背景:现有的业务系统网络环境是172网段的,通过上联的华为8508经防火墙和路由连公网。业务系统在三楼机房,现在整个业务和核心区系统需要接入6楼所在的监控系统PATROL监控主机,监控系统都是192网段的。
监控主机IP:192.168.165.89
监控接入网段:192.168.1.1-192.168.1.30 
监控接入段网关:192.168.1.30,监控接入段和监控主机是已经连通的。

环境:网络设备都是华为的,交换机华为LS-S5328C,防火墙华为Eudemon 200E,服务器系统都是SUSE 10 ENTERPRISE  SERVER 64bit版本的。

需求:业务环境是172网段,服务器都做了双网卡绑定(服务器是四块网卡,另外两块没有布线)。在不增加现有业务环境的网络布线和改变现有业务环境的网络部署情况下,从监控平台所在的交换机引两根线到业务环境的两个防火墙上,实现对整个业务区和核心区的监控。

网络拓扑图:

防火墙nat+交换机路由+系统软路由构造的网络环境_第1张图片

 实现过程:
1、防火墙上的设置:(两个防火墙配置类似)
#interface Ethernet2/0/0
 description link_to_jiankong
 ip address 192.168.192.1 255.255.255.224
#firewall zone name jiankong
 set priority 70
 add interface Ethernet2/0/0
#firewall interzone  jiankong  untrust
 packet-filter 3001 outbound
#firewall interzone  jiankong  trust
 packet-filter 3002 inbound
(注:监控区到业务区和核心区的访问策略,在此略去)
#nat server global 192.168.192.3 inside 172.29.141.253
 nat server global 192.168.192.4 inside 172.29.141.254
 nat server global 192.168.192.5 inside 172.29.141.66
 nat server global 192.168.192.6 inside 172.29.141.67
 nat server global 192.168.192.7 inside 172.29.141.12
 nat server global 192.168.192.8 inside 172.29.141.13
 nat server global 192.168.192.9 inside 172.29.141.14
 nat server global 192.168.192.10 inside 172.29.141.15
 nat server global 192.168.192.11 inside 172.29.141.16
 nat server global 192.168.192.12 inside 172.29.141.17
 nat server global 192.168.192.12 inside 172.29.141.18
 nat server global 192.168.192.12 inside 172.29.141.19
(除两个防火墙外,把业务区和核心区的网络设备和服务器都做NAT映射与192段地址一一对应)
# ip route-static 192.168.165.89 255.255.255.255 192.168.1.30(#192.168.192.30)
#snmp-agent community read  Jun01
#snmp-agent target-host trap address udp-domain 192.168.165.89 params securityname Jun01

2、业务区接公网的三层交换机上设置:(两个三层交换机配置类似)
# ip route-static 192.168.165.89  255.255.255.255  172.29.141.14
172.29.141.14是业务区接核心区的两个防火墙上VRRP的虚地址
#snmp-agent community read  Jun01
#snmp-agent target-host trap  address udp-domain 192.168.165.89 params securityname Jun01

3、核心区接业务区的交换机上设置:(两个核心区交换机配置类似)
# ip route-static 192.168.165.89  255.255.255.255  172.29.141.19
172.29.141.19是核心区接业务区的两个防火墙上VRRP的虚地址
#snmp-agent community read  Jun01
#snmp-agent target-host trap  address udp-domain 192.168.165.89 params securityname Jun01
 

4、服务器上软路由设置:
#yast (输入yast后选择路由项)
防火墙nat+交换机路由+系统软路由构造的网络环境_第2张图片

 按空格键选中专家配置然后添加新的路由

防火墙nat+交换机路由+系统软路由构造的网络环境_第3张图片

防火墙nat+交换机路由+系统软路由构造的网络环境_第4张图片

防火墙nat+交换机路由+系统软路由构造的网络环境_第5张图片

最后选择完成,软路由配置完毕。

 5、测试:
#netstat  -nr可以看到新增的路由,然后通过PING测试一下到监控主机的连通。登录网络设备,通过PING也可测试一下。


6、监控系统客户端的安装,整体监控系统的测试和联调。
 

总结:面对问题,只要用心去思考,你会发现问题的解决还有另一面,知识的灵活应用是我们需要认真琢磨的。