防火墙双出口配置拓扑.pptx

项目背景：高校园区网一般都申请两个出口：其中一个出口为教育网出口，另一个出口为网通或电信。由于校园网内的用户访问国际网络资源是需要付费的，故设计时要求访问教育网资源时则从园区网的教育出口出去，而其他流量则从网通出口出去。这样只需要把所有到教育网的路由配置为静态，其他流量则默认路由到网通。另外一个需要解决的问题：由于目前服务器使用的都是从教育网分配的公有IP，所以当从Internet上非教育网上的用户访问高校园区网内服务器上的资源时，则只能从教育网入口进入高校园区网，但返回流量则可能会走网通出口出去，也就是说从FWSM1近来的流量，而返回流量则可能会从FWSM2出去，这样在防火墙上则会出现非对称路由问题。解决方案在MSFC做策略路由，保证从FWSM1近来的流量一定再从FWSM1返回去。

vlan20vlan30vlan40vlan10FWSM1FWSM2CernetCNC校园网设计：Nat分别在两个虚拟防火墙上做路由：1、在mfsc上做静态路由到Cernet；2、在mfsc上默认路由到internet3、在mfsc做测路路由把服务器的流量全部路由到cernet上，以防止从internet上访问农大服务时产生非对称的流量MSFCX.X.80.254/25192.168.254.4/30192.168.254.0/30.1.2.5.6X.X.5.122/24X.X.5.121/24X.X.169.78/25X.X.169.77/25Core_SW