强叔侃墙双防火墙单Internet出口组网配置.docx

资源描述

强叔侃墙双防火墙单Internet出口组网配置.docx

《强叔侃墙双防火墙单Internet出口组网配置.docx》由会员分享，可在线阅读，更多相关《强叔侃墙双防火墙单Internet出口组网配置.docx（14页珍藏版）》请在冰豆网上搜索。

强叔侃墙双防火墙单Internet出口组网配置.docx

强叔侃墙双防火墙单Internet出口组网配置

【防火墙技术案例1】强叔拍案惊奇双防火墙单Internet出口组网配置

引言

大家好，强叔又与大家见面了！

最近一段时间，【防火墙技术连载贴】强叔侃墙系列正在火爆上映，引起了论坛小伙伴们的广泛热议。

想必小伙伴们已经对防火墙有了一定的理解，而且已经迫不及待地开始实战配置防火墙了。

在实战过程中，小伙伴们也许会发现理论和现实还是有一定差距的，而且也应该在挫折和失败中逐渐体会到了网络的博大精深。

为了解决小伙伴们实战配置防火墙时遇到的各种问题和困惑，强叔诚意推出【防火墙技术案例】强叔拍案惊奇系列，专门为大家呈现防火墙实战案例和组网验证，为大家解决防火墙的实战问题。

目前强叔准备先在拍案惊奇系列开放以下模块：

路由交换、双机热备、安全策略、NAT、攻击防范和VPN。

强叔会陆续丰富各个模块的内容，也欢迎论坛的各位朋友联系强叔提供经典实战案例。

————————————华丽的分割线—————————————————————

下面强叔首先给大家带来一篇防火墙双机热备的技术案例。

【组网需求】

客户购置了2台防火墙，但只租用了一条到ISP的链路。

加入防火墙后，需要满足两个需求：

1、内网办公区用户能够使用公网地址访问Internet

2、内网有一个FTPServer需要对公网提供服务

另外，客户网络原本是通过一个三层交换机作为出口接入ISP，且不愿意在此处做出改变。

我们按需求构建了一个拓扑示例，如下图所示（拓扑中的防火墙为USG5500V300R001）。

这个组网中，公网地址仍然在交换机上，防火墙对外网的接口上使用私网IP。

【数据规划】

设备名称

接口

IP地址

VLANID

备注

LSW1

GE0/0/1

连接ISP

GE0/0/2

连接FW1

GE0/0/3

连接FW2

Vlanif10

202.2.2.103/24

Vlanif20

10.10.10.4/24

FW1

GE0/0/1

10.10.10.2/24

连接LSW1

GE0/0/2

172.16.100.2/24

连接LSW2

GE0/0/3

192.168.1.1/24

心跳口

GE0/0/4

172.16.99.2/24

连接LSW3

FW2

GE0/0/1

10.10.10.3/24

连接LSW1

GE0/0/2

172.16.100.3/24

连接LSW2

GE0/0/3

192.168.1.2/24

心跳口

GE0/0/4

172.16.99.3/24

连接LSW3

LSW2

GE0/0/2

连接办公区

GE0/0/3

连接FW1

GE0/0/4

连接FW2

Vlanif10

172.16.2.1/24

Vlanif20

172.16.100.4/24

LSW3

GE0/0/2

连接服务器区

GE0/0/3

连接FW1

GE0/0/4

连接FW2

Vlanif10

172.16.3.1/24

Vlanif20

172.16.99.4/24

【配置要点】

因为公网地址并不在防火墙上，所以本案例的难点在于作为出口网关的交换机上路由和ProxyARP的配置。

【配置步骤】

1、配置交换机LSW1

#创建VLAN10和20

[LSW1]vlanbatch1020

#配置接口

[LSW1]interfaceGigabitEthernet0/0/1

[LSW1-GigabitEthernet0/0/1]portlink-typeaccess

[LSW1-GigabitEthernet0/0/1]portdefaultvlan10

[LSW1-GigabitEthernet0/0/1]quit

[LSW1]interfaceGigabitEthernet0/0/2

[LSW1-GigabitEthernet0/0/2]portlink-typeaccess

[LSW1-GigabitEthernet0/0/2]portdefaultvlan20

[LSW1-GigabitEthernet0/0/2]quit

[LSW1]interfaceGigabitEthernet0/0/3

[LSW1-GigabitEthernet0/0/3]portlink-typeaccess

[LSW1-GigabitEthernet0/0/3]portdefaultvlan20

[LSW1-GigabitEthernet0/0/3]quit

[LSW1]interfaceVlanif10

[LSW1-Vlanif10]ipaddress202.2.2.10324

[LSW1-Vlanif20]quit

[LSW1]interfaceVlanif20

[LSW1-Vlanif20]ipaddress10.10.10.424

#配置路由

[LSW1]iproute-static202.2.2.104255.255.255.25510.10.10.1

//*到办公区的路由，注意目的IP地址应该配置为NAT地址池地址，而不是私网地址*//

[LSW1]iproute-static202.2.2.105255.255.255.25510.10.10.1

//*到办公区的路由，注意目的IP地址应该配置为NAT地址池地址，而不是私网地址*//

[LSW1]iproute-static202.2.2.106255.255.255.25510.10.10.1

//*到服务器区的路由，注意目的IP地址应该配置为服务器的公网地址，而不是私网地址*//

[LSW1]iproute-static0.0.0.00.0.0.0202.2.2.1

#配置ProxyARP

[LSW1]interfacevlanif10

[LSW1-Vlanif10]arp-proxyenable

[LSW1-Vlanif10]quit

[LSW1]interfacevlanif20

[LSW1-Vlanif20]arp-proxyenable

2、配置防火墙

#配置FW1接口IP地址及VRRP，加入安全区域

[FW1]interfaceGigabitEthernet0/0/1

[FW1-GigabitEthernet0/0/1]ipaddress10.10.10.224

[FW1-GigabitEthernet0/0/1]vrrpvrid1virtual-ip10.10.10.124master

[FW1-GigabitEthernet0/0/1]quit

[FW1]firewallzoneuntrust

[FW1-zone-untrust]addinterfaceg0/0/1

[FW1-zone-untrust]quit

[FW1]interfaceGigabitEthernet0/0/2

[FW1-GigabitEthernet0/0/2]ipaddress172.16.100.224

[FW1-GigabitEthernet0/0/2]vrrpvrid2virtual-ip172.16.100.124master

[FW1-GigabitEthernet0/0/2]quit

[FW1]firewallzonetrust

[FW1-zone-trust]addinterfaceGigabitEthernet0/0/2

[FW1-zone-trust]quit

[FW1]interfaceGigabitEthernet0/0/3

[FW1-GigabitEthernet0/0/3]ipaddress192.168.1.124

[FW1-GigabitEthernet0/0/3]quit

[FW1]firewallzonenameheartbeat //*为心跳口新建一个安全区域*//

[FW1-zone-heartbeat]setpriority90

[FW1-zone-heartbeat]addinterfaceGigabitEthernet0/0/3

[FW1-zone-heartbeat]quit

[FW1]interfaceGigabitEthernet0/0/4

[FW1-GigabitEthernet0/0/4]ipaddress172.16.99.224

[FW1-GigabitEthernet0/0/4]vrrpvrid4virtual-ip172.16.99.124master

[FW1-GigabitEthernet0/0/4]quit

[FW1]firewallzonedmz

[FW1-zone-dmz]addinterfaceGigabitEthernet0/0/4

[FW1-zone-dmz]quit

#配置路由

[FW1]iproute-static172.16.2.0255.255.255.0172.16.100.4

[FW1]iproute-static172.16.3.0255.255.255.0172.16.99.4

[FW1]iproute-static0.0.0.00.0.0.010.10.10.4

#配置FW2接口IP地址及VRRP，加入安全区域

[FW2]interfaceGigabitEthernet0/0/1

[FW2-GigabitEthernet0/0/1]ipaddress10.10.10.324

[FW2-GigabitEthernet0/0/1]vrrpvrid1virtual-ip10.10.10.124slave

[FW2-GigabitEthernet0/0/1]quit

[FW2]firewallzoneuntrust

[FW2-zone-untrust]addinterfaceGigabitEthernet0/0/1

[FW2-zone-untrust]quit

[FW2]interfaceGigabitEthernet0/0/2

[FW2-GigabitEthernet0/0/2]ipaddress172.16.100.324

[FW2-GigabitEthernet0/0/2]vrrpvrid2virtual-ip172.16.100.124slave

[FW2-GigabitEthernet0/0/2]quit

[FW2]firewallzonetrust

[FW2-zone-trust]addinterfaceGigabitEthernet0/0/2

[FW2-zone-t

展开阅读全文

强叔侃墙 双防火墙单Internet出口组网配置.docx

强叔侃墙双防火墙单Internet出口组网配置.docx