点播、网络电视、会议电视、视频游戏等视频业务的开展,通过组播实现的视频业务有: 会议电视:利用网络和数字视像技术实现异地会议的交互传输和控制。 付费视频:按节目收费的视讯节目。 视频点播:交互式电视的一部分,它使用户可以随意选择所需的视讯节目,并可随意地控制节目
19、播出(如快进、快倒、暂停等)。网络教学:使用视频和通讯设备实现一点对多点或点对点的交互式异地远端 第三章 解决方案3.1 新建网络拓扑结构3.2 内蒙古商贸职业学院新建网络分析大学校园网不同于企业园区网,因此在实际的建设过程当中,应当充分考虑到学校内部的教学和科研工作特点、校园网已开展和将要开展的网络业务以及不同用户的要求。总的来说,一个完善的校园网主要有以下要求:3.2.1多出口的需求典型的组网有中国教育和科研网(CERNET)出口和运营商网络出口,因此考虑到实际的网络使用,需要在学校的内部提供不同的路由策略,即用户访问教育网的相关站点,通过CERNET的线路,而访问其他的网站如:新浪网、2
20、63等网站则选择运营商的线路作为出口路由,这要求核心的交换机或出口路由器能够提供策略路由以支持该特性。3.2.2用户管理的需求为确认用户的合法身份,加强网络使用管理,校园网需要采用行之有效的用户认证策略,如802.1x认证,WEB认证等方式。同时,认证方式应该能够配合学校具体的计费、管理策略从而确保校园网管理的有效性和科学性。用户帐号盗用,IP、MAC地址被盗用是校园网常见问题之一。因此我们需要通过账号和IP、MAC、端口绑定来解决这个问题。同时采用此种方式将限制账号的使用区域。多种教学方式并行的需求:随着校园网的信息化的发展,越来越的多教学方式依托于网络给学生提供多种的特色教学模式多媒体教学
21、。为了更好的为学生提供全方面的教学资料,越来越的多学校在自己的内部局域网上面为学生提供多种教学资料,如:多媒体教学课件、典型的考试资料等等提供给学生上网下载使用。VOD 点播业务实现,通过建立VOD视频服务器平台,利用交换机提供的组播功能,为内蒙古商贸职业学院的用户提供优质的视频效果,同时节省用户带宽。3.2.3安全管理的需求校园用户接受新鲜事务的能力非常强,因此校园也成为黑客最多的场所之一,如何保障校园网络的安全成为建网时不得不考虑的问题,目前主要攻击手段有DOS,DDOS等。因此,建网时应对此作出相应的策略病毒泛滥,校园网常见病毒有红码、冲击波等病毒。这些病毒会对网络造成极大的破坏,因此建
22、网时应能对此作出相应的规避,并且设备能够有效地抵御此类的攻击上网日志的需求,主要是配合公安机关保证社会的稳定和校园的安全组播业务的需求,特别是可控组播的需求将随着校园信息化的深入而体现出来。3.3 设备命名规则H3C NE20核心路由器:RNE20H3C S9512核心路由器:S9512H3C S5624PWR核心路由器:S5624PWRJuniper SSG 550核心防火墙:FW550H3C E126接入交换机:E126H3C E152接入交换机:E152H3C S1526接入交换机:E15263.4 接口描述规则详细见附件“工程施工技术文件”3.5 IP地址规划IP地址规划的结果直接影响
23、到网络运行的质量,以下是几点IP地址规划的基本原则:唯一性:一个IP网络中不能有两个主机采用相同的IP地址。即使使用了支持地址重叠的MPLS/VPN技术,也尽量不要规划为相同的地址。连续性:连续地址在层次结构网络中易于进行路径叠合,大大缩减路由表,提高路由算法的效率。扩展性:地址分配在每一层次上都要留有余量,在网络规模扩展时能保证地址叠合所需的连续性。实意性:“望址生义”,好的IP地址规划使每个地址具有实际含义,看到一个地址就可以大至判断出该地址所属的设备。这是IP地址规划中最具技巧型和艺术性的部分。最完美的方式是得出一个IP地址公式,以及一些参数及系数,通过计算得出每一个需要用到的IP地址。
24、对于IP地址的规划,一般可以分为以下几个部分:Loopback地址、设备互联地址、用户地址,下面就对这几个部分进行详细设计。3.5.1设备管理地址(Loopback地址) 三层设备Loopback地址用于路由域中设备标识(OSPF RouterID),同时作为网络管理地址。使用192.168.254.0/24网段,掩码都用32位。设备Loop地址S9512192.168.254.1/32RNe20192.168.254.2/32FW550192.168.254.3/32S5624-1192.168.254.4/32S5624-2192.168.254.5/32S5624-3192.168.25
25、4.6/32S5624-4192.168.254.7/323.5.2 互联接口地址 使用192.168.253.0/24段地址作为三层设备互连地址,掩码30位。设备连接类型地址S9512S5624-1192.168.253.1/30192.168.253.2/30S9512S5624-2192.168.253.5/30192.168.253.6/30S9512S5624-3192.168.253.9/30192.168.253.10/30S9512S5624-4192.168.253.13/30192.168.253.14/30S9512FW550192.168.253.17/30192.16
26、8.253.18/30FW550RNE20192.168.253.21/30192.168.253.22/303.6 VLAN规划VLAN IDVLAN描述用途Ip地址网关10院长(6个)192.168.10.0/2425411基础部192.168.11.0/2425412旅游系192.168.12.0/2425413商务系192.168.13.0/2425414会计系192.168.14.0/2425415工程系192.168.15.0/2425416艺术系192.168.16.0/2425417计算机系192.168.17.0/2425418纪检部192.168.18.0/2425419学
27、工处192.168.19.0/2425420中专继续教育192.168.20.0/2425421后勤管理处192.168.21.0/2425422教科研中心192.168.22.0/2425423党委办公室192.168.23.0/2425424院办192.168.24.0/2425430人事处192.168.30.0/2425440教务处192.168.40.0/2425450财务处192.168.50.0/2425460招生就业处192.168.60.0/2425470图书馆192.168.70.0/2425480组织部192.168.80.0/2425490管理vlan接入交换机的管理地
28、址192.168.90.0/24254100服务器集群服务器集群192.168.100.0/24254110多媒体机房1位于图书馆192.168.110.0/24254120多媒体机房2位于图书馆192.168.120.0/24254130多媒体机房3位于图书馆192.168.130.0/24254140多媒体机房4位于图书馆192.168.140.0/24254150多媒体机房5位于图书馆192.168.150.0/24254160网络实验室位于图书馆192.168.160.0/24254170多媒体机房5位于图书馆192.168.170.0/24254180多媒体机房6位于教学楼六楼192
29、.168.180.0/2425419021个多媒体教室位于教学楼六楼192.168.190.0/24254200以后互连vlan用户三层交换机之间,以及三层交换机和路由器之间的互连。2543.7 路由协议规划3.7.1 静态路由1在出口路由器(RNE20)配置默认路由指向对端(包含网通对端和教育网对端)2在S9512交换机上配置默认路由指向FW550防火墙3在FW550防火墙上配置默认路由指向NE20路由器3在S5600交换机上配置默认路由指向S9512交换机4在接入层交换机E126交换机上设置管理vlan的默认路由指向S9512交换机3.8 Qos的规划 IP QoS ( Quality o
30、f Service ) 是指IP网络的一种能力,即在跨越多种底层网络技术(FR、ATM、Ethernet、SDH等)的IP网络上,为特定的业务提供其所需要的服务。衡量IP QoS的技术指标包括: (1)带宽/吞吐量 - 指网络的两个节点之间特定应用业务流的平均速率; (2)时延 - 指数据包在网络的两个节点之间传送的平均往返时间; (3)抖动 - 指时延的变化; (4)丢包率 - 指在网络传输过程中丢失报文的百分比,用来衡量网络正确转发用户数据的能力; (5)可用性 - 指网络可以为用户提供服务的时间的百分比。 不同的用户及业务对IP QoS技术指标的要求是不同的,通过有效地实施各项IP Qo
31、S技术,使得网络运营商能够有效地控制网络资源及其使用,能够在单一IP网络平台上融合语音、视频及数据等多种业务,能够在现有网络上细分客户、针对不同的客户需求提供特色的差别业务、以便能迅速获得利益回报、从而进一步扩大市场占有率、提高市场竞争力。 DiffServ(包括IP和MPLS)是目前成熟可行的QoS保证机制,可扩展性好,便于大规模部署,建议本期工程采用 可以设置QOS对重要数据进行带宽保证,可以对特定的ip进行带宽保证。3.9 网络管理 对于网络设备管理,使用华三自主研发的Quidview网管系统,Quidview支持Windows、Solaris操作系统,既可独立提供完整的网络管理解决方案
32、,也可与业界认可的网管平台如HP Openview、SNMPc紧密集成,满足不同层次的用户需求。Quidview支持路由器、以太网交换机、WLAN设备,提供统一的网管解决方案;跨平台特性,支持业界通用网管平台;开放的接口,满足通用网管需求;分级网管,适应大规模网络场景;高性价比,组网灵活,可提供低成本解决方案;提供丰富组件,切实解决数通网管拓扑、故障、性能、配置、安全等问题。本次工程,主要节点在S95交换机,以S95为种子节点自动发现设备。可网管设备设置为snmp-agent,开启SNMPv2协议,设置读属性为public、写属性为private。对于三层设备loopback地址即为网管地址,
33、接入层的E126设置vlan100为管理vlan,设置管理地址。 使用综合访问管理服务器(Comprehensive Access Management Server, CAMS)对用户电脑进行认证及计费,CAMS与华三公司的系列数通产品无缝集成,支持从低端到高端各种设备的认证、计费和用户管理。其主要功能有: 综合访问控制 系统和策略管理 业务管理 最终用户自助3.10 网络安全 网络安全包括业务安全、设备安全和数据安全等几个方面。业务安全指用户业务流不被非法截获、破坏、假冒等。由于不同的用户有不同的安全要求,一般用户的上网业务和政府机关公文传递以及军事机密的传递都有着完全不同的安全要求。一般
34、由用户设备实现端到端的加密来实现用户业务的安全。 设备安全指网络设备包括网管系统应当防止网络管理员之外的任何人或组织对网络设备和网管系统配置、资源、诊断系统的有意或无意的访问、破坏和假冒和攻击。要求网络设备和网管系统应提供有效的认证措施,拒绝并记录非法的入侵,采取有效的手段防止其他攻击。 设备安全还包括在常见的自然现象对设备的破坏。设备应当满足国家标准规定的防雷击、防静电,并能够在正常的机房温度、湿度等条件下长期稳定的运行。数据安全指设备和网管系统的配置数据、统计信息、诊断信息、历史记录、文档以及软件版本、补丁等不会丢失、错漏。数据安全一般主要管理手段来实现,比如,对数据的定期备份等。 随着网
35、络应用的日益普及,尤其是在一些特别场合的应用,网络安全成为日益迫切的需求。网络安全包括两层含义:其一是内部局域网的安全,其二是外部数据交换的安全。路由器作为内部网络与外部网络之间通讯的关键设备,有必要提供充分的安全保护功能。 总体而言:全网的安全策略包括网络安全策略,节点安全策略,数据安全策略,和持续安全策略。 网络安全策略:主要保证网络拓扑机构的合理性,全网各个节点之间的连接线路的可用性。 节点安全策略:主要保证各个节点内的设备不受攻击,保证服务不中断。 数据安全策略:保证系统重要数据得到及时有效的备份保护,并避免受到非法使用者的篡改等。 持续安全策略:能够从发展的角度,对系统的安全缺陷进行
36、及时跟踪和修正,保证网络的长期安全性。3.11 本期工程安全建议 在S9512和NE20之间接入Juniper SSG 550防火墙,将S9512的Internet默认路由指向防火墙,在防火墙上设置NAT地址转换功能,将内部各个vlan地址通过防火墙隐藏起来。 在防火墙的外部口即链接的NE20接口;将防火墙Internet默认路由指向NE20;对于内部各个vlan的路由设置:在防火墙设置路由表,将对内的各个vlan路由策略指向S9512接口。 同时,为了外部用户访问对内的各种应用服务器,在防火墙上设置DMZ区域。 安全策略: 通过防火墙设置NAT策略,将内部用户安全的地址转换连接到外部; 通过
37、地址映射功能,提供对外部用户对发布应用服务器的访问; 通过其他的安全策略,设置安全访问规则; 地址规划: 设置防火墙的内外网口的IP地址; 设置防火墙的内网口地址和S9512在同一个段地址 设置防火墙的外网口地址和NE20在同一个段地址 设置访问Internet的默认网关地址,将防火墙的默认网关地址指向NE20的以太口。 设置到内部的各个Vlan网段的路由,将内部的Vlan的路由网关指向和S9512连接地址。第四章 配置举例S9512display curdis cu# config-version S9500-CMW310-R1278P02# sysname S9512# super password level 3 simple _M3CDO:U_)WQ=QMAF41!# local-server nas-ip 127.0.0.1# Xbar load-single# router route-limit 128K router VRF-limit 256#
