背景:現有的業務系統網路環境是172網段的,通過上聯的華為8508經防火牆和路由連公網。業務系統在三樓機房,現在整個業務和核心區系統需要接入6樓所在的監控系統patrol監控主機,監控系統都是192網段的。
監控主機ip:192.168.165.89
監控接入網段:192.168.1.1-192.168.1.30
監控接入段閘道器:192.168.1.30,監控接入段和監控主機是已經連通的。
環境:網路裝置都是華為的,交換機華為ls-s5328c,防火牆華為eudemon 200e,伺服器系統都是suse 10 enterprise server 64bit版本的。
需求:業務環境是172網段,伺服器都做了雙網絡卡繫結(伺服器是四塊網絡卡,另外兩塊沒有佈線)。在不增加現有業務環境的網路佈線和改變現有業務環境的網路部署情況下,從監控平台所在的交換機引兩根線到業務環境的兩個防火牆上,實現對整個業務區和核心區的監控。
網路拓撲圖:
實現過程:
1、防火牆上的設定:(兩個防火牆配置類似)
#inte***ce ethernet2/0/0
description link_to_jiankong
ip address 192.168.192.1 255.255.255.224
#firewall zone name jiankong
set priority 70
add inte***ce ethernet2/0/0
#firewall interzone jiankong untrust
packet-filter 3001 outbound
#firewall interzone jiankong trust
packet-filter 3002 inbound
(注:監控區到業務區和核心區的訪問策略,在此略去)
#nat server global 192.168.192.3 inside 172.29.141.253
nat server global 192.168.192.4 inside 172.29.141.254
nat server global 192.168.192.5 inside 172.29.141.66
nat server global 192.168.192.6 inside 172.29.141.67
nat server global 192.168.192.7 inside 172.29.141.12
nat server global 192.168.192.8 inside 172.29.141.13
nat server global 192.168.192.9 inside 172.29.141.14
nat server global 192.168.192.10 inside 172.29.141.15
nat server global 192.168.192.11 inside 172.29.141.16
nat server global 192.168.192.12 inside 172.29.141.17
nat server global 192.168.192.12 inside 172.29.141.18
nat server global 192.168.192.12 inside 172.29.141.19
(除兩個防火牆外,把業務區和核心區的網路裝置和伺服器都做nat對映與192段位址一一對應)
# ip route-static 192.168.165.89 255.255.255.255 192.168.1.30(#192.168.192.30)
#snmp-agent community read jun01
#snmp-agent target-host trap address udp-domain 192.168.165.89 params securityname jun01
2、業務區接公網的三層交換機上設定:(兩個三層交換機配置類似)
# ip route-static 192.168.165.89 255.255.255.255 172.29.141.14
172.29.141.14是業務區接核心區的兩個防火牆上vrrp的虛位址
#snmp-agent community read jun01
#snmp-agent target-host trap address udp-domain 192.168.165.89 params securityname jun01
3、核心區接業務區的交換機上設定:(兩個核心區交換機配置類似)
# ip route-static 192.168.165.89 255.255.255.255 172.29.141.19
172.29.141.19是核心區接業務區的兩個防火牆上vrrp的虛位址
#snmp-agent community read jun01
#snmp-agent target-host trap address udp-domain 192.168.165.89 params securityname jun01
4、伺服器上軟路由設定:
#yast (輸入yast後選擇路由項)
按空格鍵選中專家配置然後新增新的路由
最後選擇完成,軟路由配置完畢。
5、測試:
#netstat -nr可以看到新增的路由,然後通過ping測試一下到監控主機的連通。登入網路裝置,通過ping也可測試一下。
6、監控系統客戶端的安裝,整體監控系統的測試和聯調。
總結:面對問題,只要用心去思考,你會發現問題的解決還有另一面,知識的靈活應用是我們需要認真琢磨的。
防火牆nat 交換機路由 系統軟路由構造的網路環境
背景 現有的業務系統網路環境是172網段的,通過上聯的華為8508經防火牆和路由連公網。業務系統在三樓機房,現在整個業務和核心區系統需要接入所在的監控系統patrol監控主機,監控系統都是192網段的。監控主機ip 192.168.165.89 監控接入網段 192.168.1.1 192.168....
用Linux防火牆構建軟路由
文主要介紹利用linux自帶的firewall軟體包來構建軟路由的一種方法,此方法為內部網與外部網的互連提供了一種簡單 安全的實現途徑。linux自帶的firewall構建軟路由,主要是通過ip位址來控制訪問許可權,較一般的 服務軟體有更方便之處。一 防火牆 防火牆一詞用在計算機網路中是指用於保護內...
開源軟路由和防火牆pfSense
標籤 防火牆開源休閒 職場pfsense pfsense是一款功能強大的免費路由器軟體,它是在著名的路由器軟體monowall基礎上開發的,增加了許多monowall沒有的功能 pfsense的官方 稱它為the better monowall 嚴格說來,pfsense 是乙個免費的 開源的 經過改...