| YUNET工程师相思猪BOOTCAMP实战--北京LAKALA公司ASA防火墙实战! |
| 双击自动滚屏 |
发布者:yunet 发布时间:2009-8-17 阅读:510次 |
SPOTO上海IT外包的又一个大项目!!!!!!!
纯思科设备组网,Internet/WAN双出口!!!!!!ASA5505,ASA5520思科防火墙!!!!!Cisco2811路由器!!!!Cisco3560,4948,2960交换机!!!10月27日 早上 9:30 左右,上海项目部主管又接到了神码的项目.
北京LAKALA公司上海分部内网配置,具体的条件没有详谈,只是提醒我们
前期有几个其他公司的工程师已经做了部分配置,但是没有实现客户的需求,客户
比较不满,要求我们以最快的速度赶去现场,并详细了解客户需求.最后简单介绍
了前期工程师所做的一些配置.
10:30 左右, 和客户电话沟通完毕,得到前期配置的所有Show run,并且得知客户
的主要需求,其网络拓扑结构图整理如下:
从图和要求上来看,此次项目的重点就在于PPPOE的配置和ASA5520的不同安全级别互相访问策略..接下来开始准备配置脚本,商定可能的策略..hoho
14:30经过长途跋涉,终于来到位于张江高科的北京LAKALA公司
再次和客户完成沟通后,了解到了详细的配置需求
1. 网络故障排除ASA5505 PPPOE无法拨号问题
2. 实现服务器集群和OA内网用户互访
3.实现外网2800能Ping通服务器集群和OA群
4.全网路由可达,全网设备Telnet开启
5.OA内网PC能正常上网
6.内网策略要求ASA5520上对应外网口安全级别为30,内网连接服务器的为100,连接OA办公PC的为50.
7.在此安全级别基础上实现wan用户能访问4909服务器,OAPC群部分能访问Server
8.4909上做ACL配置,禁止4909下挂服务器访问Internet.
9.ASA5520上配置子接口,实现单臂路由功能,但是禁止Vlan用户互访.
10.Cisco3560配置优化,2层互连为3层互连,静态路由问题,EIGRP重分布问题
11.C2811配置优化,添加远程登录管理配置,添加端口互连描述 其中思科ASA防火墙在学习中较少接触,使用SPOTO上海实验平台进行完美的模拟,终于顺利的解决了 几个关键性的技术问题,顺利完成了实施方案的确定......
设备详图: 这个是ASA5505,负责担当本次内网的出口,PPPOE就是在这台设备上配置的..
 5505的背面,是2层的8口交换口呢..呵呵,这里大家能联想到一些配置上的差异么?
接下来是思科经典的3560多层交换机和2960交换机,hoho新机器的感觉就是不一样 2800大家都看习惯了…就不看了..呵呵,来一张ASA 5520的,这不太容易看到,512mb内存的.
还有4986的图,这个型号也不多见,全1000mb电口呢… 最后来一张全景的 项目总结:本次项目的技术难点..1.客户的机器上存在很多错误的配置,由于先前的工程师的失职,所以,制造了许多不必要的麻烦…2.默认情况下防火强的不同安全等级之间的互访是有规则的,可是客户要求打破防火墙默认的规则,实现内部网络全网互联后,再进行策略的定制..3.作为外网出口的ASA5505在配好PPPOE拨号后,自己能出公网,可是内网用户反而不能访问公网了,(NAT已经有配置过,并且没设置任何策略).4.全网IP地址规划不是很规范,使用了公网地址段,设备互联IP,各地址段规律性不强,导致后期的一些问题..如路由不通.. |
|
|
|
