案例二:防火墙充当三层交换机与路由器角色功能进行组网
拿到这样的拓扑后,首先要了解好客户的需求,然后根据需求进行划分
比如客户那边有监控跟办公网络,可以通过VLAN划分不同的区域,然后二层交换机对接终端的口划入到对应的VLAN,与防火墙的口配置成Trunk,防火墙上面创建VLANIF以及安全策略、NAT策略,最后对接外网。
采用正常配置模式的步骤与思路
(1)确认好内外网接口,然后根据规划来对接口进行配置(外网采用什么方式对接,内网采用什么方式对接)
比如这个拓扑外网采用DHCP,内网需要把G1/0/0切换成二层口配置trunk允许VLAN 2跟3通过,并且配置VLANIF2与3的网关地址,根据实际规划加入到不同的安全区域(也可以在同一个安全区域,建议是不同安全其余,方便做策略控制。)
(2)根据需求开办公网的DHCP(监控一般不开)
(3)安全策略,根据客户实际需求来决定,办公网是否允许访问监控网,或者只允许办公网某个主机访问,以及办公网跟监控网都需要上网做策略方向,最后建议做一个防火墙到任何区域都可以通的安全策略,方便排错。
(4)NAT策略,根据客户需求来允许对应的安全区域上网。
(5)二层交换机的配置有几个部分:1、创建对应VLAN 2、确定好上行口与对接办公跟监控的口,上行口配置trunk允许vlan 2 3通过,对接办公的划入到VLAN2,对接监控的划分到VLAN3,建议开快速端口。
命令行相关流程展示
#
vlan batch 2 to 3
#
dhcp enable
#
interface
GigabitEthernet1/0/1
undo shutdown
ip address dhcp-alloc
#
interface
GigabitEthernet1/0/0
portswitch
undo shutdown
port link-type trunk
port trunk allow-pass vlan 2 to 3
#
interface Vlanif2
ip address 192.168.102.254 255.255.255.0
alias office
service-manage http permit
service-manage https permit
service-manage ping permit
service-manage ssh permit
service-manage telnet permit
dhcp select interface
dhcp server ip-range 192.168.102.1
192.168.102.254
dhcp server gateway-list 192.168.102.254
dhcp server static-bind ip-address
192.168.102.250 mac-address 5489-986a-21fb
dhcp server dns-list 223.5.5.5 114.114.114.114
#
interface Vlanif3
ip address 192.168.103.254 255.255.255.0
alias jiankong
service-manage http permit
service-manage https permit
service-manage ping permit
service-manage ssh permit
service-manage telnet permit
#
firewall zone name
office id 4
set priority 66
add interface Vlanif2
#
firewall zone name
jiankong id 5
set priority 49
add interface Vlanif3
#
firewall zone untrust
set priority 5
add interface GigabitEthernet1/0/1
#
#
ip address-set 允许访问监控
type object
address 0 192.168.102.250 mask 32
#
ip address-set 允许上网
type object
address 0 192.168.102.0 mask 24
address 1 192.168.103.0 mask 24
#
security-policy
rule name office_jiankong
source-zone office
destination-zone jiankong
source-address address-set 允许访问监控
action permit
rule name 允许上网
source-zone jiankong
source-zone office
destination-zone untrust
source-address address-set 允许上网
action permit
rule name local_any
source-zone local
action permit
#
nat-policy
rule name 允许上网
source-zone jiankong
source-zone office
destination-zone untrust
action source-nat easy-ip
(1)创建对应需要的VLAN,以及开DHCP服务(VLAN如果内网是对接的二层口则必须)
(2)把对应的接口按规划进行配置,包括DHCP、对接外网的方式以及内网的方式
(3)创建新的安全区域(如果需要的话)并且把接口加入到安全区域里面来
(4)配置安全策略
(5)配置NAT策略
交换机的配置
#
vlan batch 2 to 3
#
interface Vlanif1
#
interface MEth0/0/1
#
interface Ethernet0/0/1
port link-type access
port default vlan 2
stp edged-port enable
#
interface Ethernet0/0/2
port link-type access
port default vlan 2
stp edged-port enable
#
interface Ethernet0/0/3
port link-type access
port default vlan 2
stp edged-port enable
#
interface Ethernet0/0/4
port link-type access
port default vlan 2
stp edged-port enable
#
interface Ethernet0/0/5
port link-type access
port default vlan 3
stp edged-port enable
#
interface Ethernet0/0/6
port link-type access
port default vlan 3
stp edged-port enable
#
interface Ethernet0/0/7
port link-type access
port default vlan 3
stp edged-port enable
#
interface Ethernet0/0/8
port link-type access
port default vlan 3
stp edged-port enable
#
interface
GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 2 to 3
#
容易忽略以及出现的问题总结
(1)外网对接这一块,如果是DHCP方式对接(内网建议不要使用192.168.0.0/1.0/31.0这些),可以使用10.X.X.X或者172.16开头以及192.168.100往后,避免跟外网分配的网段冲突
(2)外网对接如果是PPPOE或者是固定IP,一定要写默认路由,这个是容易被忽略,如果是PPPOE拨号,注意修改下MTU跟MSS
(3)内网DHCP服务器配置的时候,注意网关 以及分配范围(是否需要保留一些地址给打印机跟服务器)以及DNS,如果有需要某个客户端要固定某个IP地址,可以进行静态绑定,这样不管怎么分配客户端的地址都是这个,方便做策略。
(4)安全策略这一块只要注意源目区域跟源地址条件是否正常匹配就行
(5)NAT策略这一块建议配置使用源目区域,不要使用接口形式
排错的思路
如果内外网都配置好,安全策略以及NAT策略也配置好后,客户端上不了网
(1)从内外网检测,查看内外网是否配置正常,正常的情况下,可以建立一个安全策略 从Local到any,然后在诊断里面ping外网,看外网是否通,先确保外网线路没有问题。如果外网通,那么说明线路没问题,如果外网不通,则检查线路。
(2)如果涉及到了VLAN以及trunk的配置,一定要检查好对应接口的模式跟允许VLAN通过是否正确。
(3)当检测外网没问题后,检查内网的客户端的IP、网关、掩码、DNS是否正确,并且ping防火墙是否通(防火墙记得开ping功能),通的情况下说明内网到防火墙之间的链路是没有问题的,接下来从会话表下手。
(4)可以长ping对方,然后看防火墙的会话表是否有该主机的会话,没有则检测安全策略是否正确,如果有的话,查看会话表的内容是否正常(从是否转换了源地址,以及匹配了哪个安全策略。正反向数据包是否有统计观察)
(5)如果没有发现源地址,可以从NAT策略下手排查。
(6)整个里面容易出现的点 外网对接的时候默认路由忘记写,其次就是NAT跟安全策略这块,包括防火墙与二层交换机之间对接可能会由于疏忽导致VLAN放行不正确。