论文部分内容阅读
摘 要: 随着网络的发展,高效、稳定的校园网络是学校走向信息化发展的首要选择。一个好的校园网,高效、稳定非常重要,为达到高效、稳定的要求,作者重点介绍了防火墙冗余负载均衡具体的设计。
关键词: 校园网 负载均衡 NAT HSRP
大型的网络安全必须使用防火墙,但是价格昂贵,对于现在设计的中小型网络来说可通过配置路由器或三层交换机的访问控制列表发挥防火墙的功能。三层交换机做防火墙的最大优点是包过滤速度很快,这是因为三层交换机转发数据包是基于硬件的。三层交换机处于网络的第三层网络层,因为是核心层所以最容易遭受黑客的攻击。在软件方面,那些防火墙可以通过高可靠性的配置阻止来路不明的数据包输入,可以控制访问列表,通过对访问列表的配置限制内部用户访问一些不可靠的网络地址,也可以防止校外的非法访问者访问校园的内部网络。三层交换机具有可扩展性,不需要对原来网络的已有设备进行改动的情况下可直接扩充增加新设备,使得学校的投资不会有太多损失。
1.防火墙的数据包的流动过程
来自因特网的主机访问DMZ区的WWW服务器为例,若规则的配置采取默认禁止,允许访问的服务已在规则中列出。首先,Inter主机发起的访问请求数据包流入防火墙,目的IP地址为要访问的服务器,目的端口为TCP80,源地址为本地IP地址,源端口使用当前未使用的较低端的端口,来自因特网的访问请求都从WAN口流入,要在流入方向应用访问控制列表,允许其对端口为TCP80的服务器进行访问。经防火墙路由的过滤后,从DMZ口流出到达目标服务器。服务器收到请求,回应数据包从防火墙的DMZ口流入。在DMZ口的In方向应用的访问控制列表中添加允许响应包通过的规则。再经防火墙的路由选择,从WAN口流出,到过发起访问请求的主机。
2.防火墙冗余负载均衡
防火墙的冗余负载均衡主要是通过HSRP实现。如下图所示。
对R1和R3做网关冗余,其中R1为192.168.10.0/24的主网关,R3为备份网关;相反,R1为192.168.11.0/24的备份网关,R3为主网关。
R1的g0/1的ip地址设为192.168.10.2/24,设置一个stanby 10组,虚拟ip为192.168.10.1,优先级为105,并且跟踪s0/3/0和g0/1。
R1的g0/2的ip地址设为192.168.11.2/24,设置一个stanby 11组,虚拟ip为192.168.11.1,优先级为100,并且跟踪s0/3/0和g0/2。
R1上的配置如下所示:
Int g0/1
Ip address 192.168.10.2 255.255.255.0
no shutdown
standby 10 ip 192.168.10.1
standby 10 pri 105
standby 10 pre
standby 10 trac s0/3/0
standby 10 trac g0/1
int g0/2
ip address 192.168.11.2 255.255.255.0
no shutdown
standby 11 ip 192.168.11.1
standby 11 pri 100
standby 11 pre
standby 11 trac s0/3/0
standby 11 trac g0/2
R3的配置与以上R1的配置类似。
SW4和SW5的g0/1划分为vlan 10,都属于access口;SW4和SW5的g0/2划分为vlan 11,都属于access口;在SW4上设置vlan10虚接口的ip地址为:192.168.10.4/24,vlan11虚接口的ip地址位:192.168.11.4/24;在SW5上设置vlan10虚接口的ip地址为192.168.10.5/24,vlan11虚接口的ip地址为192.168.11.5/24。
SW4上的配置如下所示:
Int g0/1
Switch mode access
Switch access vlan 10
Int g0/2
Switch mode access
Switch access vlan 11
exit
Int vlan 10
ip address 192.168.10.4 255.255.255.0
no shutdown
int vlan 11
ip address 192.168.11.4 255.255.255.0
no shutdown
SW5的配置與以上SW4的配置类似。
在SW4和SW5上分别设置去往外网的静态路由和路由黑洞如下所示:
Ip route 0.0.0.0 0.0.0.0. 192.168.10.1
Ip route 0.0.0.0 0.0.0.0. 192.168.11.1
Ip route 192.168.0.0 255.255.0.0 null 0
在R1和R3上配置静态路由:
在R1上的设置如下所示:
Ip route 0.0.0.0. 0.0.0.0 202.202.202.1
Ip route 192.168.0.0 255.255.0.0 192.168.10.4
Ip route 192.168.0.0 255.255.0.0 192.168.11.4
R3静态路由的配置与R1相似。
参考文献:
[1]张维.浅析负载均衡技术[J].计算机光盘软件与应用,2012(8):31.
[2]江玉俭.基于三层交换机做防火墙的校园网配置[J].技术创新论,1994-2012:173.
关键词: 校园网 负载均衡 NAT HSRP
大型的网络安全必须使用防火墙,但是价格昂贵,对于现在设计的中小型网络来说可通过配置路由器或三层交换机的访问控制列表发挥防火墙的功能。三层交换机做防火墙的最大优点是包过滤速度很快,这是因为三层交换机转发数据包是基于硬件的。三层交换机处于网络的第三层网络层,因为是核心层所以最容易遭受黑客的攻击。在软件方面,那些防火墙可以通过高可靠性的配置阻止来路不明的数据包输入,可以控制访问列表,通过对访问列表的配置限制内部用户访问一些不可靠的网络地址,也可以防止校外的非法访问者访问校园的内部网络。三层交换机具有可扩展性,不需要对原来网络的已有设备进行改动的情况下可直接扩充增加新设备,使得学校的投资不会有太多损失。
1.防火墙的数据包的流动过程
来自因特网的主机访问DMZ区的WWW服务器为例,若规则的配置采取默认禁止,允许访问的服务已在规则中列出。首先,Inter主机发起的访问请求数据包流入防火墙,目的IP地址为要访问的服务器,目的端口为TCP80,源地址为本地IP地址,源端口使用当前未使用的较低端的端口,来自因特网的访问请求都从WAN口流入,要在流入方向应用访问控制列表,允许其对端口为TCP80的服务器进行访问。经防火墙路由的过滤后,从DMZ口流出到达目标服务器。服务器收到请求,回应数据包从防火墙的DMZ口流入。在DMZ口的In方向应用的访问控制列表中添加允许响应包通过的规则。再经防火墙的路由选择,从WAN口流出,到过发起访问请求的主机。
2.防火墙冗余负载均衡
防火墙的冗余负载均衡主要是通过HSRP实现。如下图所示。
对R1和R3做网关冗余,其中R1为192.168.10.0/24的主网关,R3为备份网关;相反,R1为192.168.11.0/24的备份网关,R3为主网关。
R1的g0/1的ip地址设为192.168.10.2/24,设置一个stanby 10组,虚拟ip为192.168.10.1,优先级为105,并且跟踪s0/3/0和g0/1。
R1的g0/2的ip地址设为192.168.11.2/24,设置一个stanby 11组,虚拟ip为192.168.11.1,优先级为100,并且跟踪s0/3/0和g0/2。
R1上的配置如下所示:
Int g0/1
Ip address 192.168.10.2 255.255.255.0
no shutdown
standby 10 ip 192.168.10.1
standby 10 pri 105
standby 10 pre
standby 10 trac s0/3/0
standby 10 trac g0/1
int g0/2
ip address 192.168.11.2 255.255.255.0
no shutdown
standby 11 ip 192.168.11.1
standby 11 pri 100
standby 11 pre
standby 11 trac s0/3/0
standby 11 trac g0/2
R3的配置与以上R1的配置类似。
SW4和SW5的g0/1划分为vlan 10,都属于access口;SW4和SW5的g0/2划分为vlan 11,都属于access口;在SW4上设置vlan10虚接口的ip地址为:192.168.10.4/24,vlan11虚接口的ip地址位:192.168.11.4/24;在SW5上设置vlan10虚接口的ip地址为192.168.10.5/24,vlan11虚接口的ip地址为192.168.11.5/24。
SW4上的配置如下所示:
Int g0/1
Switch mode access
Switch access vlan 10
Int g0/2
Switch mode access
Switch access vlan 11
exit
Int vlan 10
ip address 192.168.10.4 255.255.255.0
no shutdown
int vlan 11
ip address 192.168.11.4 255.255.255.0
no shutdown
SW5的配置與以上SW4的配置类似。
在SW4和SW5上分别设置去往外网的静态路由和路由黑洞如下所示:
Ip route 0.0.0.0 0.0.0.0. 192.168.10.1
Ip route 0.0.0.0 0.0.0.0. 192.168.11.1
Ip route 192.168.0.0 255.255.0.0 null 0
在R1和R3上配置静态路由:
在R1上的设置如下所示:
Ip route 0.0.0.0. 0.0.0.0 202.202.202.1
Ip route 192.168.0.0 255.255.0.0 192.168.10.4
Ip route 192.168.0.0 255.255.0.0 192.168.11.4
R3静态路由的配置与R1相似。
参考文献:
[1]张维.浅析负载均衡技术[J].计算机光盘软件与应用,2012(8):31.
[2]江玉俭.基于三层交换机做防火墙的校园网配置[J].技术创新论,1994-2012:173.