WAP项目现场安装文档 (SSG 550M防火墙)
V1.0
Juniper Networks.
2008-9-6
电信WAP网关SSG550配置手册
第2页 共42页
电信WAP网关SSG550配置手册
目录
1 2
概述 ........................................................................................................................................................ 4 电信WAP中心网络规划 ..................................................................................................................... 5
2.1 2.2
Zone规划 ........................................................................................................................ 5 访问策略实现 ................................................................................................................. 7 2.2.1 2.2.2 2.2.3 2.2.4
PDSN访问实现 ...................................................................................................... 7 163公网访问实现 .................................................................................................. 8 DCN访问实现 ........................................................................................................ 8 CN2访问实现 ......................................................................................................... 8
3 设备端口连接规划 ................................................................................................................................ 8
3.1 3.2 3.3 3.4
4
设备端口编号 ................................................................................................................. 8 设备端口连接表 ............................................................................................................. 9 防火墙接口地址规划 ..................................................................................................... 9 防火墙策略定义规划 ................................................................................................... 10
防火墙配置安装步骤 .......................................................................................................................... 12
4.1 4.2 4.3 4.4 4.5 4.6 4.7 4.8 4.9 4.10 4.11
5
初始化配置 ................................................................................................................... 12 防火墙冗余NSRP设置 ............................................................................................... 14 设置设备接口参数 ....................................................................................................... 21 设置路由 ....................................................................................................................... 24 定义WAP中心主机及信息服务端口 ......................................................................... 26 配置NAT(DIP\\NAT-Dst\\MIP) ................................................................................ 27 定义安全访问策略 ....................................................................................................... 32 用户账号管理 ............................................................................................................... 33 配置文件备份 ............................................................................................................... 34 版本升级步骤 ............................................................................................................... 36 常用排错步骤及命令汇总 ........................................................................................... 37
附录:防火墙配置文件 ...................................................................................................................... 38
5.1 5.2
SSG-550M-1防火墙配置 ............................................................................................. 38 SSG-550M-2防火墙配置 ............................................................................................. 42
第3页 共42页
电信WAP网关SSG550配置手册
1 概述
电信WAP网关采用两台ZXR10 T40G三层交换机做为核心交换机,并且采用两台Juniper SSG-550M防火墙来做安全控制。WAP网关通过电信的CE路由器分别连接PDSN、CN2、DCN和电信163公网4个网络,以内蒙古电信WAP为例,网络结构图如下:
在逻辑结构上,WAP网关需要和PDSN、CN2、DCN和163公网4个网络进行网络互联。
第4页 共42页
电信WAP网关SSG550配置手册
此次项目通过JUNIPER防火墙实现的主要功能如下: 1.
PDSN网络(10.0.0.0/8)的主机需要访问10.0.0.165 主机TCP的80端口,UDP的9200-9203、1813、1812端口。通过防火墙后,即访问我内部主机192.168.0.133TCP的8000端口,UDP的9200-9203、1813、1812。 2.
内部的多台主机(包括192.168.0.133)需要访问163公网上的任何资源,而且192.168.0.133的TCP的8090端口需要被163公网上的主机访问。这样报文在出防火墙时,需要转换成公网地址。 3.
内部的多台主机(包括192.168.0.133)需要与CN2上相互访问,这样内部主机需要转换成CN2的地址与CN2的主机进行通讯。而且192.168.0.133的TCP的8090端口需要被CN2上的主机访问,其他的端口还不确定。 4.
内部的多台主机(包括192.168.0.133)需要与DCN的主机进行互相访问。也需要转换成DCN的地址进行互通。 5.
PDSN网络的主机需要通过防火墙去访问163公网上的资源,需要在防火墙上将源地址变换成公网地址。
2 电信WAP中心网络规划
2.1 Zone规划
根据WAP业务访问需求,由于在此项目中使用的Juniper SSG-550M防火墙为标准配置,
仅自带4个千兆接口,其中eth0/3 接口作为HA传输心跳等信息,至此实际能应用到此网络环境中进行数据传输的接口只有3个(eth0/0、eth0/1、eth0/2),并且每台CE路由器也仅能提供2个接口通过交换机与我们的设备进行通信。内部网络占用一个端口,这样实际上剩下2个端口来接电信的4个网络。为保证内部用户与其4个网络互相通信,并正常访问,在此将对网络连接接口进行如下规划:
1、 PDSN单独划分为一个 DMZ zone,CN2\\DCN\\163公网划分到Untrust zone。 2、 PDSN网络单独一根线通过交换机接到防火墙的eth0/1接口,该接口为DMZ zone。 3、 163网络单独一根线通过交换机接到防火墙的eth0/2 接口,该接口为Untrust zone。 4、 CN2\\DCN网络所以流量将通过eth0/2接口进出,该接口为Untrust zone。
第5页 共42页