防火墻路由模式和NAT配置_第1頁(yè)
防火墻路由模式和NAT配置_第2頁(yè)
防火墻路由模式和NAT配置_第3頁(yè)
防火墻路由模式和NAT配置_第4頁(yè)
防火墻路由模式和NAT配置_第5頁(yè)
已閱讀5頁(yè),還剩9頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

應(yīng)用場(chǎng)景:

在網(wǎng)絡(luò)的邊界,如出口區(qū)域,在內(nèi)網(wǎng)和外網(wǎng)之間增加防火墻設(shè)備,采用路由模式對(duì)局

域網(wǎng)的整網(wǎng)進(jìn)行保護(hù)。路由模式一般不單獨(dú)使用,一般會(huì)有以下功能的配合,如在內(nèi)外網(wǎng)

之間配置靈活的安全策略,或者是進(jìn)行NAT內(nèi)網(wǎng)地址轉(zhuǎn)換。

功能原理:

簡(jiǎn)介

?路由模式指的是交換胴口防火墻卡之間采用互為下一跳指路由的方式通信

優(yōu)點(diǎn)

?能夠支持三層網(wǎng)絡(luò)設(shè)備的多種功能,NAT、動(dòng)態(tài)路由、策略路由、VRRP等

?能夠通過(guò)VRRP多組的方式實(shí)現(xiàn)多張防火墻卡的冗余和負(fù)載分擔(dān)

缺點(diǎn)

?不能轉(zhuǎn)發(fā)IPv6和組播包

?部署到已實(shí)施網(wǎng)絡(luò)中需要重新改動(dòng)原有地址和路由規(guī)劃

一、組網(wǎng)要求

1、在網(wǎng)絡(luò)出口位置部署防火墻卡,插在核心交換機(jī)的3號(hào)槽位,通過(guò)防火墻卡區(qū)分

內(nèi)外網(wǎng),外網(wǎng)接口有兩個(gè)ISP出口;

2、在防火墻上做NAT配置,內(nèi)網(wǎng)用戶上外網(wǎng)使用私有地址段;

二、組網(wǎng)拓?fù)?/p>

工作在跖由橫式的防火墻卡可看作一臺(tái)外接的路由器.

防火埼卡應(yīng)用在出口連接多個(gè)Hecre隹知缸對(duì)內(nèi)網(wǎng)用

與交換機(jī)之間短道互指跖由轉(zhuǎn)發(fā)數(shù)據(jù)

戶報(bào)供NAT上網(wǎng)廉務(wù),對(duì)取務(wù)器攝供爆□唳射和保護(hù),

防火埼需配置為路由模式.將herret公網(wǎng)IP地址配在

防火境按口上

三、配置要點(diǎn)

要點(diǎn)1,配置防火墻

?創(chuàng)建互聯(lián)的三層接口,并指定IP地址

?配置動(dòng)態(tài)路由或靜態(tài)路由

?創(chuàng)建作為NATOutside的VLAN接口并指定IP

?配置NAT轉(zhuǎn)換關(guān)系

?配置NAT曰志

要點(diǎn)2,配置交換機(jī)

?創(chuàng)建連接NATOutside線路的VLAN并指定物理接口

?創(chuàng)建互聯(lián)到防火墻的三層接口

?通過(guò)互聯(lián)到防火墻的三層接口配置動(dòng)態(tài)路由或靜態(tài)路由

四、配置步驟

注意:

步驟一、將交換機(jī)按照客戶的業(yè)務(wù)需要配置完成,并將防火墻卡和交換機(jī)聯(lián)通,并對(duì)

防火墻卡進(jìn)行初始化配置。

1)配置防火墻模塊與PC的連通性:

允許VLAN。以6槽位的一個(gè)防火墻卡為例:

Ruijie>enable----->進(jìn)入特權(quán)模式

Ruijie#configureterminal----->進(jìn)入全局配置模式

Ruijie(config)#vlan4094----->配置一個(gè)冗余的

VLAN

Ruijie(config)#interfacerangetenGigabitEthernet6/1,6/2----->配置交換機(jī)于

防火墻互聯(lián)的萬(wàn)兆6/1,6/2端口

Ruijie(config-if-range)#port-group2----->配置互聯(lián)端口為聚合

□,聚合口端口號(hào)為2

Ruijie(config-if-range)#interfaceaggregateport2----->進(jìn)入聚合口配

置模式

Ruijie(config-if-AggregatePort2)#switchportmodetrunk----->配置聚合口的

屬性為trunk模式;

Ruijie(config-if-AggregatePort2)#switchporttrunknativevlan4094----->將

防火墻與交換機(jī)互聯(lián)端口的nativevlan設(shè)置為非管理VLAN,由于防火墻通過(guò)

VLANtag來(lái)進(jìn)行橋接互聯(lián),如果從交換機(jī)發(fā)給防火墻的報(bào)文不帶tag將會(huì)被丟棄,所以

為了保證管理VLAN和防火墻的胡同,必須設(shè)置管理vldn為非nativevlan;

Ruijie(config-if-AggregatePort2)#end----->退出到特權(quán)模式

Ruijie#configureterminal

Ruijie(config)#vlan4000----->進(jìn)入創(chuàng)建交換機(jī)和防火墻

互聯(lián)vlan4000

Ruijie(config)#interfacevlan4000---->進(jìn)入vlan4000接口

Ruijie(config-vlan)#exit

Ruijie(config-if)#ipaddress52---->為交換機(jī)vlan

4000接口上設(shè)置管理ip

Ruijie(config-if-Vlan4000)#ipospfnetworkpoint-to-point

Ruijie#write----->確認(rèn)配置正確,保存配置

此時(shí)核心交換機(jī)可以ping通防火墻互聯(lián)地址。

3)在交換機(jī)上配置其他的接口信息,以及OSFP能夠和防火墻進(jìn)行動(dòng)態(tài)路由學(xué)習(xí)。

Ruijie(config)#roulerospf1)配置交換機(jī)和

防火墻之間的路由協(xié)議

Ruijie(config-router)#networkarea0

Ruijie(config-router)#redistributeconnectedmetric-type1subnets

Ruijie(config-router)#redistributestaticmetric-type1subnets

Ruijie(config-router)#end

Ruijie#write

4)按照防火墻卡的基本配置,進(jìn)行防火墻的初始化配置,確保防火墻能夠正常的遠(yuǎn)

程管理及默認(rèn)參數(shù)優(yōu)化。

詳細(xì)參考:典型功能配置一防火墻基礎(chǔ)配置--基礎(chǔ)配置腳本

命令腳本(以下命令腳本,對(duì)黃色背景的區(qū)域根據(jù)需要進(jìn)行修訂):

configterminal

hostnameFW

enableserviceweb-serverhttp

enableserviceweb-serverhttps

enableservicessh-server

iphttpauthenticationlocal

iphttpport80

servicepassword-encryption

usernameadminpasswordadmin

usernameadminprivilege15

linevty04

loginlocal

exit

clocktimezoneBeijing+8

ntpserver8

ntpupdate-calendar

end

configter

loggingfileflash:syslog7

loggingfileflash:syslog131072

loggingbuffered131072

logginguserinfo

logginguserinfocommand-log

loggingserver

servicesysname

servicesequence-numbers

serviceliniestdnips

snmp-servergroupgrouplv3privreaddefaultwritedefault

snmp-serveruseradmingrouplv3authmd5ruijieprivdes56ruijiel23

snmp-serverhosttrapsversion3privadmin

snmp-serverenabletraps

firewalldefault-policy-permit

end

wr

步驟二、配置防火墻為路由模式,并配置相關(guān)策略,包括對(duì)防火墻進(jìn)行接口地址,路

由以及NAT的配置。

FW(config)#interfaceVian4000------->進(jìn)入防火墻卡

內(nèi)連到交換機(jī)的VLAN。

FW(config-if-Vlan4000)#ipaddress52---->配

置防火墻和內(nèi)網(wǎng)交換機(jī)互聯(lián)的接口地址

FW(config-if-Vldn4000)#ipospfnetworkpoint-to-puint)配置為

OSPF點(diǎn)對(duì)點(diǎn)接口,無(wú)需DRBDR選舉,有助于加快網(wǎng)絡(luò)收斂速度

FW(config-if-Vlan4000)#ipnatinside------->配置NAT

Inside接口,在防火墻初始化時(shí)已經(jīng)配置了接口地址。

FW(config-if-Vlan4000)#descriptionROUTE-TO-S86

FW(config-if-Vlan4000)#interfaceVian4001------->進(jìn)入防

火墻卡鏈接ISP1的SVI接口。

FW(config-if-Vlan4001)#ipaddress752------->為

外網(wǎng)SVT接口配置IP地址。這里用的是模擬的TP地址,根據(jù)實(shí)際情況設(shè)置。

FW(config-if-Vlan4001)#ipnatoutside------->酉己置NAT

Outside接口

FW(config-if-Vlan4001)#interfaceVian4002------->進(jìn)入防

火墻卡鏈接ISP2的SVI接口。

FW(config-if-Vlan4002)#ipaddress852------->為

外網(wǎng)SVI接口配置IP地址,這里用的是模擬的IP地址,根據(jù)實(shí)際情況設(shè)置

FW(config-if-Vlan4001)#ipnatoutside------->酉己置NAT

Outside接口

FW(config)#routerospf1-------->配置防火墻和

交換機(jī)之間的路由協(xié)議

FW(config-router)#networkarea0

FW(config-router)#redistributeconnectedmetric-type1subnets

FW(config-router)#redistributestaticmetric-type1subnets

FW(config-router)#default-informationoriginatemetric-type1

FW(config)#ipnatpoolglobalprefix-length24-------->酉己置

NAT地址池,地址池命名為global,將公網(wǎng)IP放入地址池進(jìn)行Overload輪轉(zhuǎn)

FW(config-ipnat-pool)#address00matchinterface

Vian4001

FW(config-ipnat-pool)#address0218.85.4130matchinterface

Vian4002

FW(config)#access-list1permitany-------->酉己置

NAT觸發(fā)規(guī)貝!L通常為Permitany

FW(config)#ipnatinsidesourcelist1poolglobaloverload-------->

配置內(nèi)部源地址的動(dòng)態(tài)轉(zhuǎn)換關(guān)系

FW(config)#iprouteVian40011-------->

配置默認(rèn)路由指向出口下一跳,且VLAN4001的管理距離為1,該默認(rèn)路由更優(yōu)

FW(config)#iprouteVian40022-------->

配置默認(rèn)路由指向出口下一跳,且VLAN4002的管理距離為2,該默認(rèn)路由次優(yōu)

FW(config)#iproute-------->

配置到ISP1即VLAN4001出口的明細(xì)路由,根據(jù)實(shí)際路由需要進(jìn)行添加。

FW(config)#iproute-------->配置到

ISP2即VLAN4001出口的明細(xì)路由,根據(jù)實(shí)際路由需要進(jìn)行添加。

FW(config)#rlogserver59.7732.201乂可選)

配置NAT日志接收服務(wù)器

FW(config)#ipsessionlog

FW(config)#firewdlldefdult-policy-perniit-------->防火墻

接口下沒(méi)有ACL時(shí)或配置的ACL在最后沒(méi)有Permitany則默認(rèn)會(huì)丟棄所有包,配置以

下命令可修改為默認(rèn)轉(zhuǎn)發(fā)所有包

步驟三、配置交換機(jī)的出口VLAN、指定接口,并對(duì)交換機(jī)互聯(lián)防火墻的接口做

VLAN裁剪。

Ruijie(config)#vlanrange1001,2001,4000-4002--------->

在核心交換機(jī)創(chuàng)建出口、用戶二層VLAN

Ruijie(config-vlan-range)#exit

Ruijie(config)#intgi8/1..........->為在核心交

換機(jī)上鏈接出口的物理端口配置VLAN屬性,ISP1

Ruijie(config-if-GigabitEthernet8/1)#switchportaccessvlan4001

Ruijie(config-if-GigabitEthernet8/1)#int

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論