首先来看客户的拓扑图,联通光纤接入防火墙,防火墙的G3和G4两个接口,分别接入两台H3C S5120交换机,两台交换机之间有两条网线互联,左边的23口连接右边的24口,左边的24口连接右边的23口;两台交换机,又平均地连接着4台服务器的网口
为了突出今天的重点,重新画了一个简单版的拓扑图(左边定义为交换机A,右边定义为交换机B,图片中忘了做标识了,尴尬)
为了实现该企业网络的不中断维护,将采用H3C交换机的IRF2.0技术,以及防火墙的端口聚合技术。IRF是H3C自主研发的软件虚拟化技术,可以将多台交换机通过网络接口连接在一起,进行必要的配置后,虚拟化成一台“分布式交换机”,使用这种虚拟化技术可以实现多台交换机的协同工作、统一管理和不间断维护。防火墙的端口聚合技术,就很好理解了,多个物理接口聚合成一个逻辑接口,当其中一个物理接口掉线时,不会影响逻辑接口的正常运转,也就不会影响网络的使用了。
一、交换机A的配置(注意,先把两台交换机的IRF配置完成后,再连接网线!):
irf member 1 //配置IRF成员编号为1
irf-port 1/1 //创建IRF端口1/1
port group interface GigabitEthernet1/0/24 mode normal //把24口加入irf port 1/1
irf-port 1/2 //创建IRF端口1/2
port group interface GigabitEthernet1/0/23 mode normal //把23口加入irf port 1/2
quit //退出配置
save //保存配置
reboot //重启后,交换机切换成IRF模式
二、交换机B的配置:
irf member 2 //配置IRF成员编号为1
irf-port 2/1 //创建IRF端口2/1
port group interface GigabitEthernet1/0/24 mode normal //把24口加入irf port 2/1
irf-port 2/2 //创建IRF端口2/2
port group interface GigabitEthernet1/0/23 mode normal //把23口加入irf port 2/2
quit //退出配置
save //保存配置
reboot //重启后,交换机切换成IRF模式,原来的网络接口1/0/1变成2/0/1,以此类推。
三、逻辑上来看,这两台交换机已经变成一台交换机了,继续配置
interface Vlan 1 //进入vlan1配置
IP address 172.16.200.201 255.255.255.0 //为vlan1配置IP地址
ip route-static 0.0.0.0 0.0.0.0 172.16.200.1 //配置默认路由,出口地址为防火墙聚合接口IP
interface Bridge-Aggregation 1 //创建聚合接口1
interface GigabitEthernet1/0/22 //进入1/0/22口配置
port link-aggregation group 1 //将接口加入聚合接口1
interface GigabitEthernet2/0/22 //进入2/0/22口配置
port link-aggregation group 1 //将接口加入聚合接口1
quit //退出配置
save //保存配置
四、防火墙配置
1、G3、G4两个接口的聚合配置:
2、防火配置外网接口:
3、配置默认路由,出口地址填写运营商提供的网关IP
4、添加源NAT规则,允许上网
5、还要在防火墙里面做一条允许上网的安全策略才行
经过以上操作,内网基本上配置完毕,也能够上网了,后面无非就是服务器端口映射、第二条电信光纤接入的配置了,在这个网络环境里面,每个型号的服务器、交换机都可以有一台关机维护,不会影响网络和数据,希望客户尽快上第二台防火墙,也让好我写篇防火墙热备的文章给大家参考品评
,
