防火墙冗余负载的实现

时间:2024-12-27 04:22:14 来源:作文网 作者:管理员

摘 要: 随着网络的发展,高效、稳定的校园网络是学校走向信息化发展的首要选择。一个好的校园网,高效、稳定非常重要,为达到高效、稳定的要求,作者重点介绍了防火墙冗余负载均衡具体的设计。

关键词: 校园网 负载均衡 NAT HSRP

大型的网络安全必须使用防火墙,但是价格昂贵,对于现在设计的中小型网络来说可通过配置路由器或三层交换机的访问控制列表发挥防火墙的功能。三层交换机做防火墙的最大优点是包过滤速度很快♀,这是因为三层交换机转发数据包是基于硬件的。三层交换机处于网络的第三层网络层,因为是核ฉ心层所以最容易遭受黑客的攻击。在软件方面,那些防火墙可以通过高可靠性的配置阻止来路不明的数据包输入,可以控制访问列表,通过对访问列表的配置限制内部用户访问一些不可靠的网络地址,也可以防止校外的非法访问者访问校园的内部网络。三层交换机具有可扩展性,不需要对原来网络的已有设备进行改动的情况下可直接扩充增加新设备,使得学校的投资不会有太多损失。

1.防火墙的数据包的流动过程

来自因特网的主机访问DMZ区的WWW服务器为例,若规则的配置采取默认禁止,允许访问的服务已在规则中列出。首先,Inter主机发起的访问请求数据包流入防火墙,目的IP地址为要访问的服务器✔,目的端口为TCP80,源地址为本地IP地址,源端口使用当前未使用的较低端的端口,来自因特网的访问请求都从WAN口流入,要在流入方向应用访问控制列表,允许其对端口为TCP80的服务器进行访问。经防火墙路由的过滤后,从DMZ口流出到达目标服务器。服务器收到请求,回应数据包从防火墙的DMZ口流入。在DMZ口的In方向应用的访问控制列表中添加允许响应包通过的规✫则。再经防火墙的路由选择,从WAN口流出,到过发起访问请求的主机。

2.防火墙冗余负载均衡

防火墙的冗余负载均衡主要是通过HSRPส实现。如下图所示。

R1上的配置如下所示:

Int g0/1

no shutdown

standby 10 pri 105

standby 10 pre

standby 10 trac s0/3/0

standby 10 trac g0/1

int g0/2

no shutdown

standby 11 pri 100

standby 11 pre

standby 11 trac s0/3/0

R3的配置与以上R1的配置类似。

SW4上的配置如下所示:

Int g0/1

Switch mode access

Switch access vlan 10

Int g0/2

Switch mode access

Switch access vlan 11

exit

Int vlan 10

no shutdown

int vlan 11

no shutdown

SW5的配置与以上SW4的配置类似。

在SW4和SW5上分别设置去往外网的静态路由和路由黑洞如下所示:

在R1和R3上配置静态路由:

在R1上的设置如下所示:

Ip route 0.0.0.0. 0.0.0.0 202.202.202.1

R3静态路由的配置与R1相似。

参考文献:


热门排行: 教你如何写建议书