数据中心防火墙部署..

红塔烟草（集团）万兆以太网建设项目

数据中心防火墙部署改造方案

（V1.4）

北京联信永益信息技术有限公司

2010年2月

目 录

一、概述 . ..................................................................................................................................... - 1 - 二、人员及时间 . ......................................................................................................................... - 2 -

1、参与人员 . ....................................................................................................................... - 2 - 2、操作时间 . ....................................................................................................................... - 2 - 三、业务影响 . ............................................................................................................................. - 2 - 四、前期准备工作 . ..................................................................................................................... - 2 - 五、网络拓扑图 . ......................................................................................................................... - 3 - 六、数据中心设备配置 . ............................................................................................................. - 6 -

1. 数据中心两台6509E 设备VSS 部署及设备配置 ......................................................... - 6 - 2. 数据中心两台6509E 防火墙 FWSM 透明模式配置 . ................................................. - 28 - 七、防火墙失效切换测试 . ....................................................................................................... - 30 - 八、应急方案 . ........................................................................................................................... - 30 -

一、概述

数据中心网络现状：一台部署在商务楼4楼机房数据中心汇聚交换机6509E 与一台部署在技术中心机房数据中心汇聚交换机6509E 分别通过1条10GE 上联到核心6509E 交换机，两台汇聚交换机之间通过一条10GE 链路Trunk 互联；放置在商务楼的数据中心服务器和放置在技术中心的数据中心服务器通过单链路，分别连接到对应区域的数据中心交换机上，所有服务器网关指向部署在商务楼4楼数据中心交换机上对应的vlan 实地址。两台数据中心交换机上分别部署一块FWSM 防火墙模块，通过Failover 技术实现对数据中心网络安全保护。

本次工程将部署在技术中心的数据汇聚6509E 交换机搬迁到商务楼1楼新机房，在两台数据中心6509E 设备上部署VSS ，采用Virtual Switching Supervisor 720 10GE引擎板卡上的万兆以太网上行链路端口进行互联，同时使用两条万兆链路进行捆绑，保证VSS 系统的可靠性。采用两条10GE 链路捆绑与核心设备互联，同时对防火墙模块部署透明模式。

二、人员及时间

1、参与人员

2、操作时间

2010年2月9日 －2010年2月9日

三、业务影响

本次割接操作将对数据中心6509E 设备部署VSS ，同时，防火墙FWSM 模块部署透明模式，对数据中心网络进行规划和调试。因此会影响数据中心服务器与集团网络间的互相访问。

四、前期准备工作

以下为联信永益需要准备的工作 1、软件版本测试通过；

2、核对设备配置、端口类型、端口状态； 3、文件

4

以下为红塔集团信息网络科需要准备的工作 1、配合割接人员进入机房；

2、提供console 配置权限登陆口令；

五、网络拓扑图

现状：数据中心FWSM 路由模式拓扑图

备注：

1、HT_SWLDA_4F_6509E_01、HT_SWLDA_1F_6509E_01设备上的Interface Vlan411接口为OSPF 路由协议报文传递使用。

2、Vlan402为服务器业务使用（inside 接口）；Vlan413、Vlan414为两台6509E 设备上防火墙模块的Failover 协议使用，HT_SWLDA_4F_6509E_01上的防火墙模块为Primary ，HT_SWLDA_1F_6509E_01上的防火墙模块为Secondary ；Vlan412为两台6509E 与其防火墙模块的Outside 接口连接使用，两台6509E 的 Interface Vlan412接口启用HSRP 协议，HT_SWLDA_4F_6509E_01为Active ，HT_SWLDA_1F_6509E_01为Standby 。

改造后：数据中心FWSM 透明模式拓扑图

备注：

1、Gi1/3/48、Gi2/3/48接口为BFD 使用。

2、vlan402为服务器业务使用；vlan402为inside 接口；Vlan413、Vlan414为两台6509E 设备上防火墙模块的Failover 协议使用，商务楼4楼6509E 设备上的防火墙模块为Primary ，商务楼1楼6509E 上的防火墙模块为Secondary ；Vlan412为两台6509E 与其防火墙模块的Outside 接口连接使用，vlan402服务器的网关指向vlan412的接口ip 地址。

六、数据中心设备配置

1. 数据中心两台

6509E 设备VSS 部署及设备配置

- 9 -

- 10 -

- 11 -

- 12 -

- 13 -

- 14 -

- 15 -

- 16 -

- 17 -

- 18 -

- 19 -

- 20 -

- 21 -

- 22 -

- 23 -

- 24 -

- 25 -

- 26 -

- 27 -

2. 数据中心两台6509E 防火墙 FWSM 透明模式配置

- 28 -

- 29 -

七、防火墙失效切换测试

八、应急方案

如实施出现问题，恢复设备割接前互联链路，恢复原有配置，使设备能够正常

运行。

- 30 -

- 31 -