收藏 分享(赏)
下载资源 加入VIP,免费下载

防火墙路由模式和NAT配置.docx

上传人:fmgc7290 文档编号:4369468 上传时间:2018-12-25 格式:DOCX 页数:7 大小:105.43KB
下载 相关 举报
防火墙路由模式和NAT配置.docx_第1页
第1页 / 共7页
防火墙路由模式和NAT配置.docx_第2页
第2页 / 共7页
防火墙路由模式和NAT配置.docx_第3页
第3页 / 共7页
防火墙路由模式和NAT配置.docx_第4页
第4页 / 共7页
防火墙路由模式和NAT配置.docx_第5页
第5页 / 共7页
点击查看更多>>
资源描述

1、应用场景:在网络的边界,如出口区域,在内网和外网之间增加防火墙设备,采用路由模式对局域网的整网进行保护。路由模式一般不单独使用,一般会有以下功能的配合,如在内外网之间配置灵活的安全策略,或者是进行 NAT 内网地址转换。功能原理:简介 路由模式指的是交换机和防火墙卡之间采用互为下一跳指路由的方式通信优点 能够支持三层网络设备的多种功能,NAT、动态路由、策略路由、VRRP 等 能够通过 VRRP 多组的方式实现多张防火墙卡的冗余和负载分担缺点 不能转发 IPv6 和组播包 部署到已实施网络中需要重新改动原有地址和路由规划一、组网要求1、在网络出口位置部署防火墙卡,插在核心交换机的 3 号槽位,

2、通过防火墙卡区分内外网,外网接口有两个 ISP 出口;2、在防火墙上做 NAT 配置,内网用户上外网使用私有地址段;二、组网拓扑三、配置要点要点 1,配置防火墙 创建互联的三层接口,并指定 IP 地址 配置动态路由或静态路由 创建作为 NAT Outside 的 VLAN 接口并指定 IP 配置 NAT 转换关系 配置 NAT 日志要点 2,配置交换机 创建连接 NAT Outside 线路的 VLAN 并指定物理接口 创建互联到防火墙的三层接口 通过互联到防火墙的三层接口配置动态路由或静态路由四、配置步骤注意:步骤一、将交换机按照客户的业务需要配置完成,并将防火墙卡和交换机联通,并对防火墙卡

3、进行初始化配置。1)配置防火墙模块与 PC 的连通性:配置防火墙卡和交换机互联端口,可以用于防火墙的管理。Firewallenable -进入特权模式Firewall#configure terminal -进入全局配置模式Firewall(config)#interface vlan 4000 -进入 vlan 4000 接口FW1(config-if-Vlan 4000)#ip address 10.0.0.1 255.255.255.252-为 vlan 4000 接口上互联 IP 地址 Firewall(config-if)#exit -退回到全局配置模式Firewall(config

4、)#firewall default-policy-permit - 10.3(4b5)系列版本的命令 ip session acl-filter-default-permit ,10.3(4b6)命令变更为 firewall default-policy-permit 防火墙接口下没有应用 ACL 时或配置的 ACL 在最后没有 Permit any 则默认会丢弃所有包,配置以下命令可修改为默认转发所有包2)防火墙配置路由模式,交换机与防火墙联通配置。交换机与防火墙卡是通过设备内部的两个万兆口互联,在插入防火墙模块后,交换机在 FW 所在槽位生成两个万兆端口,以下以防火墙卡接在核心交换机 6

5、 槽。在交换机上配置将交换机与防火墙互联的接口进行聚合,并设置为 trunk 模式,设定允许VLAN。以 6 槽位的一个防火墙卡为例:Ruijieenable -进入特权模式Ruijie#configure terminal -进入全局配置模式Ruijie(config)#vlan 4094 -配置一个冗余的 VLANRuijie(config)#interface range tenGigabitEthernet 6/1,6/2 -配置交换机于防火墙互联的万兆 6/1,6/2 端口Ruijie(config-if-range)#port-group 2 -配置互联端口为聚合口,聚合口端口号为

6、 2Ruijie(config-if-range)#interface aggregateport 2 -进入聚合口配置模式Ruijie(config-if-AggregatePort 2)#switchport mode trunk -配置聚合口的属性为trunk 模式;Ruijie(config-if-AggregatePort 2)#switchport trunk native vlan 4094 -将防火墙与交换机互联端口的 native vlan 设置为非管理 VLAN,由于防火墙通过 VLANtag 来进行桥接互联,如果从交换机发给防火墙的报文不带 tag 将会被丢弃,所以为了保

7、证管理 VLAN和防火墙的胡同,必须设置管理 vlan 为非 native vlan;Ruijie(config-if-AggregatePort 2)#end -退出到特权模式Ruijie#configure terminal Ruijie(config)#vlan 4000 -进入创建交换机和防火墙互联vlan 4000Ruijie(config)#interface vlan 4000 -进入 vlan 4000接口Ruijie(config-vlan)#exitRuijie(config-if)#ip address 10.0.0.2 255.255.255.252 -为交换机 vla

8、n 4000 接口上设置管理 ip Ruijie(config-if-Vlan 4000)# ip ospf network point-to-pointRuijie#write -确认配置正确,保存配置此时核心交换机可以 ping 通防火墙互联地址。3)在交换机上配置其他的接口信息,以及 OSFP 能够和防火墙进行动态路由学习。Ruijie(config)#router ospf 1 -配置交换机和防火墙之间的路由协议Ruijie(config-router)# network 10.0.0.0 0.0.0.3 area 0Ruijie(config-router)# redistribut

9、e connected metric-type 1 subnetsRuijie(config-router)# redistribute static metric-type 1 subnetsRuijie(config-router)# endRuijie#write 4)按照防火墙卡的基本配置,进行防火墙的初始化配置,确保防火墙能够正常的远程管理及默认参数优化。详细参考:典型功能配置- 防火墙基础配置 -基础配置脚本命令脚本(以下命令脚本,对黄色背景的区域根据需要进行修订):config terminalhostname FWenable service web-server httpen

10、able service web-server httpsenable service ssh-serverip http authentication localip http port 80service password-encryptionusername admin password adminusername admin privilege 15line vty 0 4login localexitclock timezone Beijing +8ntp server 192.43.244.18ntp update-calendarendconfig terlogging file

11、 flash:syslog 7 logging file flash:syslog 131072 logging buffered 131072 logging userinfo logging userinfo command-log logging server 192.168.1.2 service sysname service sequence-numbers service timestamps snmp-server group group1 v3 priv read default write default snmp-server user admin group1 v3 a

12、uth md5 ruijie priv des56 ruijie123 snmp-server host 192.168.1.2 traps version 3 priv admin snmp-server enable traps firewall default-policy-permit end wr步骤二、配置防火墙为路由模式,并配置相关策略,包括对防火墙进行接口地址,路由以及 NAT 的配置。FW(config)#interface Vlan 4000 -进入防火墙卡内连到交换机的 VLAN。FW(config-if-Vlan 4000)# ip address 10.0.0.1 2

13、55.255.255.252 -配置防火墙和内网交换机互联的接口地址FW(config-if-Vlan 4000)# ip ospf network point-to-point -配置为OSPF 点对点接口, 无需 DR BDR 选举,有助于加快网络收敛速度FW(config-if-Vlan 4000)# ip nat inside -配置 NAT Inside 接口,在防火墙初始化时已经配置了接口地址。FW(config-if-Vlan 4000)# description ROUTE-TO-S86FW(config-if-Vlan 4000)#interface Vlan 4001 -进

14、入防火墙卡链接 ISP1 的 SVI 接口。FW(config-if-Vlan 4001)# ip address 172.18.10.77 255.255.255.252 -为外网SVI 接口配置 IP 地址。这里用的是模拟的 IP 地址,根据实际情况设置。FW(config-if-Vlan 4001)# ip nat outside -配置 NAT Outside 接口FW(config-if-Vlan 4001)#interface Vlan 4002 -进入防火墙卡链接 ISP2 的 SVI 接口。FW(config-if-Vlan 4002)# ip address 192.168.

15、51.88 255.255.255.252 -为外网SVI 接口配置 IP 地址。这里用的是模拟的 IP 地址,根据实际情况设置FW(config-if-Vlan 4001)# ip nat outside -配置 NAT Outside 接口FW(config)#router ospf 1 -配置防火墙和交换机之间的路由协议FW(config-router)# network 10.0.0.0 0.0.0.3 area 0FW(config-router)# redistribute connected metric-type 1 subnetsFW(config-router)# redi

16、stribute static metric-type 1 subnetsFW(config-router)# default-information originate metric-type 1FW(config)#ip nat pool global prefix-length 24 -配置 NAT 地址池,地址池命名为 global,将公网 IP 放入地址池进行 Overload 轮转FW(config-ipnat-pool)#address 61.154.22.10 61.154.22.30 match interface Vlan 4001FW(config-ipnat-pool)

17、#address 218.85.41.10 218.85.41.30 match interface Vlan 4002FW(config)#access-list 1 permit any -配置NAT 触发规则 ,通常为 Permit anyFW(config)# ip nat inside source list 1 pool global overload -配置内部源地址的动态转换关系FW(config)#ip route 0.0.0.0 0.0.0.0 Vlan 4001 172.18.10.1 1 -配置默认路由指向出口下一跳,且 VLAN 4001 的管理距离为 1,该默认路由

18、更优FW(config)#ip route 0.0.0.0 0.0.0.0 Vlan 4002 192.168.51.5 2 -配置默认路由指向出口下一跳,且 VLAN 4002 的管理距离为 2,该默认路由次优FW(config)#ip route 59.152.52.0 255.255.255.0 172.18.10.1 -配置到ISP1 即 VLAN4001 出口的明细路由,根据实际路由需要进行添加。.FW(config)#ip route 210.13.194.0 255.255.255.0 192.168.51.5 -配置到 ISP2 即VLAN4001 出口的明细路由 ,根据实际路

19、由需要进行添加。FW(config)#rlog server 59.77.32.201 -(可选)配置 NAT 日志接收服务器FW(config)#ip session logFW(config)#firewall default-policy-permit -防火墙接口下没有 ACL 时或配置的 ACL 在最后没有 Permit any 则默认会丢弃所有包,配置以下命令可修改为默认转发所有包步骤三、配置交换机的出口 VLAN、指定接口,并对交换机互联防火墙的接口做 VLAN 裁剪。Ruijie(config)#vlan range 1001,2001,4000-4002 -在核心交换机创建出

20、口、用户二层 VLANRuijie(config-vlan-range)#exitRuijie(config)#int gi 8/1 -为在核心交换机上链接出口的物理端口配置 VLAN 属性,ISP1Ruijie(config-if-GigabitEthernet 8/1)# switchport access vlan 4001Ruijie(config-if-GigabitEthernet 8/1)# int gi 8/2 -为在核心交换机上链接出口的物理端口配置 VLAN 属性,ISP2Ruijie(config-if-GigabitEthernet 8/2)# switchport a

21、ccess vlan 4002Ruijie(config-if-GigabitEthernet 8/2)# exitRuijie(config)#interface aggregateport 2 -进入交换机和防火墙互联的聚合口配置模式Ruijie(config-if-AggregatePort 2)#switchport trunk allowed vlan remove 2-1000,1002-2000,2001-3999,4003-4093 -配置交换机与防火墙只允许出口 VLAN,路由VLAN,及 Native VLAN 通过五、功能验证配置完成后,选择一个内网 PC,ping 外网地址确认是否可以正常通讯。1. show ip fpm statistics,查看活动的流表数,应大于零FW#show ip fpm statistics The capacity of the flow table:2000000Number of active flows: 545077FW#2. show ip nat trans,查看活动的流表数,应大于零。 3. show ip router,查看设备路由符合设置的预期。

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 建筑环境 > 防火建筑

本站链接:文库   一言   我酷   合作

客服QQ:2549714901微博号:道客多多官方知乎号:道客多多

经营许可证编号: 粤ICP备2021046453号世界地图

道客多多©版权所有2020-2025营业执照举报