在DMZ区域部署视频服务器
一、背景
我司某部门要上架几台视频服务器,通过这台服务器管理全国机构的视频监控摄像机,需要将服务器部署在总公司,方便总公司的IT进行运维,但要让机构的视频监控摄像机能通过当地的外网来互相访问,通过网络规划,需要在防火墙上新建一个DMZ区域,用于部署视频服务器,来满足业务的流量访问需求。
二、网络拓扑
三、网络配置
1、在防火墙上新建一个DMZ区域,并配置子接口,将网关启用在防火墙上,关联vlan367;下联一台接入交换机,通过交换机连接视频服务器,在交换机上创建vlan 367,将连接至服务器的端口设置为access模式,并归属vlan367,交换机上联口设置为trunk口即可;在与之核心交换机上,将到视频服务器段的静态路由充分发进ospf,使内网可以管理到视频服务器。
2、具体配置如下:
(1)在核心交换机上:
set routing-options static route 106.39.2.xx/28 next-hop 10.63.xx.xx
set policy-options policy-statement to-shipin-server term 10 from protocol static
set policy-options policy-statement to-shipin-server term 10 from route-filter 106.39.2.xx/28 exact
set policy-options policy-statement to-shipin-server term 10 then accept
set protocols ospf export to-shipin-server //发布至ospf
(2)在防火墙上:
set interface "ethernet0/1" zone "DMZ"
set interface "ethernet0/1.367" tag 367 zone "DMZ"
set interface ethernet0/1.367 ip xx.xx.67.169/29
set interface ethernet0/1.367 nat
set interface ethernet0/1 ip manageable
set address "DMZ" "xx.xx.67.168/29" xx.xx.67.168 255.255.255.248
set interface "ethernet0/3" mip 106.39.2.xx host xx.xx.67.170 netmask 255.255.255.255 vr "trust-vr"
set policy id 1 from "Trust" to "Untrust" "x.xx.xx.0/8" "Any" "ANY" permit log
set policy id 1
exit
set policy id 2 from "Trust" to "DMZ" "Any" "xx.xx.67.168/29" "ANY" permit log
set policy id 2
exit
set policy id 3 from "DMZ" to "Untrust" "xx.xx.67.168/29" "Any" "ANY" permit log
set policy id 3
exit
set policy id 6 from "Untrust" to "DMZ" "Any" "MIP(106.39.2.xx)" "ANY" permit
set policy id 6
exit
(3)在接入交换机上:
conf
vlan 367
exit
interface range f0/1-10
switch mode access
switch access vlan 367
interface g0/25
switch mode trunk
description "To-xxxx.xxx.eth0/1"
四、业务测试
1、内网可以远程管理视频服务器。
2、内网可以正常访问互联网。
3、视频服务器不能主动访问内网。
4、视频服务器可以正常访问互联网。
5、机构可以通过映射的公网地址(106.39.2.X)正常访问视频服务器。