園區分支出口的兩臺華為防火墻組建雙機熱備，作為整個(gè)園區網(wǎng)絡(luò )的出口網(wǎng)關(guān)，對出入園區的業(yè)務(wù)流量提供安全過(guò)濾功能，為網(wǎng)絡(luò )安全提供保證。核心層的兩臺交換機組建集群，作為整個(gè)園區網(wǎng)絡(luò )的核心，同時(shí)作為用戶(hù)網(wǎng)關(guān)，為用戶(hù)分配IP地址。具體業(yè)務(wù)要求如下：

?禁止外網(wǎng)用戶(hù)訪(fǎng)問(wèn)內網(wǎng)，內網(wǎng)用戶(hù)可以正常訪(fǎng)問(wèn)Internet，但不能玩網(wǎng)絡(luò )游戲和觀(guān)看網(wǎng)絡(luò )視頻。

?分支和總部之間需要通過(guò)Internet進(jìn)行互通，通信內容需要有安全保護。

本案例中，匯聚層的兩臺交換機組建堆疊，與核心交換機相連，對于核心層以下組網(wǎng)場(chǎng)景請參見(jiàn)園區內基礎網(wǎng)絡(luò )連通部署案例。

圖1 防火墻部署IPSec與總部互聯(lián)的組網(wǎng)圖