園區(qū)分支出口的兩臺(tái)華為防火墻組建雙機(jī)熱備,，作為整個(gè)園區(qū)網(wǎng)絡(luò)的出口網(wǎng)關(guān)，對(duì)出入園區(qū)的業(yè)務(wù)流量提供安全過濾功能，為網(wǎng)絡(luò)安全提供保證,。核心層的兩臺(tái)交換機(jī)組建集群,，作為整個(gè)園區(qū)網(wǎng)絡(luò)的核心，同時(shí)作為用戶網(wǎng)關(guān),，為用戶分配IP地址,。具體業(yè)務(wù)要求如下：

?禁止外網(wǎng)用戶訪問內(nèi)網(wǎng)，內(nèi)網(wǎng)用戶可以正常訪問Internet,，但不能玩網(wǎng)絡(luò)游戲和觀看網(wǎng)絡(luò)視頻,。

?分支和總部之間需要通過Internet進(jìn)行互通，通信內(nèi)容需要有安全保護(hù),。

本案例中,，匯聚層的兩臺(tái)交換機(jī)組建堆疊，與核心交換機(jī)相連,，對(duì)于核心層以下組網(wǎng)場(chǎng)景請(qǐng)參見園區(qū)內(nèi)基礎(chǔ)網(wǎng)絡(luò)連通部署案例,。

圖1 防火墻部署IPSec與總部互聯(lián)的組網(wǎng)圖