VVIP客户，鄙人怒海狂涛，新自**

一切以用户需求为向导，即使错的也是对的。但你要默默更正错误。不要驳了VVIP的面子，你驳的不是客户面子，是人情事故。

  

VVIP客户现有网络架构如下，接入交换机---核心交换机---出口路由器.

说明:拓扑是经过本人亲自操刀简化后的拓扑。  

VVIP客户需要达到如下效果：

1、新增一台AF防火墙，割接减少网络中断时间(此外不多说)

2、防火墙尽量旁挂，假如故障不影响网络使用

3、配置安全策略，小kis，什么OSPF、PBR网通在说

4、目前IP规划

PC网关在PC上面交换机上192.168.10.254

交换机和交换机互联192.168.100.0/24

核心交换机和路由器连接192.168.200.0/24,各业务VLAN自己脑补啦。

路由器有一个环回口6.6.6.6/32

割接前

割接后拓扑如下

刀手在此，小意思轻松拿捏啊

说明：

1、说明防火墙旁挂引流部署，即使防火墙故障也不影响使用，其实防火墙有BYPASS的，客户怎么想无所谓啦，客户是上帝。

2、所有进出流量都经过防火墙进行清洗。

3、PC网关在PC上面交换机

开干思路

1、目前网络是通的。

2、核心交换机上配置2个VLANIF，一个连接防火墙的trust区域，一个连接防火墙的untrust区域。我只用了一条线这里偷懒下。trust:192.168.101.0/24   untrust 192.168.102.0/24

3、核心交换机到防火墙打T口拉，允许对应VLAN通
       4、防火墙基本配置

配置透明方式，且是T口，允许对应VLAN通过

配置VLANIF接口，并指定对应区域。其实AF的区域不重要，一点也不重要。配不配无所谓的。

配置回包路由和默认路由

配置安全策略，any吧，反正 是自己策略复盘的环境

防火墙配置完毕

5、核心交换机配置PBR

配置vlan

防火墙接口配置

配置vlanif

配置ACL，地址为ANY即可

配置PBR

出去的流量，交给防火墙内网VLANIF,内网接口调用，出去的流量交给防火墙内网口，也就是速称的trust区域

进来的流量，交给防火墙外网VLANIF,外网接口调用 ，进来的流量交给防火墙外网口，也就是速称的untrust区域

查看交换机路由表

业务测试

别着急撤嘛，traceroute测试下嘛，看路径对不对

路径没问题啊，到了核心在交给防火墙，防火墙在交给交换机，交换机在出去。没问题

即使防火墙坏也也不影响啊。

总结两个问题啊别急

问题1

在这里有兄弟会不会问？流量到了核心交换机，会不会直接从路由表转发了，而不经过防火墙啊？

问题问的好，但是呢流量是先到达防火墙接口，接口已经抢先一步路由表做了得定向嘛

问题2

接着上面的问题，如果防火墙挂了，这个核心交换机的重定向还在，这个时候会不会又走防火墙了啊，走防火墙业务不是不通了嘛？

其实呢，虽然接口配置了重定向，但是呢，这个属于直连路由嘛，直连路由都失效了，肯定不会走这里啦。

测试一把

这里呢，把连接防火墙的接口down了，有人会问，这还亮着呢，这是模拟器的问题，我也无论为例啊.

咱们进行路由追踪嘛

完美收官。

果然是啥客户都有