Double SP+ASA+FWSM+ISA的典型用法

network

Double SP+ASA+FWSM+ISA的典型用法

如图所示，某客户网络实施完成后，整个网络分为如下几部分组成：
一、Internet接入区：
　　使用一台Cisco　3845路由器，完成Internet接入，客户使用了网通和电信2个运营商的线路，接入后，使用Radware Linkproof做互联网线路的负载均衡，在Cisco 3845上使用了NAT，映射2个运营商分配的公网地址到ASA　outside端口的IP。

二、Remote Branch　IPSCE VPN接入区
　　使用Cisco ASA5520，完成全国200余个分支机构的远程接入，远程分支机构使用PIX 506E，连接ADSL线路，做easy-vpn配置，以IPSEC　VPN拨入总部网络，对于连接电信线路的分支机构，拨入时使用3845上映射的电信的IP地址，而对于连接网通线路的分支机构，拨入VPN时使用的是3845上映射的网通的IP地址。
　　ASA上同时安装了IPS模块。

三、总部内网区域
　　这个区域的网络设备主要有2台Cisco 6509+FWSM。由于地理位置的关系，在ASA 5520和6509之间连接了一台二层交换机Cisco 3750，一方面是完成ASA 5520和Cisco 6509距离过远，多模光纤无法使用，所以3750起了光电转换的作用，另一方面，为了对2台Cisco 6509的双连接。

　　2台Cisco 6509上使用了二层port channel技术和HSRP技术，由于这是常用的技术，在此不再赘述。
　　2台Cisco 6509上安装了FWSM模块，V3.1(1)版本，FWSM启用路由模式，没有启用虚拟防火墙，划分三个安全区域：内网、DMZ和外网。
　　FWSM的功能主要是对上述三个安全区域做安全策略控制。而DMZ区的主要对外服务服务器，如web server、认证服务器等，都由Cisco 3845完成内网对公网IP的映射。
　　内网用户使用DHCP，DHCP Server在其中一台6509上配置，为防止2台6509同时启用DHCP Server地址冲突和DHCP广播过多，在此6509故障情况下，将配置手工复制到另一台6509上。
　　内网用户使用802.1X用户认证接入，网内部署了ACS 4.0，ACS使用外部用户数据库Windows 2003 server的AD。
　　由于总部用户大楼内的AP均为比较旧的设备，为中兴的AP，不支持802.1X认证等，所以对这部分接入用户的控制，使用了代理服务器，在图的左下方可看到。代理服务器软件使用Microsoft ISA，代理服务器安装了2块网卡，启用了DHCP Server，专门针对WLAN接入用户的IP网段。在这台服务器上还启用了windows 2003的路由功能（win2000　server也支持），缺省网关指向与6509相连的外网网卡（VLAN 23）。而所有的AP被连接到2台6509后，划入了VLAN　22，VLAN 22的三层网关在这台代理服务器的内网口配置，6509上没有对VLAN 22启三层，只起二层连接功能。逻辑结构是AP连接到代理服务器，然后由代理服务器的路由功能再连接到6509上。这部分用户先从代理服务器得到IP地址，然后在代理服务器的安全策略控制下，访问网内的各种资源。对于这部分用户的IP网段，在6509上指向了代理服务器外网口，即VLAN 23的地址。

[ 本帖最后由 LeoLi 于 2007-1-29 09:29 AM 编辑 ]




附件
2007-1-29 04:06 AM

拓扑.jpg (79.31 KB)
  

wasp