-
红塔烟草(集团)万兆以太网建设项目
数据中心防火墙部署改造方案
(
V1.4
)
北京联信永益信息技术有限公司
20
10
年
2
月
目
录
一、概述
.................................
错误
!
未指定书签。
二、人员及时间
...........................
错误
!
未指定书签。
1
、参与人员
.
..........................
错误
!
未指定书签。
< br>
2
、操作时间
.
..........................
错误
!
未指定书签。
< br>
三、业务影响
.............................
错误
!
未指定书签。
四、前期准备工作
.........................
错误
!
未指定书签。
五、网络拓扑图
...........................
错误
!
未指定书签。
六、数据中心设备配置
.....................
错误
!
未指定书签。
1.
数据中心两台
6509E
设备
VSS
部署及设备配置
错误
!
未指定书
签。
2.
数据中心两台
6509E
防火墙
FWSM
透明模式配置
错
误
!
未
指
定
书签。
七、防火墙失效切换测试
...................
错误
!
未指定书签。
八、应急方案
.............................
错误
!
未指定书签。
一、概述
数据中心网络现状:一台部署在商务楼
4
楼机房数据中心汇聚交换机
6509E
与一台部署在技术中心机房数据中心汇聚交换机
6509E
分别
通过
1
条
10GE
上联
到核心
6509E
交换机,两
台汇聚交换机之间通过一条
10GE
链路
Trunk
互联;放
置在商务楼的数据中心服务器和放置在技
术中心的数据中心服务器通过单链路,
分别连接到对应区域的数据中心交换机上,所有服
务器网关指向部署在商务楼
4
楼数据中心交换机上对应的
vlan
实地址。两台数据中心交换机上分别部署一块
FWSM
防火墙模块,通过
Failover
技术实现对数据中心网络安全保护。
本次工程
将部署在技术中心的数据汇聚
6509E
交换机搬迁到商务楼<
/p>
1
楼新机
房
,<
/p>
在
两
台
数
据
中
心
6509E<
/p>
设
备
上
部
署
VSS
,
采
用
VirtualSwitchingSupervisor7201
0GE
引擎板卡上的万兆以太网上行链路端口进
行互联,同时使
用两条万兆链路进行捆绑,保证
VSS
系统的可靠性。采用两条
10GE
链路捆绑与核心设备互联,同时对防火墙模块部署透明
模式。
二、人员及时间
1
、参与人员
序号
1
2
3
4
5
姓名
卢立杰
何沿平
扎西
朱洺奇
代宁
职责
项目经理(整体协调)
割接操作(设备调试)
割接操作(配合设备调试)
监督协调
厂商技术支持
手机
2
、操作时间
2010
年
2
月
9
日-
2010
年
2
月
9
日
三、业务影响
本次割接操作将
对数据中心
6509E
设备部署
VSS
,同时,防火墙
FWSM
模块
部署透明模式,
对数据中心网络进行规划和调试。
因此会影响数据中心服务器与
集团网络间的互相访问。
四、前期准备工作
以下为联信永益需要准备的工作
1
、软件版本测试通过;
2
、核对设备配置、端口类型、端口状态;
3
、文件
序号
1
2
4
、工具
序号
1
2
文件名称
割接方案
测试报告
物品名称
静电带
十字、一字螺丝刀
数量
3
份
3
份
数量
1
2
以下为红塔集团信息网络科需要准备的工作
1
、配合割接人员进入机房;
2
、提供
console
配置权限登陆口令;
五、网络拓扑图
现状:数据中心
FWSM
路由模式拓扑图
备注:
1
、
HT_SWLDA_4F_6509E_01
、
HT_SWLDA_1F_6509E_01
设备上的
InterfaceVlan411
接口为
OSPF
路由协议报文传递使用。
2
、
Vlan402
为服务器业务使用(
inside
接口);
Vlan413
、
Vlan414
为两台
6509
E
设备上防火墙模块的
Failover
协议使用,
HT_SWLDA_4F_6509E_01
上的
防火墙
模块为
Primary
,
HT_SWLDA_1F_6509E_01
上的防火墙模块为
Secondary
;
Vlan412
为两台
6509E
与其防火墙模块的
Outside
接口连接使用,两台
6509E
的
InterfaceVlan412
接口启用
HSRP
协议,
HT_SWL
DA_4F_6509E_01
为
Active
,
HT_SWLDA_1F_6509E_01
为
Standby
。
改造后:数据中心
FWSM
透明模式拓扑图
< br>
备注:
1
< br>、
Gi1/3/48
、
Gi2/
3/48
接口为
BFD
使用。
2
、
vlan402
为服务器业务使用;
vlan402
为
inside
接口;
Vlan413<
/p>
、
Vlan414
为两
< br>台
6509E
设备上防火墙模块的
Failover
协议使用,
商务楼
4
楼
6509E
设备上的防
火墙模块为
Primary
,商务楼
1
楼
6509E
上的防火墙
模块为
Secondary
;
Vlan
412
为两台
6509E
与其防火墙模
块的
Outside
接口连接使用,
v
lan402
服务器的网关
指向
vla
n412
的接口
ip
地址。
六、数据中心设备配置
1.
数据中心两台
6509E
设备<
/p>
VSS
部署及设备配置
割接内容:两台数据中心
6509E
设备调试
割接时间:
2010.02.07
割接地点:商务楼
4
楼、商务楼
1
楼
操作人:配置:联信永益:卢立杰电话:
联信永益:何沿平
联信永益:扎西
配合人:信息科:朱洺奇电话:
1
、备份设备配置
copyrunningbootflash:
wr
2
、两台数据中心
6509E
设备间互联链路及
VSS
调试
!
switchvirtualdomain100?
switch1?
!
interfaceport-channel110
switchvirtuallink1
noshut
!
interfacerangeTen5/4-5
channel-group110modeon
noshut
!
platformhardwarevslpfcmodepfc3c
switchconvertmodevirtual
!
switchvirtualdomain100
switch2
!
interfaceport-channel120
switchvirtuallink2
noshut
!
interfacerangeTen5/4-5
channel-group120modeon
noshut
!
platformhardwarevslpfcmodepfc3c
switchconvertmodevirtual
!
switchacceptmodevirtual
!
interfacegigabitethernet1/3/48
descriptionVSS_FOR_BFD
noswitchport
ipaddress77252
bfdinterval100min_rx100multiplier3
noshut
interfacegigabitethernet2/3/48
descriptionVSS_FOR_BFD
noswitchport
ipaddress81.252
bfdinterval100min_rx100multiplier3
noshut
!
switchvirtualdomain100
dual-
activedetectionbfd
dual-
activepairinterfaceg1/3/48interfaceg2/3/48bfd
!
3
、核心
6509E
设备基础信息配置调试
!
hostnameHT_SWLDA_4F_6509E_01
!
servicetimestampsdebugdatetimelocaltime
servicetimestampslogdatetimelocaltime
!
clocktimezoneGMT8
!
noipdomain-lookup
!
interfaceLoopback1
ipaddress2
noshut
!
loggingfacilitylocal6
loggingsource-interfaceLoopback1
logging
logging
!
snmp-servercommunityhongtpublicRO
snmp-servercommunityhongtprivateRW
!
linecon0
exec-
timeout50
loggingsynchronous
password0admin@ht
login
linevty04
exec-timeout50
password0admin@ht
login
!
ntpserver
!
4
、设备接口及路由调试
HT_BONE_4F_6509E_01
:
!
interfacePort-channel6
noswitchport
descriptionconn
ecttoHT_SWLDA_4F_6509E_01
ipaddress
noshut
!
interfaceTenGigabitEthernet1/4/1
noswitchport
noipaddress
descriptionconnecttoHT_SWLDA_4F_6509E_01
channel-group6modeon
noshut
!
interfaceTenGigabitEthernet2/4/1
noswitchport
noipaddress
descriptionconnecttoHT_SWLDA_4F_6509E_01
channel-group6modeon
noshut
!
routerospf877
nopassive-interfacePort-channel6
nonetwork0.0.0.3area0
!
HT_SWLDA_4F_650
9E_01
:
!
interfacePort-channel6
noswitchport
descriptionconnecttoHT_BONE_4F_6509E_01
ipaddress
noshut
!
interfaceTenGigabitEthernet1/1/1
noswitchport
descriptionconnecttoHT_BONE_4F_6509E_01
channel-group6modeon
noshut
!
interfaceTenGigabitEthernet2/1/1
noswitchport
descriptionconnecttoHT_BONE_4F_6509E_01
channel-group6modeon
noshut
!
Vlan402
Vlan403
Vlan404
Vlan405
Vlan406
Vlan411
Vlan412
Vlan413
Vlan414
Vlan500
namesniffer
!
interfaceVlan403
ipaddress
ipflowingress
ipflowegress
noshut
!
interfaceVlan404
ipaddress
ipflowingress
ipflowegress
noshut
!
interfaceVlan405
ipaddress
ipflowingress
ipflowegress
noshut
!
interfaceVlan406
ipaddress
ipflowingress
ipflowegress
noshut
!
interfaceVlan412
ipaddress10.96.0.10
ipflowingress
ipflowegress
noshut
!
routerospf877
router-id
log-adjacency-changes
passive-interfacedefault
nopassive-
interfaceTenGigabitEthernet1/1/1
nopassive-
interfaceTenGigabitEthernet2/1/1
nopassive-interfaceport-channel6
network0.0.0.63area0
network0.0.0.63area0
network0.0.0.63area0
network0.0.0.63area0
network0.0.0.0area0
network0.0.0.3area0
network10.96.0.00.0.0.255area0
!
interfaceGigabitEthernet1/3/1
switchport
switchportaccessvlan402
switchportmodeaccess
load-
interval30
noshut
!
interfaceGigabitEthernet1/3/2
descriptionconnecttoHT_SWLDA_1F_3750_01
switchport
switchporttrunkencapsulationdot1q
switchportmodetrunk
spanning-treeportfast
noshut
!
interfaceGigabitEthernet1/3/3
descriptionconnecttoHT_JSZXDA_2F_3750_01
switchport
switchporttrunkencapsulationdot1q
switchportmodetrunk
spanning-treeportfast
noshut
!
interfaceGigabitEthernet1/7/1
switchport
switchportaccessvlan403
switchportmodeaccess
noshut
!
interfaceGigabitEthernet1/7/2
switchport
switchportaccessvlan403
switchportmodeaccess
noshut
!
interfacerangegi1/7/3
–
10
noshut
!
interfaceGigabitEthernet1/7/11
switchport
switchportaccessvlan403
switchportmodeaccess
noshut
!
interfaceGigabitEthernet1/7/12
switchport
switchportaccessvlan402
switchportmodeaccess
load-
interval30
noshut
!
interfaceGigabitEthernet1/7/13
switchport
switchportaccessvlan402
switchportmodeaccess
storm-
controlbroadcastlevel0.10
storm-
controlmulticastlevel0.10
noshut
!
interfaceGigabitEthernet1/7/14
switchport
switchportaccessvlan402
switchportmodeaccess
storm-
controlbroadcastlevel0.10
storm-
controlmulticastlevel0.10
noshut
!
interfaceGigabitEthernet1/7/15
switchport
switchportaccessvlan402
switchportmodeaccess
storm-
controlbroadcastlevel0.10
storm-
controlmulticastlevel0.10
noshut
!
interfaceGigabitEthernet1/7/16
switchport
switchportaccessvlan402
switchportmodeaccess
load-
interval30
noshut
!
interfaceGigabitEthernet1/7/17
switchport
switchportaccessvlan402
switchportmodeaccess
storm-
controlbroadcastlevel0.10
storm-
controlmulticastlevel0.10
noshut
!
interfaceGigabitEthernet1/7/18
switchport
switchportaccessvlan402
switchportmodeaccess
storm-
controlbroadcastlevel0.10
storm-
controlmulticastlevel0.10
noshut
!
interfaceGigabitEthernet1/7/19
switchport
switchportaccessvlan402
switchportmodeaccess
storm-
controlbroadcastlevel0.10
storm-
controlmulticastlevel0.10
noshut
!
interfaceGigabitEthernet1/7/20
switchport
switchportaccessvlan402
switchportmodeaccess
storm-
controlbroadcastlevel0.10
storm-
controlmulticastlevel0.10
noshut
!
interfaceGigabitEthernet1/7/21
switchport
switchportaccessvlan402
switchportmodeaccess
storm-
controlbroadcastlevel0.10
storm-
controlmulticastlevel0.10
noshut
!
interfaceGigabitEthernet1/7/22
switchport
switchportaccessvlan402
switchportmodeaccess
storm-
controlbroadcastlevel0.10
storm-
controlmulticastlevel0.10
noshut
!
interfaceGigabitEthernet1/7/23
switchport
switchportaccessvlan402
switchportmodeaccess
load-
interval30
storm-
controlbroadcastlevel0.10
storm-
controlmulticastlevel0.10
noshut
!
interfaceGigabitEthernet1/7/24
switchport
switchportaccessvlan402
switchportmodeaccess
storm-
controlbroadcastlevel0.10
storm-
controlmulticastlevel0.10
noshut
!
interfaceGigabitEthernet1/7/25
switchport
switchportaccessvlan406
switchportmodeaccess
storm-
controlbroadcastlevel0.10
storm-
controlmulticastlevel0.10
noshut
!
interfaceGigabitEthernet1/7/26
switchport
switchportaccessvlan402
switchportmodeaccess
storm-
controlbroadcastlevel0.10
storm-
controlmulticastlevel0.10
noshut
!
interfaceGigabitEthernet1/7/27
switchport
switchportaccessvlan402
switchportmodeaccess
storm-
controlbroadcastlevel0.10
storm-
controlmulticastlevel0.10
noshut
!
interfaceGigabitEthernet1/7/28
switchport
switchportaccessvlan402
switchportmodeaccess
storm-
controlbroadcastlevel0.10
storm-
controlmulticastlevel0.10
noshut
!
interfaceGigabitEthernet1/7/29
switchport
switchportaccessvlan402
switchportmodeaccess
storm-
controlbroadcastlevel0.10
storm-
controlmulticastlevel0.10
noshut
!
interfaceGigabitEthernet1/7/30
switchport
switchportaccessvlan402
switchportmodeaccess
storm-
controlbroadcastlevel0.10
storm-
controlmulticastlevel0.10
noshut
!
interfaceGigabitEthernet1/7/31
switchport
switchportaccessvlan402
switchportmodeaccess
storm-
controlbroadcastlevel0.10
storm-
controlmulticastlevel0.10
noshut
!
interfaceGigabitEthernet1/7/32
switchport
switchportaccessvlan402
switchportmodeaccess
storm-
controlbroadcastlevel0.10
storm-
controlmulticastlevel0.10
noshut
!
interfaceGigabitEthernet1/7/33
switchport
switchportaccessvlan402
switchportmodeaccess
storm-
controlbroadcastlevel0.10
storm-
controlmulticastlevel0.10
noshut
!
interfaceGigabitEthernet1/7/34
switchport
switchportaccessvlan402
switchportmodeaccess
load-
interval30
storm-
controlbroadcastlevel0.10
storm-
controlmulticastlevel0.10
noshut
!
interfaceGigabitEthernet1/7/35
switchport
switchportaccessvlan402
switchportmodeaccess
storm-
controlbroadcastlevel0.10
storm-
controlmulticastlevel0.10
noshut
!
interfaceGigabitEthernet1/7/36
switchport
switchportaccessvlan402
switchportmodeaccess
storm-
controlbroadcastlevel0.10
storm-
controlmulticastlevel0.10
noshut
!
interfaceGigabitEthernet1/7/37
switchport
switchportaccessvlan402
switchportmodeaccess
storm-
controlbroadcastlevel0.10
storm-
controlmulticastlevel0.10
noshut
!
interfaceGigabitEthernet1/7/38
switchport
switchportaccessvlan402
switchportmodeaccess
storm-
controlbroadcastlevel0.10
storm-
controlmulticastlevel0.10
noshut
!
interfaceGigabitEthernet1/7/39
switchport
switchportaccessvlan402
switchportmodeaccess
storm-
controlbroadcastlevel0.10
storm-
controlmulticastlevel0.10
noshut
!
interfaceGigabitEthernet1/7/40
switchport
switchportaccessvlan402
switchportmodeaccess
storm-
controlbroadcastlevel0.10
storm-
controlmulticastlevel0.10
noshut
!
interfaceGigabitEthernet1/7/41
switchport
switchportaccessvlan402
switchportmodeaccess
storm-
controlbroadcastlevel0.10
storm-
controlmulticastlevel0.10
noshut
!
interfaceGigabitEthernet1/7/42
switchport
switchportaccessvlan406
switchportmodeaccess
storm-
controlbroadcastlevel0.10
storm-
controlmulticastlevel0.10
noshut
!
interfaceGigabitEthernet1/7/43
switchport
switchportaccessvlan402
switchportmodeaccess
storm-
controlbroadcastlevel0.10
storm-
controlmulticastlevel0.10
noshut
!
interfaceGigabitEthernet1/7/44
switchport
switchportaccessvlan403
switchportmodeaccess
storm-
controlbroadcastlevel0.10
storm-
controlmulticastlevel0.10
noshut
!
interfaceGigabitEthernet1/7/45
switchport
switchportaccessvlan403
switchportmodeaccess
-
-
-
-
-
-
-
-
-
上一篇:IPRAN考试题库
下一篇:Acl过滤拦截dhcp消息和arp请求消息