红塔烟草(集团)万兆以太网建设项目数据中心防火墙部署改造方案
(V1.4)
北京联信永益信息技术有限公司
2010年2月
目录
一、概述................................. 错误!未指定书签。
二、人员及时间........................... 错误!未指定书签。
1、参与人员........................... 错误!未指定书签。
2、操作时间........................... 错误!未指定书签。
三、业务影响............................. 错误!未指定书签。
四、前期准备工作......................... 错误!未指定书签。
五、网络拓扑图........................... 错误!未指定书签。
六、数据中心设备配置..................... 错误!未指定书签。
1.数据中心两台6509E设备VSS部署及设备配置错误!未指定书
签。
2.数据中心两台6509E防火墙FWSM透明模式配置错误!未指定
书签。
七、防火墙失效切换测试................... 错误!未指定书签。
八、应急方案............................. 错误!未指定书签。
一、概述
数据中心网络现状:一台部署在商务楼4楼机房数据中心汇聚交换机6509E 与一台部署在技术中心机房数据中心汇聚交换机6509E分别通过1条10GE上联到核心6509E交换机,两台汇聚交换机之间通过一条10GE链路Trunk互联;放置在商务楼的数据中心服务器和放置在技术中心的数据中心服务器通过单链路,分别连接到对应区域的数据中心交换机上,所有服务器网关指向部署在商务楼4楼数据中心交换机上对应的vlan实地址。
两台数据中心交换机上分别部署一块FWSM防火墙模块,通过Failover技术实现对数据中心网络安全保护。
本次工程将部署在技术中心的数据汇聚6509E交换机搬迁到商务楼1楼新机房,在两台数据中心6509E设备上部署VSS,采用VirtualSwitchingSupervisor72010GE引擎板卡上的万兆以太网上行链路端口进行互联,同时使用两条万兆链路进行捆绑,保证VSS系统的可靠性。
采用两条10GE链路捆绑与核心设备互联,同时对防火墙模块部署透明模式。
二、人员及时间
1、参与人员
2、操作时间
2010年2月9日-2010年2月9日
三、业务影响
本次割接操作将对数据中心6509E设备部署VSS,同时,防火墙FWSM模块部署透明模式,对数据中心网络进行规划和调试。
因此会影响数据中心服务器与集团网络间的互相访问。
四、前期准备工作
以下为联信永益需要准备的工作
1、软件版本测试通过;
2、核对设备配置、端口类型、端口状态;
3、文件
4
以下为红塔集团信息网络科需要准备的工作
1、配合割接人员进入机房;
2、提供console配置权限登陆口令;
五、网络拓扑图
现状:数据中心FWSM路由模式拓扑图
备注:
1、HT_SWLDA_4F_6509E_01、HT_SWLDA_1F_6509E_01设备上的InterfaceVlan411接口为OSPF路由协议报文传递使用。
2、Vlan402为服务器业务使用(inside接口);Vlan41
3、Vlan414为两台6509E 设备上防火墙模块的Failover协议使用,HT_SWLDA_4F_6509E_01上的防火墙模块为Primary,HT_SWLDA_1F_6509E_01上的防火墙模块为Secondary;Vlan412为两台6509E与其防火墙模块的Outside接口连接使用,两台6509E的
InterfaceVlan412接口启用HSRP协议,HT_SWLDA_4F_6509E_01为Active,HT_SWLDA_1F_6509E_01为Standby。
改造后:数据中心FWSM透明模式拓扑图
备注:
1、Gi1/3/48、Gi2/3/48接口为BFD使用。
2、vlan402为服务器业务使用;vlan402为inside接口;Vlan41
3、Vlan414为两台6509E设备上防火墙模块的Failover协议使用,商务楼4楼6509E设备上的防火墙模块为Primary,商务楼1楼6509E上的防火墙模块为Secondary;Vlan412为两台6509E与其防火墙模块的Outside接口连接使用,vlan402服务器的网关指向vlan412的接口ip地址。
六、数据中心设备配置
1.数据中心两台6509E设备VSS部署及设备配置
2.数据中心两台6509E防火墙FWSM透明模式配置
七、防火墙失效切换测试
八、应急方案
如实施出现问题,恢复设备割接前互联链路,恢复原有配置,使设备能够正常运行。