XX集团北京办网络割接案例

　　一、客户需求

　　客户原来只有一条联通链路，办公区和服务器区都走联通链路。集团总部及诸多办事处位于南方，而我国网络又是北联通、南电信，造成跨运营商访问时产生长时间等待的现象。为了提高访问效率、拓展带宽、增加链路冗余备份的功能，客户选择增加一条电信链路解决上述问题。

　　二、解决方案

　　1. 将原有思科防火墙替换为H3C U200-A的设备，同时增加H3C S5500交换机提高终端设备接入的能力。

　　2. 办公区网段用户通过DHCP动态获得IP，通过联通链路访问互联网。服务器区以及办公区的一台视频终端设备则是配置静态IP，通过电信链路走向公网。

　　3. 外部用户访问服务器区通过电信链路，内部办公区访问服务器区通过内部网络来实现。

　　三、拓扑分析

　　由于客户的交换机只有1台S5500，故在交换机上分了两个vlan(vlan10、vlan100)，2到11端口划分到vlan10为办公区，网关在本地交换机上，交换机与U200通过三层ip互联;12到24端口划分到vlan100为服务器区，网关在U200的G0/4口，交换机与U200通过二层互联。

　　四、方案说明

　　U200-A为具备IPS、防病毒于一身的UTM防火墙，首先我们将去往联通及电信的接口配置到不可信区域，将相关内连口配置到可信区域，并配置区域间策略使两个区域可以互通。

　　办公区的数据流走联通，可以通过缺省路由实现;

　　服务器区及办公区中一台视频终端的数据流走电信，可以通过策略路由来实现;

　　外部用户访问服务区可通过服务器静态映射实现;

　　链路冗余备份可以通过浮动路由和策略路由配合来实现;

　　五、实施配置详解

　　1.策略路由部分配置

　　策略路由采用基于接口的应用方式，服务器区的终端进入接口G0/4匹配相应的acl如果符合acl则数据流会被策略路由甩到电信的出口，如果acl匹配失败则策略路由失效数据流会走常规路由进行转发。基于这样的原理，办公区访问服务器区时单向去的数据包会到达服务器区但当服务器区返回数据到办公区时数据会匹配策略路由下一跳指向了电信出口这样会导致办公区无法访问服务器区。解决办法就是做一个动作为deny的acl，使策略路由失效走常规路由进行转发。配置如下：

　　acl number 3003

　　description TO_DianXin_PBR

　　rule 0 deny ip source 192.168.100.0 0.0.0.255 destination 192.168.1.0 0.0.0.255

　　rule 1 permit ip source 192.168.100.3 0

　　rule 30 permit ip source 192.168.1.252 0

　　policy-based-route 1 permit node 10

　　if-match acl 3003

　　apply ip-address next-hop y.y.y.y (y.y.y.y代表电信地址)

　　interface GigabitEthernet0/4

　　ip address 192.168.100.1 255.255.255.0

　　ip policy-based-route 1

　　2.浮动路由配置

　　浮动路由可以实现路由互为备份的作用。

　　通过配置优先级高的缺省路由走联通，通过策略路由将规定的源地址的下一跳指向电信

　　ip route-static 0.0.0.0 0.0.0.0 x.x.x.x (x.x.x.x代表联通地址)

　　当联通链路出现故障，可以通过优先级较低的缺省路由，将办公区数据流的下一跳指向电信，而服务器区的业务依旧按照策略路由进行转发。

　　ip route-static 0.0.0.0 0.0.0.0 y.y.y.y preference 100 (y.y.y.y代表电信地址)

2016年01月