園區(qū)分支出口的兩臺華為防火墻組建雙機熱備，作為整個園區(qū)網(wǎng)絡的出口網(wǎng)關(guān)，對出入園區(qū)的業(yè)務流量提供安全過濾功能，為網(wǎng)絡安全提供保證。核心層的兩臺交換機組建集群，作為整個園區(qū)網(wǎng)絡的核心，同時作為用戶網(wǎng)關(guān)，為用戶分配IP地址。具體業(yè)務要求如下：

?禁止外網(wǎng)用戶訪問內(nèi)網(wǎng)，內(nèi)網(wǎng)用戶可以正常訪問Internet，但不能玩網(wǎng)絡游戲和觀看網(wǎng)絡視頻。

?分支和總部之間需要通過Internet進行互通，通信內(nèi)容需要有安全保護。

本案例中，匯聚層的兩臺交換機組建堆疊，與核心交換機相連，對于核心層以下組網(wǎng)場景請參見園區(qū)內(nèi)基礎網(wǎng)絡連通部署案例。

圖1 防火墻部署IPSec與總部互聯(lián)的組網(wǎng)圖