强叔侃墙 双防火墙单Internet出口组网配置.docx
《强叔侃墙 双防火墙单Internet出口组网配置.docx》由会员分享,可在线阅读,更多相关《强叔侃墙 双防火墙单Internet出口组网配置.docx(14页珍藏版)》请在冰豆网上搜索。
![强叔侃墙 双防火墙单Internet出口组网配置.docx](https://file1.bdocx.com/fileroot1/2022-10/29/d289cdca-20f5-4559-aba2-13af0a12420c/d289cdca-20f5-4559-aba2-13af0a12420c1.gif)
强叔侃墙双防火墙单Internet出口组网配置
【防火墙技术案例1】强叔拍案惊奇双防火墙单Internet出口组网配置
引言
大家好,强叔又与大家见面了!
最近一段时间,【防火墙技术连载贴】强叔侃墙系列正在火爆上映,引起了论坛小伙伴们的广泛热议。
想必小伙伴们已经对防火墙有了一定的理解,而且已经迫不及待地开始实战配置防火墙了。
在实战过程中,小伙伴们也许会发现理论和现实还是有一定差距的,而且也应该在挫折和失败中逐渐体会到了网络的博大精深。
为了解决小伙伴们实战配置防火墙时遇到的各种问题和困惑,强叔诚意推出【防火墙技术案例】强叔拍案惊奇系列,专门为大家呈现防火墙实战案例和组网验证,为大家解决防火墙的实战问题。
目前强叔准备先在拍案惊奇系列开放以下模块:
路由交换、双机热备、安全策略、NAT、攻击防范和VPN。
强叔会陆续丰富各个模块的内容,也欢迎论坛的各位朋友联系强叔提供经典实战案例。
————————————华丽的分割线—————————————————————
下面强叔首先给大家带来一篇防火墙双机热备的技术案例。
【组网需求】
客户购置了2台防火墙,但只租用了一条到ISP的链路。
加入防火墙后,需要满足两个需求:
1、内网办公区用户能够使用公网地址访问Internet
2、内网有一个FTPServer需要对公网提供服务
另外,客户网络原本是通过一个三层交换机作为出口接入ISP,且不愿意在此处做出改变。
我们按需求构建了一个拓扑示例,如下图所示(拓扑中的防火墙为USG5500V300R001)。
这个组网中,公网地址仍然在交换机上,防火墙对外网的接口上使用私网IP。
【数据规划】
设备名称
接口
IP地址
VLANID
备注
LSW1
GE0/0/1
-
10
连接ISP
GE0/0/2
-
20
连接FW1
GE0/0/3
-
20
连接FW2
Vlanif10
202.2.2.103/24
-
-
Vlanif20
10.10.10.4/24
-
-
FW1
GE0/0/1
10.10.10.2/24
-
连接LSW1
GE0/0/2
172.16.100.2/24
-
连接LSW2
GE0/0/3
192.168.1.1/24
-
心跳口
GE0/0/4
172.16.99.2/24
-
连接LSW3
FW2
GE0/0/1
10.10.10.3/24
-
连接LSW1
GE0/0/2
172.16.100.3/24
-
连接LSW2
GE0/0/3
192.168.1.2/24
-
心跳口
GE0/0/4
172.16.99.3/24
-
连接LSW3
LSW2
GE0/0/2
-
10
连接办公区
GE0/0/3
-
20
连接FW1
GE0/0/4
-
20
连接FW2
Vlanif10
172.16.2.1/24
-
-
Vlanif20
172.16.100.4/24
-
-
LSW3
GE0/0/2
-
10
连接服务器区
GE0/0/3
-
20
连接FW1
GE0/0/4
-
20
连接FW2
Vlanif10
172.16.3.1/24
-
-
Vlanif20
172.16.99.4/24
-
-
【配置要点】
因为公网地址并不在防火墙上,所以本案例的难点在于作为出口网关的交换机上路由和ProxyARP的配置。
【配置步骤】
1、配置交换机LSW1
#创建VLAN10和20
[LSW1]vlanbatch1020
#配置接口
[LSW1]interfaceGigabitEthernet0/0/1
[LSW1-GigabitEthernet0/0/1]portlink-typeaccess
[LSW1-GigabitEthernet0/0/1]portdefaultvlan10
[LSW1-GigabitEthernet0/0/1]quit
[LSW1]interfaceGigabitEthernet0/0/2
[LSW1-GigabitEthernet0/0/2]portlink-typeaccess
[LSW1-GigabitEthernet0/0/2]portdefaultvlan20
[LSW1-GigabitEthernet0/0/2]quit
[LSW1]interfaceGigabitEthernet0/0/3
[LSW1-GigabitEthernet0/0/3]portlink-typeaccess
[LSW1-GigabitEthernet0/0/3]portdefaultvlan20
[LSW1-GigabitEthernet0/0/3]quit
[LSW1]interfaceVlanif10
[LSW1-Vlanif10]ipaddress202.2.2.10324
[LSW1-Vlanif20]quit
[LSW1]interfaceVlanif20
[LSW1-Vlanif20]ipaddress10.10.10.424
#配置路由
[LSW1]iproute-static202.2.2.104255.255.255.25510.10.10.1
//*到办公区的路由,注意目的IP地址应该配置为NAT地址池地址,而不是私网地址*//
[LSW1]iproute-static202.2.2.105255.255.255.25510.10.10.1
//*到办公区的路由,注意目的IP地址应该配置为NAT地址池地址,而不是私网地址*//
[LSW1]iproute-static202.2.2.106255.255.255.25510.10.10.1
//*到服务器区的路由,注意目的IP地址应该配置为服务器的公网地址,而不是私网地址*//
[LSW1]iproute-static0.0.0.00.0.0.0202.2.2.1
#配置ProxyARP
[LSW1]interfacevlanif10
[LSW1-Vlanif10]arp-proxyenable
[LSW1-Vlanif10]quit
[LSW1]interfacevlanif20
[LSW1-Vlanif20]arp-proxyenable
2、配置防火墙
#配置FW1接口IP地址及VRRP,加入安全区域
[FW1]interfaceGigabitEthernet0/0/1
[FW1-GigabitEthernet0/0/1]ipaddress10.10.10.224
[FW1-GigabitEthernet0/0/1]vrrpvrid1virtual-ip10.10.10.124master
[FW1-GigabitEthernet0/0/1]quit
[FW1]firewallzoneuntrust
[FW1-zone-untrust]addinterfaceg0/0/1
[FW1-zone-untrust]quit
[FW1]interfaceGigabitEthernet0/0/2
[FW1-GigabitEthernet0/0/2]ipaddress172.16.100.224
[FW1-GigabitEthernet0/0/2]vrrpvrid2virtual-ip172.16.100.124master
[FW1-GigabitEthernet0/0/2]quit
[FW1]firewallzonetrust
[FW1-zone-trust]addinterfaceGigabitEthernet0/0/2
[FW1-zone-trust]quit
[FW1]interfaceGigabitEthernet0/0/3
[FW1-GigabitEthernet0/0/3]ipaddress192.168.1.124
[FW1-GigabitEthernet0/0/3]quit
[FW1]firewallzonenameheartbeat //*为心跳口新建一个安全区域*//
[FW1-zone-heartbeat]setpriority90
[FW1-zone-heartbeat]addinterfaceGigabitEthernet0/0/3
[FW1-zone-heartbeat]quit
[FW1]interfaceGigabitEthernet0/0/4
[FW1-GigabitEthernet0/0/4]ipaddress172.16.99.224
[FW1-GigabitEthernet0/0/4]vrrpvrid4virtual-ip172.16.99.124master
[FW1-GigabitEthernet0/0/4]quit
[FW1]firewallzonedmz
[FW1-zone-dmz]addinterfaceGigabitEthernet0/0/4
[FW1-zone-dmz]quit
#配置路由
[FW1]iproute-static172.16.2.0255.255.255.0172.16.100.4
[FW1]iproute-static172.16.3.0255.255.255.0172.16.99.4
[FW1]iproute-static0.0.0.00.0.0.010.10.10.4
#配置FW2接口IP地址及VRRP,加入安全区域
[FW2]interfaceGigabitEthernet0/0/1
[FW2-GigabitEthernet0/0/1]ipaddress10.10.10.324
[FW2-GigabitEthernet0/0/1]vrrpvrid1virtual-ip10.10.10.124slave
[FW2-GigabitEthernet0/0/1]quit
[FW2]firewallzoneuntrust
[FW2-zone-untrust]addinterfaceGigabitEthernet0/0/1
[FW2-zone-untrust]quit
[FW2]interfaceGigabitEthernet0/0/2
[FW2-GigabitEthernet0/0/2]ipaddress172.16.100.324
[FW2-GigabitEthernet0/0/2]vrrpvrid2virtual-ip172.16.100.124slave
[FW2-GigabitEthernet0/0/2]quit
[FW2]firewallzonetrust
[FW2-zone-trust]addinterfaceGigabitEthernet0/0/2
[FW2-zone-t