圖1 單位網(wǎng)絡(luò)架構(gòu)和防火墻部署圖示
一�����、網(wǎng)絡(luò)架構(gòu)和防火墻部署情況
單位網(wǎng)絡(luò)結(jié)構(gòu)圖如圖1所示�。為了確保重要設(shè)備的穩(wěn)定性和冗余性�����,核心層交換機(jī)使用兩臺6509-E,通過Trunk線連接�����。在辦公區(qū)的接入層使用了多臺Cisco 2960交換機(jī)��,圖示為了簡潔�,只畫出了兩臺。在核心層交換機(jī)6509-E上�����,通過防火墻連接有單位重要的服務(wù)器����,如FTP、E-MAIL服務(wù)器和數(shù)據(jù)庫等�。單位IP地址的部署,使用的是C類私有192網(wǎng)段的地址��。DHCP服務(wù)器的IP地址為192.168.10.1����,F(xiàn)TP服務(wù)器的IP地址是 192.168.5.2���。Cisco 6509-E和Cisco 3750之間,以及Cisco 3750和Cisco 2960之間都是Trunk連接����。
圖1中的橘黃色線表示的是用光纖連接,藍(lán)色線表示的是用雙絞線連接��。而且從兩臺6509上分別延伸出來了的兩條黃色線�,一條豎線和一條橫線,它們在拓?fù)鋱D中其實是對兩臺6509上端口的一種擴(kuò)展��,并不是這兩條線只連接到6509上的一個端口���,而是連接了多個端口�。這種布局的拓?fù)鋱D�����,在結(jié)構(gòu)上就顯得更清晰明了�。
單位根據(jù)部門性質(zhì)的不同,把各個部門的電腦劃入到不同的VLAN中��。服務(wù)器都位于VLAN 2至VLAN 10中,對應(yīng)的網(wǎng)絡(luò)號是192.168.2.0~192.168.10.0���,如DHCP服務(wù)器位于VLAN 10中����,F(xiàn)TP服務(wù)器位于VLAN 5中����。服務(wù)器的IP地址�、默認(rèn)網(wǎng)關(guān)和DNS都是靜態(tài)配置的。VLAN 11至VLAN 150是屬于辦公部門使用的����,對應(yīng)的網(wǎng)絡(luò)號是192.168.11.0~192.168.150.0。VLAN號和網(wǎng)絡(luò)號之間都是對應(yīng)的�。VLAN中的 PC都是通過Cisco 2960接入到網(wǎng)絡(luò)中,3750都是二層配置��,三層的配置都在Cisco 6509上���,也就是VLAN間的路由都是通過6509完成的��。PC的IP地址��、默認(rèn)網(wǎng)關(guān)和DNS都是自動從DHCP服務(wù)器上獲得的��,不用手工靜態(tài)配置���。
如圖1所示���,兩臺防火墻都是聯(lián)想Power V防火墻,它們運行的模式都為透明模式��,也就是以“橋”模式運行的�,本身只需要配置一個管理IP地址,不必占用任何其它的IP資源����,也不需要改變用戶的拓?fù)洵h(huán)境,設(shè)備的運行對用戶來說是“透明”的�,在網(wǎng)絡(luò)設(shè)備上進(jìn)行各種命令的配置時,就當(dāng)不存在這兩個防火墻一樣�,因為它們是透明模式。它們只對線路上的數(shù)據(jù)包作安全檢查����,和安全策略上的限制,本身不會影響網(wǎng)絡(luò)的整體架構(gòu)和配置����。這種模式在安裝和維護(hù)防火墻時��,相對防火墻的另外一種運行模式——路由模式���,來說要簡單很多。
Cisco 6509-E和核心區(qū)Cisco 2960之間不是Trunk模式連接��,而是使用接入模式連接的�����,也就是兩臺Cisco 6509-E的Gi3/2位于VLAN 5中�,核心區(qū)兩臺Cisco 2960的Gi0/1也位于VLAN 5中����。兩臺6509和兩臺3750之間,以及辦公區(qū)中網(wǎng)絡(luò)設(shè)備間的連接情況如下所示:
Cisco 6509-E1 GigabitEthernet 3/1 <—-> Cisco3750A GigabitEthernet 1/0/25
Cisco 6509-E2 GigabitEthernet 3/1 <—-> Cisco3750B GigabitEthernet 1/0/25
Cisco 3750A GigabitEthernet 1/0/1 <—–> Cisco 2960A GigabitEthernet 0/1
Cisco 3750B GigabitEthernet 1/0/1 <—–> Cisco 2960B GigabitEthernet 0/1
兩臺6509和兩臺防火墻之間的���,以及核心區(qū)中網(wǎng)絡(luò)設(shè)備間的連接情況如下所示:
Cisco 6509-E1 GigabitEthernet 3/2 <—–> FW-A GigabitEthernet 1
Cisco 6509-E2 GigabitEthernet 3/2 <—–> FW-B GigabitEthernet 1
FW-A GigabitEthernet 2 <—–> Cisco 2960A GigabitEthernet 0/1
FW-B GigabitEthernet 2 <—–> Cisco 2960B GigabitEthernet 0/1
二�、主要網(wǎng)絡(luò)設(shè)備上的配置情況
1��、兩臺核心交換機(jī)上的配置情況�。在Cisco 6509-E1上的主要配置如下所示:
hostname Cisco 6509-E1
!
interface GigabitEthernet3/1
description Link3750A_1/0/25
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 5,115
switchport mode trunk
!
interface GigabitEthernet3/2
description Link_FW-A_Gi1
switchport access vlan 5
switchport mode access
!
interface Vlan5
ip address 192.168.5.252 255.255.255.0
standby 5 ip 192.168.5.254
standby 5 priority 120
standby 5 preempt
!
interface Vlan115
ip address 192.168.115.252 255.255.255.0
standby 115 ip 192.168.115.254
standby 115 priority 120
standby 115 preempt
其中命令“ip address 192.168.5.252 255.255.255.0”是給指定的VLAN配置IP地址���。
命令“standby 5 priority 120”中的“priority”是配置HSRP的優(yōu)先級,5為組序號���,它的取值范圍為0~255�����,120為優(yōu)先級的值����,取值范圍為0~255�,數(shù)值越大優(yōu)先級越高。
優(yōu)先級將決定一臺路由器在HSRP備份組中的狀態(tài)����,優(yōu)先級最高的路由器將成為活動路由器,其它優(yōu)先級低的路由器將成為備用路由器��。當(dāng)活動路由器失效后�����,備用路由器將替代它成為活動路由器。當(dāng)活動和備用路由器都失效后���,其它路由器將參與活動和備用路由器的選舉工作����。優(yōu)先級都相同時����,接口IP地址高的將成為活動路由器。
“preempt”是配置HSRP為搶占模式���。如果需要高優(yōu)先級的路由器能主動搶占成為活動路由器����,則要配置此命令�����。配置preempt后��,能夠保證優(yōu)先級高的路由器失效恢復(fù)后總能成為活動路由器���。活動路由器失效后���,優(yōu)先級最高的備用路由器將處于活動狀態(tài)�����,如果沒有使用preempt技術(shù)����,則當(dāng)活動路由器恢復(fù)后,它只能處于備用狀態(tài)����,先前的備用路由器代替其角色處于活動狀態(tài)。
命令“standby 5 ip 192.168.5.254”作用是啟動HSRP�,如果虛擬IP地址不指定,路由器就不會參與備份���。虛擬IP應(yīng)該是接口所在的網(wǎng)段內(nèi)的地址��,不能配置為接口上的IP地址����。
在Cisco 6509-E2上的主要配置如下所示:
hostname Cisco 6509-E2
!
interface GigabitEthernet3/1
description Link3750B_1/0/25
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 5,115
switchport mode trunk
!
interface GigabitEthernet3/2
description Link_FW-B_Gi1
switchport access vlan 5
switchport mode access
!
interface Vlan5
ip address 192.168.5.253 255.255.255.0
standby 2 ip 192.168.5.254
standby 2 priority 120
standby 2 preempt
!
interface Vlan115
ip address 192.168.115.253 255.255.255.0
standby 2 ip 192.168.115.254
standby 2 priority 120
standby 2 preempt
2��、在辦公區(qū)兩臺Cisco 3750和兩臺Cisco 2960上的配置情況。在Cisco 3750A上的配置:
hostname Cisco3750A
!
interface GigabitEthernet1/0/25
description Link6509-E1 3/1
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 5,115
switchport mode trunk
!
interface GigabitEthernet1/0/1
description Link2960A 0/1
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 5,115
switchport mode trunk
在Cisco 3750B上的配置:
hostname Cisco3750B
!
interface GigabitEthernet1/0/25
description Link6509-E2 3/1
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 5,115
switchport mode trunk
!
interface GigabitEthernet1/0/1
description Link2960B 0/1
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 5,115
switchport mode trunk
在Cisco 2960A上的配置:
hostname Cisco2960A
!
interface GigabitEthernet0/1
description Link3750A 1/0/1
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 5,115
switchport mode trunk
在Cisco 2960B上的配置:
hostname Cisco2960B
!
interface GigabitEthernet0/1
description Link3750B 1/0/1
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 5,115
switchport mode trunk
3�����、在核心區(qū)兩臺Cisco 2960上的主要配置情況如下所示����。在Cisco 2960A上的配置:
hostname Cisco2960A
!
interface GigabitEthernet0/1
description Link3750A 1/0/1
switchport access vlan 5
switchport mode access
在Cisco 2960B上的配置:
hostname Cisco2960B
!
interface GigabitEthernet0/1
description Link3750B 1/0/1
switchport access vlan 5
switchport mode access
注意,在辦公區(qū)和核心區(qū)中Cisco 2960交換機(jī)上的配置情況是不一樣的���,前者交換機(jī)上的端口的配置為Trunk模式�����,而后者的端口模式為Access模式���。
安全無小事!近段時間“密碼泄露”事件鬧得沸沸揚(yáng)揚(yáng),人心惶惶��。先是CSDN用戶數(shù)據(jù)庫的泄露�,這對從事計算機(jī)技術(shù)工作的人員來說可謂是當(dāng)頭一棒��。因為絕大多數(shù)IT技術(shù)工作者都在CSDN注冊過賬號�����,而且?guī)缀醵际鞘褂猛粋€用戶名和密碼,注冊了其它類的技術(shù)網(wǎng)站���。發(fā)生“CSDN用戶數(shù)據(jù)庫泄露”事件后����,反正我是趕緊把自己在用的許多技術(shù)類網(wǎng)站的密碼都改了過來��。但是剛改完沒多久���,又出現(xiàn)了天涯����、新浪微博等泄密事件�����。真是防不勝防!
難道互聯(lián)網(wǎng)上就沒有安全的地方了嗎?我認(rèn)為還是有的����,要不然也沒有這么多人使用互聯(lián)網(wǎng)。只不過近段時間接二連三暴露的問題太多了��。不過,有了問題只要通過各種安全措施把它解決了��,同樣可以提高互聯(lián)網(wǎng)的安全性�。本文就涉及到企業(yè)網(wǎng)絡(luò)中防火墻設(shè)備部署、安裝和配置����。雖然防火墻不能解決所有的安全問題,但它在網(wǎng)絡(luò)中的部署也是絕對不能少的�����。
圖1 單位網(wǎng)絡(luò)架構(gòu)和防火墻部署圖示
一��、網(wǎng)絡(luò)架構(gòu)和防火墻部署情況
單位網(wǎng)絡(luò)結(jié)構(gòu)圖如圖1所示����。為了確保重要設(shè)備的穩(wěn)定性和冗余性,核心層交換機(jī)使用兩臺6509-E�,通過Trunk線連接。在辦公區(qū)的接入層使用了多臺Cisco 2960交換機(jī)��,圖示為了簡潔�,只畫出了兩臺���。在核心層交換機(jī)6509-E上�,通過防火墻連接有單位重要的服務(wù)器,如FTP��、E-MAIL服務(wù)器和數(shù)據(jù)庫等���。單位IP地址的部署�����,使用的是C類私有192網(wǎng)段的地址���。DHCP服務(wù)器的IP地址為192.168.10.1,F(xiàn)TP服務(wù)器的IP地址是 192.168.5.2���。Cisco 6509-E和Cisco 3750之間�����,以及Cisco 3750和Cisco 2960之間都是Trunk連接�。
圖1中的橘黃色線表示的是用光纖連接���,藍(lán)色線表示的是用雙絞線連接����。而且從兩臺6509上分別延伸出來了的兩條黃色線,一條豎線和一條橫線���,它們在拓?fù)鋱D中其實是對兩臺6509上端口的一種擴(kuò)展�,并不是這兩條線只連接到6509上的一個端口���,而是連接了多個端口����。這種布局的拓?fù)鋱D��,在結(jié)構(gòu)上就顯得更清晰明了���。
單位根據(jù)部門性質(zhì)的不同����,把各個部門的電腦劃入到不同的VLAN中�。服務(wù)器都位于VLAN 2至VLAN 10中,對應(yīng)的網(wǎng)絡(luò)號是192.168.2.0~192.168.10.0��,如DHCP服務(wù)器位于VLAN 10中����,F(xiàn)TP服務(wù)器位于VLAN 5中。服務(wù)器的IP地址�、默認(rèn)網(wǎng)關(guān)和DNS都是靜態(tài)配置的。VLAN 11至VLAN 150是屬于辦公部門使用的�����,對應(yīng)的網(wǎng)絡(luò)號是192.168.11.0~192.168.150.0����。VLAN號和網(wǎng)絡(luò)號之間都是對應(yīng)的。VLAN中的 PC都是通過Cisco 2960接入到網(wǎng)絡(luò)中����,3750都是二層配置,三層的配置都在Cisco 6509上�����,也就是VLAN間的路由都是通過6509完成的��。PC的IP地址��、默認(rèn)網(wǎng)關(guān)和DNS都是自動從DHCP服務(wù)器上獲得的�����,不用手工靜態(tài)配置。
如圖1所示�����,兩臺防火墻都是聯(lián)想Power V防火墻��,它們運行的模式都為透明模式�����,也就是以“橋”模式運行的��,本身只需要配置一個管理IP地址�,不必占用任何其它的IP資源,也不需要改變用戶的拓?fù)洵h(huán)境�,設(shè)備的運行對用戶來說是“透明”的,在網(wǎng)絡(luò)設(shè)備上進(jìn)行各種命令的配置時��,就當(dāng)不存在這兩個防火墻一樣�,因為它們是透明模式。它們只對線路上的數(shù)據(jù)包作安全檢查�����,和安全策略上的限制,本身不會影響網(wǎng)絡(luò)的整體架構(gòu)和配置���。這種模式在安裝和維護(hù)防火墻時�����,相對防火墻的另外一種運行模式——路由模式,來說要簡單很多���。
Cisco 6509-E和核心區(qū)Cisco 2960之間不是Trunk模式連接�,而是使用接入模式連接的����,也就是兩臺Cisco 6509-E的Gi3/2位于VLAN 5中,核心區(qū)兩臺Cisco 2960的Gi0/1也位于VLAN 5中����。兩臺6509和兩臺3750之間,以及辦公區(qū)中網(wǎng)絡(luò)設(shè)備間的連接情況如下所示:
Cisco 6509-E1 GigabitEthernet 3/1 <—-> Cisco3750A GigabitEthernet 1/0/25
Cisco 6509-E2 GigabitEthernet 3/1 <—-> Cisco3750B GigabitEthernet 1/0/25
Cisco 3750A GigabitEthernet 1/0/1 <—–> Cisco 2960A GigabitEthernet 0/1
Cisco 3750B GigabitEthernet 1/0/1 <—–> Cisco 2960B GigabitEthernet 0/1
兩臺6509和兩臺防火墻之間的����,以及核心區(qū)中網(wǎng)絡(luò)設(shè)備間的連接情況如下所示:
Cisco 6509-E1 GigabitEthernet 3/2 <—–> FW-A GigabitEthernet 1
Cisco 6509-E2 GigabitEthernet 3/2 <—–> FW-B GigabitEthernet 1
FW-A GigabitEthernet 2 <—–> Cisco 2960A GigabitEthernet 0/1
FW-B GigabitEthernet 2 <—–> Cisco 2960B GigabitEthernet 0/1
二、主要網(wǎng)絡(luò)設(shè)備上的配置情況
1、兩臺核心交換機(jī)上的配置情況��。在Cisco 6509-E1上的主要配置如下所示:
hostname Cisco 6509-E1
!
interface GigabitEthernet3/1
description Link3750A_1/0/25
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 5,115
switchport mode trunk
!
interface GigabitEthernet3/2
description Link_FW-A_Gi1
switchport access vlan 5
switchport mode access
!
interface Vlan5
ip address 192.168.5.252 255.255.255.0
standby 5 ip 192.168.5.254
standby 5 priority 120
standby 5 preempt
!
interface Vlan115
ip address 192.168.115.252 255.255.255.0
standby 115 ip 192.168.115.254
standby 115 priority 120
standby 115 preempt
其中命令“ip address 192.168.5.252 255.255.255.0”是給指定的VLAN配置IP地址��。
命令“standby 5 priority 120”中的“priority”是配置HSRP的優(yōu)先級�,5為組序號,它的取值范圍為0~255����,120為優(yōu)先級的值,取值范圍為0~255��,數(shù)值越大優(yōu)先級越高����。
優(yōu)先級將決定一臺路由器在HSRP備份組中的狀態(tài),優(yōu)先級最高的路由器將成為活動路由器�,其它優(yōu)先級低的路由器將成為備用路由器。當(dāng)活動路由器失效后�����,備用路由器將替代它成為活動路由器�。當(dāng)活動和備用路由器都失效后,其它路由器將參與活動和備用路由器的選舉工作�。優(yōu)先級都相同時,接口IP地址高的將成為活動路由器。
“preempt”是配置HSRP為搶占模式����。如果需要高優(yōu)先級的路由器能主動搶占成為活動路由器,則要配置此命令����。配置preempt后,能夠保證優(yōu)先級高的路由器失效恢復(fù)后總能成為活動路由器���。活動路由器失效后�,優(yōu)先級最高的備用路由器將處于活動狀態(tài),如果沒有使用preempt技術(shù)����,則當(dāng)活動路由器恢復(fù)后,它只能處于備用狀態(tài)�����,先前的備用路由器代替其角色處于活動狀態(tài)�。
命令“standby 5 ip 192.168.5.254”作用是啟動HSRP,如果虛擬IP地址不指定�,路由器就不會參與備份。虛擬IP應(yīng)該是接口所在的網(wǎng)段內(nèi)的地址,不能配置為接口上的IP地址�。
在Cisco 6509-E2上的主要配置如下所示:
hostname Cisco 6509-E2
!
interface GigabitEthernet3/1
description Link3750B_1/0/25
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 5,115
switchport mode trunk
!
interface GigabitEthernet3/2
description Link_FW-B_Gi1
switchport access vlan 5
switchport mode access
!
interface Vlan5
ip address 192.168.5.253 255.255.255.0
standby 2 ip 192.168.5.254
standby 2 priority 120
standby 2 preempt
!
interface Vlan115
ip address 192.168.115.253 255.255.255.0
standby 2 ip 192.168.115.254
standby 2 priority 120
standby 2 preempt
2、在辦公區(qū)兩臺Cisco 3750和兩臺Cisco 2960上的配置情況�����。在Cisco 3750A上的配置:
hostname Cisco3750A
!
interface GigabitEthernet1/0/25
description Link6509-E1 3/1
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 5,115
switchport mode trunk
!
interface GigabitEthernet1/0/1
description Link2960A 0/1
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 5,115
switchport mode trunk
在Cisco 3750B上的配置:
hostname Cisco3750B
!
interface GigabitEthernet1/0/25
description Link6509-E2 3/1
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 5,115
switchport mode trunk
!
interface GigabitEthernet1/0/1
description Link2960B 0/1
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 5,115
switchport mode trunk
在Cisco 2960A上的配置:
hostname Cisco2960A
!
interface GigabitEthernet0/1
description Link3750A 1/0/1
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 5,115
switchport mode trunk
在Cisco 2960B上的配置:
hostname Cisco2960B
!
interface GigabitEthernet0/1
description Link3750B 1/0/1
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 5,115
switchport mode trunk
3�����、在核心區(qū)兩臺Cisco 2960上的主要配置情況如下所示����。在Cisco 2960A上的配置:
hostname Cisco2960A
!
interface GigabitEthernet0/1
description Link3750A 1/0/1
switchport access vlan 5
switchport mode access
在Cisco 2960B上的配置:
hostname Cisco2960B
!
interface GigabitEthernet0/1
description Link3750B 1/0/1
switchport access vlan 5
switchport mode access
注意,在辦公區(qū)和核心區(qū)中Cisco 2960交換機(jī)上的配置情況是不一樣的��,前者交換機(jī)上的端口的配置為Trunk模式��,而后者的端口模式為Access模式���。
果.jpg)