实战案例(2)防火墙+二交换机VLAN组网

news2024/11/23 20:51:00

案例二:防火墙充当三层交换机与路由器角色功能进行组网

图片

拿到这样的拓扑后,首先要了解好客户的需求,然后根据需求进行划分

图片

比如客户那边有监控跟办公网络,可以通过VLAN划分不同的区域,然后二层交换机对接终端的口划入到对应的VLAN,与防火墙的口配置成Trunk,防火墙上面创建VLANIF以及安全策略、NAT策略,最后对接外网。

采用正常配置模式的步骤与思路

(1)确认好内外网接口,然后根据规划来对接口进行配置(外网采用什么方式对接,内网采用什么方式对接)

比如这个拓扑外网采用DHCP,内网需要把G1/0/0切换成二层口配置trunk允许VLAN 2跟3通过,并且配置VLANIF2与3的网关地址,根据实际规划加入到不同的安全区域(也可以在同一个安全区域,建议是不同安全其余,方便做策略控制。)

(2)根据需求开办公网的DHCP(监控一般不开)

(3)安全策略,根据客户实际需求来决定,办公网是否允许访问监控网,或者只允许办公网某个主机访问,以及办公网跟监控网都需要上网做策略方向,最后建议做一个防火墙到任何区域都可以通的安全策略,方便排错。

(4)NAT策略,根据客户需求来允许对应的安全区域上网。

(5)二层交换机的配置有几个部分:1、创建对应VLAN   2、确定好上行口与对接办公跟监控的口,上行口配置trunk允许vlan 2 3通过,对接办公的划入到VLAN2,对接监控的划分到VLAN3,建议开快速端口。

命令行相关流程展示

#vlan batch 2 to 3#dhcp enable#interfaceGigabitEthernet1/0/1undo shutdownip address dhcp-alloc#interfaceGigabitEthernet1/0/0portswitchundo shutdownport link-type trunkport trunk allow-pass vlan 2 to 3#interface Vlanif2ip address 192.168.102.254 255.255.255.0alias officeservice-manage http permitservice-manage https permitservice-manage ping permitservice-manage ssh permitservice-manage telnet permitdhcp select interfacedhcp server ip-range 192.168.102.1192.168.102.254dhcp server gateway-list 192.168.102.254dhcp server static-bind ip-address192.168.102.250 mac-address 5489-986a-21fbdhcp server dns-list 223.5.5.5 114.114.114.114#interface Vlanif3ip address 192.168.103.254 255.255.255.0alias jiankongservice-manage http permitservice-manage https permitservice-manage ping permitservice-manage ssh permitservice-manage telnet permit#firewall zone nameoffice id 4set priority 66add interface Vlanif2#                                         firewall zone namejiankong id 5set priority 49add interface Vlanif3#firewall zone untrustset priority 5add interface GigabitEthernet1/0/1##ip address-set 允许访问监控type objectaddress 0 192.168.102.250 mask 32#ip address-set 允许上网type objectaddress 0 192.168.102.0 mask 24address 1 192.168.103.0 mask 24#security-policyrule name office_jiankong source-zone office destination-zone jiankong source-address address-set 允许访问监控 action permitrule name 允许上网 source-zone jiankong source-zone office destination-zone untrust                 source-address address-set 允许上网 action permitrule name local_any source-zone local action permit#nat-policyrule name 允许上网 source-zone jiankong source-zone office destination-zone untrust action source-nat easy-ip

(1)创建对应需要的VLAN,以及开DHCP服务(VLAN如果内网是对接的二层口则必须)

(2)把对应的接口按规划进行配置,包括DHCP、对接外网的方式以及内网的方式

(3)创建新的安全区域(如果需要的话)并且把接口加入到安全区域里面来

(4)配置安全策略

(5)配置NAT策略

交换机的配置

#

vlan batch 2 to 3#interface Vlanif1#interface MEth0/0/1#interface Ethernet0/0/1port link-type accessport default vlan 2stp edged-port enable#interface Ethernet0/0/2port link-type accessport default vlan 2stp edged-port enable#interface Ethernet0/0/3port link-type accessport default vlan 2stp edged-port enable#interface Ethernet0/0/4port link-type accessport default vlan 2stp edged-port enable#                                         interface Ethernet0/0/5port link-type accessport default vlan 3stp edged-port enable#interface Ethernet0/0/6port link-type accessport default vlan 3stp edged-port enable#interface Ethernet0/0/7port link-type accessport default vlan 3stp edged-port enable#interface Ethernet0/0/8port link-type accessport default vlan 3stp edged-port enable
#                                         interfaceGigabitEthernet0/0/1port link-type trunkport trunk allow-pass vlan 2 to 3

#

容易忽略以及出现的问题总结

(1)外网对接这一块,如果是DHCP方式对接(内网建议不要使用192.168.0.0/1.0/31.0这些),可以使用10.X.X.X或者172.16开头以及192.168.100往后,避免跟外网分配的网段冲突

(2)外网对接如果是PPPOE或者是固定IP,一定要写默认路由,这个是容易被忽略,如果是PPPOE拨号,注意修改下MTU跟MSS

(3)内网DHCP服务器配置的时候,注意网关 以及分配范围(是否需要保留一些地址给打印机跟服务器)以及DNS,如果有需要某个客户端要固定某个IP地址,可以进行静态绑定,这样不管怎么分配客户端的地址都是这个,方便做策略。

(4)安全策略这一块只要注意源目区域跟源地址条件是否正常匹配就行

(5)NAT策略这一块建议配置使用源目区域,不要使用接口形式

排错的思路

如果内外网都配置好,安全策略以及NAT策略也配置好后,客户端上不了网

(1)从内外网检测,查看内外网是否配置正常,正常的情况下,可以建立一个安全策略 从Local到any,然后在诊断里面ping外网,看外网是否通,先确保外网线路没有问题。如果外网通,那么说明线路没问题,如果外网不通,则检查线路。

(2)如果涉及到了VLAN以及trunk的配置,一定要检查好对应接口的模式跟允许VLAN通过是否正确。

(3)当检测外网没问题后,检查内网的客户端的IP、网关、掩码、DNS是否正确,并且ping防火墙是否通(防火墙记得开ping功能),通的情况下说明内网到防火墙之间的链路是没有问题的,接下来从会话表下手。

(4)可以长ping对方,然后看防火墙的会话表是否有该主机的会话,没有则检测安全策略是否正确,如果有的话,查看会话表的内容是否正常(从是否转换了源地址,以及匹配了哪个安全策略。正反向数据包是否有统计观察)

(5)如果没有发现源地址,可以从NAT策略下手排查。

(6)整个里面容易出现的点 外网对接的时候默认路由忘记写,其次就是NAT跟安全策略这块,包括防火墙与二层交换机之间对接可能会由于疏忽导致VLAN放行不正确。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/2125582.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

C++中的I/O流

本节主要看代码理解 I/O流继承关系 iostream 主要类 cin cout cerr clog while(cin>>str) { //处理 } 当接收ctrl z 或 ctrl c时,会停止, 原理:重载操作符bool,令指定istr…

python学习——对无人机影像有RGB转换到HSV

问题描述 最近需要对无人机影像中绿色植被信息进行提取,查看相关论文,发现用的比较多的就是HSV色彩转换方法,动手实践一下。 解决思路 #mermaid-svg-5ejGodIusPv6zFVS {font-family:"trebuchet ms",verdana,arial,sans-serif;fon…

移植案例与原理 - startup子系统之syspara_lite系统属性部件

往期知识点记录: 鸿蒙(HarmonyOS)应用层开发(北向)知识点汇总 startup子系统之syspara_lite系统属性部件 (1) startup子系统之syspara_lite系统属性部件 (2) startup子系…

【C++ Primer Plus习题】14.5

大家好,这里是国中之林! ❥前些天发现了一个巨牛的人工智能学习网站&#xff0c;通俗易懂&#xff0c;风趣幽默&#xff0c;忍不住分享一下给大家。点击跳转到网站。有兴趣的可以点点进去看看← 问题: 解答: main.cpp #include <iostream> using namespace std; #includ…

Xinstall地推解决方案:精准追踪,提升App推广效果!

在移动互联网时代&#xff0c;App的推广和运营成为了开发者们面临的一大挑战。尤其是地推活动&#xff0c;作为App推广的重要手段&#xff0c;其效果直接关系到产品的用户增长和活跃度。然而&#xff0c;传统的地推方式存在着诸多痛点&#xff0c;如业绩统计繁琐、推广效果难以…

Excel怎么去除公式保留数字,一个快捷键也能搞定

大家好&#xff0c;这里是效率办公指南&#xff01; &#x1f4ca;在处理Excel数据时&#xff0c;我们经常会遇到需要从公式单元格中提取数值的情况。例如&#xff0c;你可能有一个包含公式的列&#xff0c;但只需要那些公式计算后的数字。今天&#xff0c;我们就来学习几种在…

无线领夹麦克风哪款好,无线麦克风品牌排行榜前十名,智商税详谈

​无线领夹麦克风如今是视频创作者、直播博主等群体常用的音频设备&#xff0c;但由于品牌和型号众多&#xff0c;消费者在购买时常常不知如何选择。从市场情况来看&#xff0c;某些品牌在销量上占据优势&#xff0c;但在口碑方面&#xff0c;一些专注品质的小众品牌可能更胜一…

《DB-GPT项目》专栏总目录

❤️ 专栏名称&#xff1a;《DB-GPT项目》 &#x1f339; 内容介绍&#xff1a;项目部署、大模型替换、底层源码修改、数据分析、数据可视化、自动化等&#xff0c;适合零基础和进阶的同学。 &#x1f680; 订阅专栏&#xff1a;订阅后可阅读专栏内所有内容&#xff0c;专栏持续…

配电房数字式仪表读数识别算法开发

文章目录 一、概述二、训练数据准备2.1 自动生成图片2.2 爬虫搜集图片 三、模型训练及测试3.1 数据集组成3.2 模型训练及评价3.3 预测结果可视化 四、小结 一、概述 数字式仪表是指以数字的形式呈现仪表读数的仪表类型&#xff0c;其特点是读数比较直观&#xff0c;如下图为配…

react 安装使用 antd+国际化+定制化主题+样式兼容

安装antd 现在从 yarn 或 npm 或 pnpm 安装并引入 antd。 yarn add antd修改 src/App.js&#xff0c;引入 antd 的按钮组件。 import React from react; import { Button } from antd;const App: React.FC () > (<div className"App"><Button type&q…

【鸿蒙】HarmonyOS NEXT星河入门到实战5-基础语法

目录 一、字符串拼接 1.1 常规字符串拼接 1.2 模板字符串hello(符号在键盘的tab上面) 二、类型转换 &#xff08;数字和字符串&#xff09; 2.1 字符串转数字 2.2 数字转字符串 三、交互 3.1 点击事件 3.2 状态管理 3.3 计数器案例 四、运算符 4.1 算数运算符 4.2 赋…

[001-03-007].第26节:分布式锁迭代3->优化基于setnx命令实现的分布式锁-防锁的误删

我的博客大纲 我的后端学习大纲 1、问题分析&#xff1a; 1.1.问题&#xff1a; 1.锁的超时释放&#xff0c;可能会释放其他服务器的锁 1.2.场景&#xff1a; 1.如果业务逻辑的执行时间是7s。执行流程如下 1.index1业务逻辑没执行完&#xff0c;3秒后锁被自动释放。2.index…

企业会议室预约管理系统

基于springbootvuemysql实现的企业会议室预约管理系统&#xff08;源码数据库部署视频&#xff09; ### 主要技术 SpringBoot、Vue、MySQL ### 系统角色 员工、管理员 ### 系统功能 1&#xff09;管理员&#xff1a;数据统计&#xff08;会议室使用统计-柱状图、设备状态统计…

C++:2024/9/11

B. Increase/Decrease/Copy 原题链接&#xff1a;Problem - B - Codeforces 题目大意&#xff1a; ​ 给一颗树&#xff0c;规定编号为1的节点为根节点&#xff0c;每个节点上初始会有一个值&#xff0c;你每次可以进行操作&#xff0c;这个操作是选定一个非叶子节点的节点…

Parallels Desktop 20 最新版,带来哪些新功能(附下载链接)!

很兴奋地向大家宣布&#xff0c;Parallels Desktop 20 for Mac 正式发布啦——这是我们产品迄今为止最强大的版本&#xff01; 这次最大的亮点是全新推出的 Parallels AI 工具包&#xff0c;它提供安全的、可下载的预装虚拟机&#xff0c;让你可以在离线环境中迅速提升 AI 开发…

python中swift包的安装

魔搭社区上经常会有swift这种包需要导,但是在pip install swift怎么装都装不上,这时候需要: pip install ms-swift -U

蓝牙也会更新?新功能有这些便捷之处

本周&#xff0c;蓝牙技术联盟发布了蓝牙 6.0 的最新版本&#xff0c;其中引入了一项名为“信道探测”的新功能。这一功能将大幅提升苹果设备上的“查找”应用表现&#xff0c;为用户带来前所未有的距离感知能力。蓝牙 6.0 承诺&#xff0c;未来的蓝牙设备和配件将能够实现“相…

Eprime学习【E-basic语言、心理学实验程序设计】

文章目录 Eprime学习心理学实验程序设计的基本框架一、实验设计的基本原则二、实验过程&#xff08;procedure&#xff09;与实验列表&#xff08;list&#xff09;三、心理学实验设计的基本模式四、心理学常用的功能与制作 E-basic语言 Eprime学习 心理学实验程序设计的基本框…

MySQL表操作(中)

查询 去重 //相同的行只会保留一个 select distinct 某个列/多个列 from 表名; 这个去重必须是所要进行去重的列的所要去重的数据都是相同&#xff0c;单一某一列相同并不会进行去重的效果。例子如下图&#xff0c;数学得分相同的并未进行去重&#xff0c;必须名字和得分都相同…

工厂安灯系统在设备管理中的重要性

在现代制造业中&#xff0c;设备管理是确保生产效率和产品质量的关键环节。随着工业4.0的推进&#xff0c;越来越多的企业开始采用智能化的设备管理系统&#xff0c;其中安灯系统作为一种有效的管理工具&#xff0c;逐渐受到重视。安灯系统最初源于日本的丰田生产方式&#xff…