項(xiàng)目3基于防火墻的網(wǎng)絡(luò)配置與實(shí)現(xiàn)

任務(wù)3-1防火墻DHCP服務(wù)功能與實(shí)現(xiàn)任務(wù)3-2防火墻DNS服務(wù)功能與實(shí)現(xiàn)任務(wù)3-3防火墻源路由服務(wù)功能與實(shí)現(xiàn)任務(wù)3-4防火墻負(fù)載均衡服務(wù)功能與實(shí)現(xiàn)項(xiàng)目實(shí)訓(xùn)三基于防火墻的網(wǎng)絡(luò)服務(wù)功能實(shí)現(xiàn)

任務(wù)3-1防火墻DHCP服務(wù)功能與實(shí)現(xiàn)

知識(shí)導(dǎo)入

1.什么是DHCP服務(wù)器

DHCP(DynamicHostConfigurationProtocol，動(dòng)態(tài)主機(jī)配置協(xié)議)是一個(gè)局域網(wǎng)的網(wǎng)絡(luò)協(xié)議，使用UDP協(xié)議工作，主要有兩個(gè)用途：一是局域網(wǎng)或網(wǎng)絡(luò)服務(wù)供應(yīng)商(ISP)為網(wǎng)內(nèi)PC等設(shè)備自動(dòng)分配IP地址；二是用戶或者網(wǎng)絡(luò)管理員對(duì)所有計(jì)算機(jī)作中央管理的手段。

在網(wǎng)絡(luò)安全系統(tǒng)中，三層交換機(jī)可以作為DHCP服務(wù)器，防火墻也可以作為DHCP服務(wù)器，對(duì)于PC服務(wù)器來講也可以作為DHCP服務(wù)器。

2.防火墻作為DHCP服務(wù)器配置的端口是什么

由于DHCP服務(wù)器進(jìn)行地址的自動(dòng)分配，一般適用于內(nèi)網(wǎng)PC機(jī)，因此，如果防火墻作為DHCP服務(wù)器，必須設(shè)置在內(nèi)網(wǎng)口。

案例及分析

企業(yè)內(nèi)網(wǎng)通過防火墻自動(dòng)獲取IP地址，同時(shí)可以訪問外網(wǎng)，具體要求：

(1)內(nèi)網(wǎng)用戶能夠自動(dòng)獲取到IP地址以及DNS；

(2)內(nèi)網(wǎng)用戶獲取到IP地址后能直接訪問外網(wǎng)。

分析內(nèi)容

本案例中企業(yè)內(nèi)網(wǎng)PC機(jī)的IP從防火墻中自動(dòng)獲取，因此需要在防火墻內(nèi)網(wǎng)端口設(shè)置DHCP服務(wù)器功能。一、網(wǎng)絡(luò)拓?fù)?/p>

網(wǎng)絡(luò)拓?fù)淙鐖DS3-1所示。圖S3-1網(wǎng)絡(luò)拓?fù)涠?、操作流?/p>

第一步：設(shè)置DHCP地址池。

在創(chuàng)建DHCP服務(wù)器前先創(chuàng)建一個(gè)地址池，目的是讓PC機(jī)能從該地址池中獲取一個(gè)IP地址。設(shè)置地址池名稱為pool，地址范圍為0～50，網(wǎng)關(guān)為，子網(wǎng)掩碼為，租約時(shí)間可以設(shè)置得稍微長(zhǎng)點(diǎn)，在此可以設(shè)置為1000000秒。地址池pool配置如圖S3-2所示。圖S3-2定義地址池pool另外如果需要內(nèi)網(wǎng)PC自動(dòng)獲取DNS地址，需要再編輯該地址池pool，在高級(jí)設(shè)置中選擇在DNS1中填寫DNS地址為，DHCP地址池高級(jí)配置如圖S3-3所示。

如果需要為某主機(jī)指定IP地址，可以點(diǎn)擊地址綁定。這里將PC機(jī)的MAC地址001e.Bc56.fd34與該P(yáng)C機(jī)自動(dòng)獲取的IP地址6綁定。注意MAC地址采用點(diǎn)分隔形式表示。DHCP地址池地址綁定配置如圖S3-4所示。圖S3-3設(shè)置自動(dòng)獲取DNS圖S3-4IP地址與MAC地址綁定第二步：設(shè)置DHCP服務(wù)。

在網(wǎng)絡(luò)選項(xiàng)中選擇DHCP選項(xiàng)，打開其中的服務(wù)選項(xiàng)卡，選擇啟用DHCP服務(wù)的防火墻內(nèi)網(wǎng)接口ethernet0/1，在地址池中選擇已經(jīng)創(chuàng)建好的IP地址池pool。設(shè)置DHCP服務(wù)器配置如圖S3-5所示。圖S3-5設(shè)置內(nèi)網(wǎng)接口為DHCP服務(wù)器第三步：DHCP服務(wù)器功能驗(yàn)證。

內(nèi)網(wǎng)PC機(jī)網(wǎng)絡(luò)連接中設(shè)置屬性為IP自動(dòng)獲取方式，這樣就可以自動(dòng)從內(nèi)網(wǎng)口的DHCP服務(wù)器上獲取地址池中的一個(gè)IP地址。通過在PC機(jī)運(yùn)行菜單下執(zhí)行cmd命令，使用IPconfig/all命令查看從DHCP服務(wù)器上自動(dòng)獲取到的IP地址：50，IP地址網(wǎng)關(guān)為，自動(dòng)獲取的DNS服務(wù)器地址為。內(nèi)網(wǎng)PC機(jī)IP地址自動(dòng)獲取功能驗(yàn)證測(cè)試如圖S3-6所示。圖S3-6測(cè)試自動(dòng)獲取的IP

相關(guān)知識(shí)

如何查看MAC地址？

在windows操作系統(tǒng)中，點(diǎn)擊“開始”菜單，選擇“運(yùn)行”，在打開的運(yùn)行界面中輸入“cmd”，如圖S3-7所示。圖S3-7cmd命令在彈出的窗口中輸入Ipconfig/all，查看本機(jī)的IP地址和MAC地址，如圖S3-8所示。

思考

內(nèi)網(wǎng)用戶如果需要自動(dòng)獲取IP地址，有哪幾種獲取方法？圖S3-8主機(jī)IP地址和MAC地址任務(wù)3-2防火墻DNS服務(wù)功能與實(shí)現(xiàn)

知識(shí)導(dǎo)入

什么是DNS代理服務(wù)器

DNS(DomainNameSystem，域名系統(tǒng))，是因特網(wǎng)上作為域名和IP地址相互映射的一個(gè)分布式數(shù)據(jù)庫(kù)，能夠使用戶訪問互聯(lián)網(wǎng)更加方便，用戶只需通過域名(如百度域名)即可訪問互聯(lián)網(wǎng)，而不用記憶IP地址串(如百度IP地址2)。通過主機(jī)名，最終得到該主機(jī)名對(duì)應(yīng)的IP地址的過程叫做域名解析(或主機(jī)名解析)。

案例及分析

某企業(yè)內(nèi)網(wǎng)/24，要求通過防火墻的設(shè)置將內(nèi)網(wǎng)用戶DNS地址自動(dòng)獲取為防火墻內(nèi)網(wǎng)口DNS服務(wù)器地址01，使得內(nèi)網(wǎng)用戶能夠解析成功并可以訪問網(wǎng)頁(yè)。

分析內(nèi)容

該案例中要求內(nèi)網(wǎng)用戶DNS地址自動(dòng)獲取為防火墻內(nèi)網(wǎng)口DNS服務(wù)器地址，因此可以采取對(duì)防火墻內(nèi)網(wǎng)口設(shè)置DNS服務(wù)器的方式讓內(nèi)網(wǎng)用戶自動(dòng)獲取DNS地址。

一、網(wǎng)絡(luò)拓?fù)?/p>

網(wǎng)絡(luò)拓?fù)淙鐖DS3-9所示。圖S3-9網(wǎng)絡(luò)拓?fù)涠?、操作流?/p>

第一步：在防火墻內(nèi)網(wǎng)口配置DNS服務(wù)器。

進(jìn)入防火墻登錄界面后，選擇網(wǎng)絡(luò)選項(xiàng)卡中的DNS服務(wù)器選項(xiàng)，進(jìn)行防火墻中DNS服務(wù)器的IP地址配置，手工設(shè)置DNS服務(wù)器IP地址為01，由于是在內(nèi)網(wǎng)口進(jìn)行DNS服務(wù)器配置，因此虛擬路由器為trust-vr。防火墻內(nèi)網(wǎng)口DNS地址配置如圖S3-10所示。第二步：配置DNS代理

打開防火墻中的網(wǎng)絡(luò)選項(xiàng)卡，點(diǎn)擊DNS選項(xiàng)，選擇代理，進(jìn)行防火墻代理服務(wù)功能配置。域名中選擇任意域，虛擬路由器同樣為內(nèi)網(wǎng)的trust-vr，域服務(wù)器使用系統(tǒng)配置的DNS地址。點(diǎn)擊確認(rèn)后即可，此時(shí)DNS代理地址使用的是防火墻本身的DNS地址。DNS代理配置如圖S3-11所示。圖S3-11DNS代理配置第三步：?jiǎn)⒂媒涌贒NS代理。

打開防火墻中的網(wǎng)絡(luò)選項(xiàng)卡，進(jìn)入接口配置界面，設(shè)置ethernet0/1為內(nèi)網(wǎng)接口，IP地址為/24，安全域?yàn)閠rust。形成接口列表如圖S3-12所示。圖S3-12接口列表由于內(nèi)網(wǎng)用戶是從內(nèi)網(wǎng)接口上自動(dòng)獲取DNS服務(wù)器地址，因此在對(duì)內(nèi)網(wǎng)接口ethernet0/1進(jìn)行基本屬性的配置后還需要進(jìn)行DNS服務(wù)器高級(jí)屬性的配置。編輯內(nèi)網(wǎng)口ethernet0/1，點(diǎn)擊高級(jí)設(shè)置，在高級(jí)設(shè)置中將DNS代理“啟用”選項(xiàng)勾選上。DNS代理啟用配置操作如圖S3-13所示。圖S3-13ethernet0/1接口啟用DNS代理配置第四步：測(cè)試。

(1)設(shè)置內(nèi)網(wǎng)PC機(jī)IP屬性。選擇內(nèi)網(wǎng)中的一臺(tái)PC機(jī)進(jìn)行防火墻DNS服務(wù)器功能測(cè)試。設(shè)置內(nèi)網(wǎng)PC的IP地址為13，子網(wǎng)掩碼為，網(wǎng)關(guān)可以為空，也可以設(shè)置為內(nèi)網(wǎng)接口的地址：，首選DNS服務(wù)器地址設(shè)置為防火墻內(nèi)網(wǎng)口地址。測(cè)試PC機(jī)IP設(shè)置如圖S3-14所示。

(2)配置DNS緩存。在防火墻上添加DNS緩存主機(jī)名為，IP地址為2，如圖S3-15所示。圖S3-14測(cè)試PC機(jī)IP配置圖S3-15設(shè)置緩存主機(jī)名

(3)測(cè)試DNS代理。進(jìn)入cmd，輸入nslookup，解析成功，說明DNS已經(jīng)搭建完成。

相關(guān)知識(shí)

(1)?DNS(DomainNameSystem，域名系統(tǒng))是因特網(wǎng)上作為域名和IP地址相互映射的一個(gè)分布式數(shù)據(jù)庫(kù)，能夠使用戶更方便地訪問互聯(lián)網(wǎng)，而不用去記住能夠被機(jī)器直接讀取的IP數(shù)串。通過主機(jī)名，最終得到該主機(jī)名對(duì)應(yīng)的IP地址的過程叫做域名解析(或主機(jī)名解析)。DNS協(xié)議運(yùn)行在UDP協(xié)議之上，使用端口號(hào)53。在RFC文檔中RFC2181對(duì)DNS有規(guī)范說明，RFC2136對(duì)DNS的動(dòng)態(tài)更新進(jìn)行說明，RFC2308對(duì)DNS查詢的反向緩存進(jìn)行說明。

(2)?Nslookup是一個(gè)監(jiān)測(cè)網(wǎng)絡(luò)中DNS服務(wù)器是否能正確實(shí)現(xiàn)域名解析的命令行工具。它在WindowsNT/2000/XP中均可使用，在Windows98中卻沒有集成這一工具。Nslookup必須在安裝了TCP/IP協(xié)議的網(wǎng)絡(luò)環(huán)境中才能使用。

(3)當(dāng)DNS服務(wù)器和防火墻一起使用時(shí)，應(yīng)考慮兩件事：節(jié)點(diǎn)或企業(yè)的安全政策以及將使用的防火墻的類型。首先必須考慮安全政策，以決定哪些流量允許通過防火墻。其次防火墻的類型將決定數(shù)據(jù)在專用網(wǎng)絡(luò)、DMZ以及Internet之間將如何處理。防火墻可以有多種設(shè)置，DNS也可以有相應(yīng)的多種處理方法。關(guān)鍵是要注意兩件事，其一是要使外部世界可以訪問一臺(tái)授權(quán)域名服務(wù)器，以便從本地解析可公用的主機(jī)；其二是內(nèi)部的主機(jī)應(yīng)能訪問外部域名服務(wù)器(通過某種機(jī)制，如前向服務(wù)器或代理服務(wù)器)以便查找其他域的主機(jī)。對(duì)域名服務(wù)器的最好保護(hù)措施是定期地備份域區(qū)和配置信息，而且應(yīng)確保這些備份信息在需要恢復(fù)文件時(shí)立即可用。將一個(gè)安全域?qū)ν饨珉[藏起來當(dāng)然是一種很好的保護(hù)措施，但對(duì)于想訪問外部世界的網(wǎng)絡(luò)的內(nèi)部用戶卻不方便。備份域區(qū)信息的一種方法是指定一個(gè)備份DNS服務(wù)器，在主服務(wù)器上把它作為一個(gè)合法的輔服務(wù)器，主服務(wù)器上的每一個(gè)域區(qū)都能快速映射到輔服務(wù)器上。這種方法可以用于負(fù)載量很大的主服務(wù)器上，以減少備份時(shí)間。傳統(tǒng)的拆分式DNS需要兩臺(tái)主服務(wù)器：一臺(tái)在防火墻內(nèi)，另一臺(tái)在防火墻外。防火墻外的外部主域名服務(wù)器的域區(qū)文件只有少量的條目，一般只有域的MX記錄、關(guān)于WWW和IP服務(wù)器的記錄。另外，這些條目取決于防火墻的類型，有些條目是為了在由防火墻內(nèi)部用戶建立的會(huì)話過程中供外部主機(jī)用來進(jìn)行反向查找的。因此在防火墻與DNS服務(wù)器結(jié)合使用時(shí)要根據(jù)內(nèi)網(wǎng)用戶的需求及整個(gè)網(wǎng)絡(luò)系統(tǒng)的安全性考慮進(jìn)行綜合部署。思考

防火墻的內(nèi)網(wǎng)只允許某些端口、協(xié)議，指定主機(jī)名的機(jī)器通過訪問，DNS服務(wù)器如何進(jìn)行設(shè)置？任務(wù)3-3防火墻源路由服務(wù)功能與實(shí)現(xiàn)

知識(shí)導(dǎo)入

什么是源路由？

源路由是一種基于源地址進(jìn)行路由選擇的策略，可以實(shí)現(xiàn)根據(jù)多個(gè)不同子網(wǎng)或內(nèi)網(wǎng)地址有選擇性地將數(shù)據(jù)包發(fā)往不同目的地址的功能。

案例及分析

某企業(yè)內(nèi)網(wǎng)用戶劃分為兩個(gè)VLAN，一個(gè)VLAN用戶為/24網(wǎng)段，另一個(gè)VLAN用戶為/24。通過防火墻連接外網(wǎng)的外網(wǎng)接口有兩個(gè)：ethernet0/2和ethernet0/3，其中ethernet0/2接口連接19/24外網(wǎng)網(wǎng)段，ethernet0/3接口連接/24外網(wǎng)網(wǎng)段。內(nèi)網(wǎng)用戶屬于/24網(wǎng)段的，在訪問外網(wǎng)時(shí)通過外網(wǎng)口ethernet0/2的外網(wǎng)線路；內(nèi)網(wǎng)用戶屬于/24網(wǎng)段的，在訪問外網(wǎng)時(shí)通過ethernet0/3的外網(wǎng)線路。

分析內(nèi)容

在該案例中內(nèi)網(wǎng)用戶分為兩個(gè)子網(wǎng)，每個(gè)子網(wǎng)用戶訪問外網(wǎng)時(shí)的鏈路均不同，這就需要在防火墻上進(jìn)行源路由設(shè)置，使得不同內(nèi)網(wǎng)用戶進(jìn)行各自路由的選擇，進(jìn)而訪問外網(wǎng)。

一、網(wǎng)絡(luò)拓?fù)?/p>

網(wǎng)絡(luò)拓?fù)淙鐖DS3-16所示。圖S3-16網(wǎng)絡(luò)拓?fù)涠⒉僮髁鞒?/p>

第一步：設(shè)置接口地址，添加安全域。

(1)在本案例的網(wǎng)絡(luò)拓?fù)渲袃?nèi)網(wǎng)訪問外網(wǎng)有兩條鏈路，防火墻默認(rèn)的外網(wǎng)安全域?yàn)閡ntrust，其中的一條鏈路為內(nèi)網(wǎng)trust安全域到外網(wǎng)untrust安全域的訪問。那么另一條鏈路的外網(wǎng)安全域怎么描述呢？untrust安全域已經(jīng)被使用了，因此需要新建一個(gè)外網(wǎng)的安全域telecom，為另一條鏈路的訪問提供可能，即內(nèi)網(wǎng)trust安全域到外網(wǎng)telecom安全域的訪問。打開網(wǎng)絡(luò)選項(xiàng)卡中的接口選項(xiàng)，點(diǎn)擊安全域進(jìn)行安全域配置。新建安全域telecom，該安全域可以配置IP地址，因此安全域類型選擇三層安全域，虛擬路由器選擇系統(tǒng)默認(rèn)的trust-vr。新建安全域操作如圖S3-17所示。圖S3-17新建安全域telecom創(chuàng)建好安全域后，該安全域會(huì)在安全域列表中出現(xiàn)，如圖S3-18所示。圖S3-18安全域列表

(2)設(shè)置接口地址。選擇接口，設(shè)置接口地址和安全域類型。如設(shè)置ethernet0/2接口為三層安全域類型，安全域?yàn)樾陆ǖ膖elecom安全域，IP/子網(wǎng)掩碼為19/24，ethernet0/2接口配置如圖S3-19所示。

參照ethernet0/2接口配置，完成ethernet0/3接口的配置操作。配置好的接口在接口列表中可以看到基本信息，如圖S3-20所示。圖S3-19設(shè)置ethernet0/2接口圖S3-20配置完成的接口列表第二步：添加源路由。

在防火墻網(wǎng)絡(luò)選項(xiàng)卡中選擇路由選項(xiàng)，點(diǎn)擊子菜單中的源路由項(xiàng)，新增一條源路由，設(shè)置內(nèi)網(wǎng)網(wǎng)段為/24，從下一跳網(wǎng)關(guān)17訪問外網(wǎng)。設(shè)置的源路由配置如圖S3-21所示。

使用同樣的方法設(shè)置內(nèi)網(wǎng)網(wǎng)段通過下一跳網(wǎng)關(guān)訪問外網(wǎng)，其源路由配置如圖S3-22所示。圖S3-21配置源路由圖S3-22配置源路由第三步：設(shè)置源NAT策略。

路由配置完成后，就可以根據(jù)各自的路由進(jìn)行源NAT的配置，形成源NAT列表，如圖S3-23所示。圖S3-23配置后形成的源NAT列表第四步：設(shè)置安全策略。

源NAT模式設(shè)置完成之后，就可以根據(jù)各自源NAT制定各自放行的安全策略。制定從trust安全域到telecom安全域的放行策略，源地址為Any，目的地址為Any。制定從trust安全域到untrust安全域的放行策略，源地址為Any，目的地址為Any。建好的策略形成策略列表如圖S3-24所示。圖S3-24放行策略列表第五步：測(cè)試。

(1)設(shè)置內(nèi)網(wǎng)網(wǎng)段/24內(nèi)的PC機(jī)，IP地址為，子網(wǎng)掩碼為，設(shè)置網(wǎng)關(guān)為內(nèi)網(wǎng)接口IP，如圖S3-25所示。

設(shè)置外網(wǎng)網(wǎng)段內(nèi)的PC機(jī)IP地址為20，子網(wǎng)掩碼為,設(shè)置網(wǎng)關(guān)為內(nèi)網(wǎng)接口IP19，如圖S3-26所示。圖S3-25內(nèi)網(wǎng)網(wǎng)段/24PC機(jī)配置圖S3-26外網(wǎng)網(wǎng)段19/24PC機(jī)配置設(shè)置外網(wǎng)網(wǎng)段內(nèi)的PC機(jī)IP地址為，子網(wǎng)掩碼，設(shè)置網(wǎng)關(guān)為內(nèi)網(wǎng)接口IP，如圖S3-27所示。圖S3-27外網(wǎng)網(wǎng)段/24PC機(jī)配置該內(nèi)網(wǎng)網(wǎng)段PC機(jī)測(cè)試外網(wǎng)網(wǎng)段內(nèi)PC機(jī)20可以Ping通，Ping外網(wǎng)網(wǎng)段內(nèi)PC機(jī)不可以Ping通。測(cè)試結(jié)果如圖S3-28所示。圖S3-28內(nèi)網(wǎng)訪問外網(wǎng)測(cè)試

(2)設(shè)置內(nèi)網(wǎng)網(wǎng)段/24內(nèi)的PC機(jī)，IP地址為，子網(wǎng)掩碼，設(shè)置網(wǎng)關(guān)為外網(wǎng)接口，該網(wǎng)段可以訪問，如圖S3-29所示。圖S3-29內(nèi)網(wǎng)/24網(wǎng)段PC機(jī)配置該內(nèi)網(wǎng)網(wǎng)段PC機(jī)測(cè)試外網(wǎng)網(wǎng)段內(nèi)PC機(jī)可以Ping通，Ping外網(wǎng)網(wǎng)段內(nèi)PC機(jī)20不可以Ping通。測(cè)試結(jié)果如圖S3-30所示。圖S3-30內(nèi)網(wǎng)訪問外網(wǎng)測(cè)試

相關(guān)知識(shí)

源路由是什么，如何設(shè)置？

源路由是一種基于源地址進(jìn)行路由選擇的策略，可以實(shí)現(xiàn)根據(jù)多個(gè)不同子網(wǎng)或內(nèi)網(wǎng)地址，有選擇性地將數(shù)據(jù)包發(fā)往不同目的地址的功能。

例如，有某路由器連接兩個(gè)內(nèi)網(wǎng)，連接的接口分別為接口A和接口B，該路由器還連接兩個(gè)外網(wǎng)，連接的接口分別為接口C和接口D，具體如下：

接口A：/24

接口B：/24

接口C：0/30

接口D：0/30要求網(wǎng)絡(luò)A的請(qǐng)求訪問發(fā)往網(wǎng)絡(luò)C，而網(wǎng)絡(luò)B的請(qǐng)求訪問發(fā)往網(wǎng)絡(luò)D，可以這樣設(shè)置源路由：

SourceIP/NetMaskGateWayInterface

/249接口C

/249接口D

思考

(1)在防火墻網(wǎng)絡(luò)拓?fù)渲?，網(wǎng)絡(luò)地址的子網(wǎng)掩碼29位表示什么？

(2)防火墻源路由設(shè)置模式與源NAT配置模式有什么聯(lián)系與區(qū)別？任務(wù)3-4防火墻負(fù)載均衡服務(wù)功能與實(shí)現(xiàn)

知識(shí)導(dǎo)入

1.什么是負(fù)載均衡

負(fù)載均衡就是將負(fù)載進(jìn)行平衡、分?jǐn)偟蕉鄠€(gè)操作單元上執(zhí)行，例如Web/FTP服務(wù)器、IP服務(wù)器、企業(yè)關(guān)鍵應(yīng)用服務(wù)器和其它關(guān)鍵任務(wù)服務(wù)器等，從而共同完成工作任務(wù)。負(fù)載均衡建立在現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)之上，提供了一種廉價(jià)有效且透明的方法擴(kuò)展網(wǎng)絡(luò)設(shè)備和服務(wù)器的帶寬，增加吞吐量，加強(qiáng)網(wǎng)絡(luò)數(shù)據(jù)處理能力，提高網(wǎng)絡(luò)的靈活性和可用性。需要指出的是負(fù)載均衡設(shè)備不是基礎(chǔ)網(wǎng)絡(luò)設(shè)備，而是一種性能優(yōu)化設(shè)備。對(duì)于網(wǎng)絡(luò)應(yīng)用而言，并不是一開始就需要負(fù)載均衡，當(dāng)網(wǎng)絡(luò)應(yīng)用的訪問量不斷增長(zhǎng)，單個(gè)處理單元無法滿足負(fù)載需求，網(wǎng)絡(luò)應(yīng)用流量將要出現(xiàn)瓶頸時(shí)，負(fù)載均衡才會(huì)起到作用。

2.負(fù)載均衡在防火墻中的作用

為保障內(nèi)網(wǎng)對(duì)外網(wǎng)的訪問能夠正常進(jìn)行，在防火墻上設(shè)置對(duì)等的訪問鏈路，如果一條鏈路出現(xiàn)故障，可以通過另一條鏈路進(jìn)行外網(wǎng)的訪問。

案例及分析

某企業(yè)內(nèi)網(wǎng)為/24，要求：

(1)內(nèi)網(wǎng)訪問外網(wǎng)時(shí)兩條外網(wǎng)負(fù)載均衡；

(2)一旦其中一條鏈路出現(xiàn)故障后，可以通過另外一條鏈路訪問外網(wǎng)。

分析內(nèi)容

在該案例中企業(yè)內(nèi)網(wǎng)到外網(wǎng)需要建立兩條鏈路，當(dāng)一條出現(xiàn)問題的時(shí)候，另一條鏈路啟用，保證網(wǎng)絡(luò)暢通，這就要求對(duì)防火墻配置負(fù)載均衡，提高網(wǎng)絡(luò)的可靠性。

一、網(wǎng)絡(luò)拓?fù)?/p>

網(wǎng)絡(luò)拓?fù)淙鐖DS3-31所示。圖S3-31網(wǎng)絡(luò)拓?fù)涠⒉僮髁鞒?/p>

第一步：設(shè)置接口地址，添加安全域。

在本案例中，網(wǎng)絡(luò)拓?fù)渲袃?nèi)網(wǎng)訪問外網(wǎng)同樣有兩條鏈路，防火墻默認(rèn)的外網(wǎng)安全域?yàn)閡ntrust，其中的一條鏈路為內(nèi)網(wǎng)trust安全域到外網(wǎng)untrust安全域的訪問。那么另一條鏈路的外網(wǎng)安全域怎么描述呢？這里需要新建一個(gè)外網(wǎng)的安全域telecom，為另一條鏈路的訪問提供可能，即內(nèi)網(wǎng)trust安全域到外網(wǎng)telecom安全域的訪問。新建安全域的操作參照任務(wù)3-3“防火墻源路由服務(wù)功能”與實(shí)現(xiàn)中關(guān)于新建telecom安全域的詳細(xì)介紹，這里不再重復(fù)介紹。打開網(wǎng)絡(luò)選項(xiàng)卡中的接口選項(xiàng)，點(diǎn)擊安全域進(jìn)行安全域配置。新建安全域telecom，該安全域可以配置IP地址，因此安全域類型選擇三層安全域，虛擬路由器選擇系統(tǒng)默認(rèn)的trust-vr。新建telecom安全城配置如圖S3-32所示。圖S3-32新建telecom安全域按照網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，設(shè)置ethernet0/1接口為內(nèi)網(wǎng)口，IP地址為/24，安全域?yàn)閠rust；設(shè)置ethernet0/2接口為外網(wǎng)口，IP地址為19/29，安全域?yàn)閠elecom；設(shè)置ethernet0/3接口為外網(wǎng)口，IP地址為/24，安全域?yàn)閡ntrust。配置完成的接口信息可以在接口列表中查看到，接口列表如圖S3-33所示。圖S3-33接口列表第二步：添加路由，選擇均衡方式，設(shè)置監(jiān)控地址。

1)添加路由

根據(jù)企業(yè)需求，內(nèi)網(wǎng)訪問外網(wǎng)有兩條鏈路，即防火墻的兩條外線，且兩條鏈路要求實(shí)現(xiàn)負(fù)載均衡，需要?jiǎng)?chuàng)建兩條等價(jià)的缺省路由。所謂等價(jià)就是路由優(yōu)先級(jí)相同。

我們可以先創(chuàng)建第一條缺省路由，選擇路由選項(xiàng)中的目的路由，點(diǎn)擊新建，設(shè)置目的IP為，子網(wǎng)掩碼為，下一跳網(wǎng)關(guān)為，優(yōu)先級(jí)設(shè)置為1，路由權(quán)值設(shè)置為1。目的路由配置如圖S3-34所示。圖S3-34配置目的路由創(chuàng)建第二條缺省路由，設(shè)置目的IP為，子網(wǎng)掩碼為，下一跳網(wǎng)關(guān)為17，優(yōu)先級(jí)設(shè)置為1，路由權(quán)值設(shè)置為1。路由創(chuàng)建成功后，可以在目的路由列表中看到創(chuàng)建的兩條缺省等價(jià)路由。創(chuàng)建好的路由在路由列表中以可用路由顯示，如圖S3-35所示。圖S3-35路由列表

2)選擇設(shè)置均衡方式

防火墻做負(fù)載均衡時(shí)有三種均衡方式，設(shè)置均衡方式只能在命令行下實(shí)現(xiàn)：

DCFW-1800(config)#ecmp-route-select?

by-5-tuple ConfigureECMPHashAs5Tuple

by-src ConfigureECMPHashAsSourceIP

by-src-and-dst ConfigureECMPHashAsSourceIPandDestIP

其中：

by-5-tuple是基于五元組(源IP地址、目的IP地址、源端口、目的端口和服務(wù)類型)做哈希(hash)選路。

by-src是基于源IP地址作哈希選路。

by-src-and-dst是基于源IP地址和目的IP地址作哈希選路。默認(rèn)情況下，基于源IP地址和目的IP地址作哈希選路。

因此，我們選擇防火墻默認(rèn)配置模式：by-src-and-dst均衡方式。

使用telnet遠(yuǎn)程登錄到防火墻，使用命令方式進(jìn)行配置，命令：telnet，login:admin，password:admin，在命令方式下，密碼部分不顯示，如圖S3-36所示。圖S3-36登錄防火墻使用configure命令進(jìn)入全局模式，進(jìn)行負(fù)載均衡配置，如圖S3-37所示。圖S3-37負(fù)載均衡設(shè)置

3)設(shè)置監(jiān)控地址

設(shè)置監(jiān)控地址的目的是一旦檢測(cè)到監(jiān)控地址不能通訊，則內(nèi)網(wǎng)訪問外網(wǎng)的數(shù)據(jù)包不再轉(zhuǎn)發(fā)到該外網(wǎng)口，只將數(shù)據(jù)包從另外一條外線轉(zhuǎn)發(fā)。防火墻操作系統(tǒng)4.0R4及之前的版本只能在命令行下設(shè)置監(jiān)控地址，同樣可以采用telnet登錄方式進(jìn)行防火墻命令配置，具體操作可以參照2)中的telnet登錄防火墻方式，這里不再重復(fù)介紹。登錄成功后同樣在全局模式下進(jìn)行監(jiān)控地址的設(shè)置，操作如下：

(1)設(shè)置監(jiān)控對(duì)象，監(jiān)控對(duì)象為track-for-eth0/2，監(jiān)控地址是17，監(jiān)控?cái)?shù)據(jù)包出接口為ethernet0/2接口。具體如下：

track“track-for-eth0/2”

IP17interfaceethernet0/2

(2)設(shè)置監(jiān)控對(duì)象，監(jiān)控對(duì)象為track-for-eth0/3，監(jiān)控地址是，監(jiān)控?cái)?shù)據(jù)包出接口為ethernet0/3接口。具體如下：

track“track-for-eth0/3”

IPinterfaceethernet0/3

(3)進(jìn)行監(jiān)控設(shè)置。

interfaceethernet0/2

zone“untrust”

IPaddress1948monitortrack“track-for-eth0/2”

interfaceethernet0/3

zone“untrust”

IPaddressmonitortrack“track-for-eth0/3”第三步：設(shè)置源NAT策略。

對(duì)兩條鏈路都要?jiǎng)?chuàng)建SNAT策略。此處不再詳細(xì)描述，具體參照任務(wù)1：防火墻SNAT配置。為兩條鏈路創(chuàng)建好的SNAT模式如圖S3-38所示。圖S3-38設(shè)置源NAT模式第四步：設(shè)置安全策略。

為兩條鏈路創(chuàng)建安全策略，分別是從trust到untrust的安全策略，trust到telecom的安全策略，源地址均為Any，目的地址均為Any，創(chuàng)建完成的策略在策略列表中顯示，如圖S3-39所示。圖S3-39安全策略列表第五步：測(cè)試。

1)使用telnet遠(yuǎn)程登錄防火墻查看端口監(jiān)控狀態(tài)

使用telnet遠(yuǎn)程登錄到防火墻上，使用showtracktrack-for-eth0/2命令查看對(duì)ethernet0/2端口設(shè)置的負(fù)載均衡，這里會(huì)顯示監(jiān)控主機(jī)，監(jiān)控的IP地址，出接口的信息，如圖S3-40所示。

同樣方法，使用showtracktrack-for-eth0/3命令查看對(duì)ethernet0/3端口設(shè)置的負(fù)載均衡，這里會(huì)顯示監(jiān)控主機(jī)，監(jiān)控的IP地址，出接口的信息，如圖S3-41所示。圖S3-40ethernet0/2接口監(jiān)控信息圖S3-41ethernet0/3接口監(jiān)控信息

2)內(nèi)外網(wǎng)PC機(jī)測(cè)試

首先把外網(wǎng)中的PC機(jī)配置好，這里設(shè)定外網(wǎng)PC機(jī)IP為0，子網(wǎng)掩碼為48。特別注意，由于ethernet0/2接口設(shè)置的IP其子網(wǎng)掩碼為29位，不是標(biāo)準(zhǔn)的24位子網(wǎng)掩碼，由此可以看出進(jìn)行了子網(wǎng)劃分，因此與之連接的外網(wǎng)的IP必須符合子網(wǎng)劃分的要求。這里選擇的外網(wǎng)IP為0，符合子網(wǎng)劃分的要求。同時(shí)保證外網(wǎng)PC機(jī)與防火墻外網(wǎng)口ethernet0/2連接正常，然后使用內(nèi)網(wǎng)PC機(jī)對(duì)其進(jìn)行測(cè)試。測(cè)試結(jié)果如圖S3-42所示。圖S