在DMZ区部署视频服务器

时间 2021-01-22

标签服务器网络运维 ide 测试 spa orm 视频 server blog 栏目系统网络繁體版

原文原文链接

在DMZ区域部署视频服务器服务器

1、背景网络

我司某部门要上架几台视频服务器，经过这台服务器管理全国机构的视频监控摄像机，须要将服务器部署在总公司，方便总公司的IT进行运维，但要让机构的视频监控摄像机能经过当地的外网来互相访问，经过网络规划，须要在防火墙上新建一个DMZ区域，用于部署视频服务器，来知足业务的流量访问需求。运维

2、网络拓扑ide

3、网络配置测试

一、在防火墙上新建一个DMZ区域，并配置子接口，将网关启用在防火墙上，关联vlan367；下联一台接入交换机，经过交换机链接视频服务器，在交换机上建立vlan 367，将链接至服务器的端口设置为access模式，并归属vlan367，交换机上联口设置为trunk口便可；在与之核心交换机上，将到视频服务器段的静态路由充分发进ospf，使内网能够管理到视频服务器。
spa

二、具体配置以下：orm

（1）在核心交换机上：视频

set routing-options static route 106.39.2.xx/28 next-hop 10.63.xx.xxserver

set policy-options policy-statement to-shipin-server term 10 from protocol staticblog

set policy-options policy-statement to-shipin-server term 10 from route-filter 106.39.2.xx/28 exact

set policy-options policy-statement to-shipin-server term 10 then accept

set protocols ospf export to-shipin-server //发布至ospf

（2）在防火墙上：

set interface "ethernet0/1" zone "DMZ"

set interface "ethernet0/1.367" tag 367 zone "DMZ"

set interface ethernet0/1.367 ip xx.xx.67.169/29

set interface ethernet0/1.367 nat

set interface ethernet0/1 ip manageable

set address "DMZ" "xx.xx.67.168/29" xx.xx.67.168 255.255.255.248

set interface "ethernet0/3" mip 106.39.2.xx host xx.xx.67.170 netmask 255.255.255.255 vr "trust-vr"

set policy id 1 from "Trust" to "Untrust" "x.xx.xx.0/8" "Any" "ANY" permit log

set policy id 1

exit

set policy id 2 from "Trust" to "DMZ" "Any" "xx.xx.67.168/29" "ANY" permit log

set policy id 2

exit

set policy id 3 from "DMZ" to "Untrust" "xx.xx.67.168/29" "Any" "ANY" permit log

set policy id 3

exit

set policy id 6 from "Untrust" to "DMZ" "Any" "MIP(106.39.2.xx)" "ANY" permit

set policy id 6

exit

（3）在接入交换机上：

conf

vlan 367

exit

interface range f0/1-10

switch mode access

switch access vlan 367

interface g0/25

switch mode trunk

description "To-xxxx.xxx.eth0/1"

4、业务测试

一、内网能够远程管理视频服务器。

二、内网能够正常访问互联网。

三、视频服务器不能主动访问内网。

四、视频服务器能够正常访问互联网。

五、机构能够经过映射的公网地址（106.39.2.X）正常访问视频服务器。