HCIE security学习资料
需积分: 50 142 浏览量
2018-03-22
10:10:38
上传
评论 2
收藏 747KB PDF 举报
双防火墙单Internet出口组网配置
引言
大家好,强叔又与大家见面了!最近一段时间,【防火墙技术连载贴】强叔侃
墙系列正在火爆上映,引起了论坛小伙伴们的广泛热议。想必小伙伴们已经对
防火墙有了一定的理解,而且已经迫不及待地开始实战配置防火墙了。
在实战过程中,小伙伴们也许会发现理论和现实还是有一定差距的,而且也应
该在挫折和失败中逐渐体会到了网络的博大精深。
为了解决小伙伴们实战配置防火墙时遇到的各种问题和困惑,强叔诚意推出
【防火墙技术案例】强叔拍案惊奇系列
,专门为大家呈现防火墙实战案例和组
网验证,为大家解决防火墙的实战问题。
目前强叔准备先在
拍案惊奇系列
开放以下模块:路由交换、双机热备、安全策
略、NAT、攻击防范和VPN。 强叔会陆续丰富各个模块的内容,也欢迎论坛的
各位朋友联系强叔提供经典实战案例。
————————————————————————华丽的分割
线————————————————————————————————
下面强叔首先给大家带来一篇防火墙双机热备的技术案例。本案例来源于强叔的
小伙伴在实验室中模拟客户的真实组网。
【组网需求】
客户购置了2台防火墙,但只租用了一条到ISP的链路。加入防火墙后,需要满
足两个需求:
1、内网办公区用户能够使用公网地址访问Internet
2、内网有一个FTP Server需要对公网提供服务
另外,客户网络原本是通过一个三层交换机作为出口接入ISP,且不愿意在此
处做出改变。我们按需求构建了一个拓扑示例,如下图所示(拓扑中的防火墙
为USG5500 V300R001)。这个组网中,公网地址仍然在交换机上,防火墙对外
网的接口上使用私网IP。
【数据规划】
设备名称 接口 IP地址 VLAN ID 备注
LSW1 GE0/0/1 - 10 连接ISP
GE0/0/2 - 20 连接FW1
GE0/0/3 - 20 连接FW2
Vlanif10 202.2.2.103/24 - -
Vlanif20 10.10.10.4/24 - -
FW1 GE0/0/1 10.10.10.2/24 - 连接LSW1
GE0/0/2 172.16.100.2/24 - 连接LSW2
GE0/0/3 192.168.1.1/24 - 心跳口
GE0/0/4 172.16.99.2/24 - 连接LSW3
FW2 GE0/0/1 10.10.10.3/24 - 连接LSW1
GE0/0/2 172.16.100.3/24 - 连接LSW2
GE0/0/3 192.168.1.2/24 - 心跳口
GE0/0/4 172.16.99.3/24 - 连接LSW3
LSW2 GE0/0/2 - 10 连接办公区
GE0/0/3 - 20 连接FW1
GE0/0/4 - 20 连接FW2
Vlanif10 172.16.2.1/24 - -
Vlanif20 172.16.100.4/24 - -
LSW3 GE0/0/2 - 10 连接服务器区
GE0/0/3 - 20 连接FW1
GE0/0/4 - 20 连接FW2
Vlanif10 172.16.3.1/24 - -
Vlanif20 172.16.99.4/24 - -
【配置要点】
因为公网地址并不在防火墙上,所以本案例的难点在于作为出口网关的交换机
上路由和Proxy ARP的配置。
【配置步骤】
1、配置交换机LSW1
# 创建VLAN 10和20
[LSW1]vlan batch 10 20
# 配置接口
[LSW1]interface GigabitEthernet 0/0/1
[LSW1-GigabitEthernet0/0/1]port link-type access
[LSW1-GigabitEthernet0/0/1]port default vlan 10
[LSW1-GigabitEthernet0/0/1]quit
[LSW1]interface GigabitEthernet 0/0/2
[LSW1-GigabitEthernet0/0/2]port link-type access
[LSW1-GigabitEthernet0/0/2]port default vlan 20
[LSW1-GigabitEthernet0/0/2]quit
[LSW1]interface GigabitEthernet 0/0/3
[LSW1-GigabitEthernet0/0/3]port link-type access
[LSW1-GigabitEthernet0/0/3]port default vlan 20
[LSW1-GigabitEthernet0/0/3]quit
[LSW1]interface Vlanif 10
[LSW1-Vlanif10]ip address 202.2.2.103 24
[LSW1-Vlanif20]quit
[LSW1]interface Vlanif 20
[LSW1-Vlanif20]ip address 10.10.10.4 24
#配置路由
[LSW1]ip route-static 202.2.2.104 255.255.255.255 10.10.10.1
//*到办公区的路由,注意目的IP地址应该配置为NAT地址池地址,而不是私网地址*//
[LSW1]ip route-static 202.2.2.105 255.255.255.255 10.10.10.1
//*到办公区的路由,注意目的IP地址应该配置为NAT地址池地址,而不是私网地址*//
[LSW1]ip route-static 202.2.2.106 255.255.255.255 10.10.10.1
//*到服务器区的路由,注意目的IP地址应该配置为服务器的公网地址,而不是私网地址*//
[LSW1]ip route-static 0.0.0.0 0.0.0.0 202.2.2.1
#配置Proxy ARP
[LSW1]interface vlanif 10
[LSW1-Vlanif10]arp-proxy enable
[LSW1-Vlanif10]quit
[LSW1]interface vlanif 20
[LSW1-Vlanif20]arp-proxy enable
2、配置防火墙
# 配置FW1接口IP地址及VRRP,加入安全区域
[FW1]interface GigabitEthernet 0/0/1
[FW1-GigabitEthernet0/0/1]ip address 10.10.10.2 24
[FW1-GigabitEthernet0/0/1]vrrp vrid 1 virtual-ip 10.10.10.1 24
master
[FW1-GigabitEthernet0/0/1]quit
[FW1]firewall zone untrust
[FW1-zone-untrust]add interface g 0/0/1
[FW1-zone-untrust]quit
[FW1]interface GigabitEthernet 0/0/2
[FW1-GigabitEthernet0/0/2]ip address 172.16.100.2 24
[FW1-GigabitEthernet0/0/2]vrrp vrid 2 virtual-ip 172.16.100.1 24
master
[FW1-GigabitEthernet0/0/2]quit
[FW1]firewall zone trust
[FW1-zone-trust]add interface GigabitEthernet 0/0/2
[FW1-zone-trust]quit
[FW1]interface GigabitEthernet 0/0/3
[FW1-GigabitEthernet0/0/3]ip address 192.168.1.1 24
[FW1-GigabitEthernet0/0/3]quit
[FW1]firewall zone name heartbeat //*为心跳口新建一个安全区域*//
[FW1-zone-heartbeat]set priority 90
[FW1-zone-heartbeat]add interface GigabitEthernet 0/0/3
[FW1-zone-heartbeat]quit
[FW1]interface GigabitEthernet 0/0/4
[FW1-GigabitEthernet0/0/4]ip address 172.16.99.2 24
[FW1-GigabitEthernet0/0/4]vrrp vrid 4 virtual-ip 172.16.99.1 24
master
[FW1-GigabitEthernet0/0/4]quit
[FW1]firewall zone dmz
[FW1-zone-dmz]add interface GigabitEthernet 0/0/4
[FW1-zone-dmz]quit
#配置路由
[FW1]ip route-static 172.16.2.0 255.255.255.0 172.16.100.4
[FW1]ip route-static 172.16.3.0 255.255.255.0 172.16.99.4
[FW1]ip route-static 0.0.0.0 0.0.0.0 10.10.10.4
# 配置FW2接口IP地址及VRRP,加入安全区域
[FW2]interface GigabitEthernet 0/0/1
[FW2-GigabitEthernet0/0/1]ip address 10.10.10.3 24
[FW2-GigabitEthernet0/0/1]vrrp vrid 1 virtual-ip 10.10.10.1 24 slave
[FW2-GigabitEthernet0/0/1]quit
[FW2]firewall zone untrust
[FW2-zone-untrust]add interface GigabitEthernet 0/0/1
[FW2-zone-untrust]quit
[FW2]interface GigabitEthernet 0/0/2
[FW2-GigabitEthernet0/0/2]ip address 172.16.100.3 24
[FW2-GigabitEthernet0/0/2]vrrp vrid 2 virtual-ip 172.16.100.1 24
slave
[FW2-GigabitEthernet0/0/2]quit
[FW2]firewall zone trust
[FW2-zone-trust]add interface GigabitEthernet 0/0/2
[FW2-zone-trust]quit
[FW2]interface GigabitEthernet 0/0/3
[FW2-GigabitEthernet0/0/3]ip address 192.168.1.2 24
[FW2-GigabitEthernet0/0/3]quit
[FW2]firewall zone name heartbeat //*为心跳口新建一个安全区域*//
[FW2-zone-heartbeat]set priority 90
[FW2-zone-heartbeat]add interface GigabitEthernet 0/0/3
[FW2-zone-heartbeat]quit
[FW2]interface GigabitEthernet 0/0/4
[FW2-GigabitEthernet0/0/4]ip address 172.16.99.3 24
[FW2-GigabitEthernet0/0/4]vrrp vrid 4 virtual-ip 172.16.99.1 24
slave
[FW2-GigabitEthernet0/0/4]quit
[FW2]firewall zone dmz
[FW2-zone-dmz]add interface GigabitEthernet 0/0/4
[FW2-zone-dmz]quit
#配置路由
[FW2]ip route-static 172.16.2.0 255.255.255.0 172.16.100.4
[FW2]ip route-static 172.16.3.0 255.255.255.0 172.16.99.4
[FW2]ip route-static 0.0.0.0 0.0.0.0 10.10.10.4
# FW1上启用双机热备
[FW1]hrp interface GigabitEthernet 0/0/3
[FW1]hrp enable
#FW2上启用双机热备
[FW2]hrp interface GigabitEthernet 0/0/3
[FW2]hrp enable
#FW1上配置源NAT策略,配置会自动同步到FW2上
HRP_M[FW1]nat address-group 1 202.2.2.104 202.2.2.105
HRP_M[FW1]nat-policy interzone trust untrust outbound
HRP_M[FW1-nat-policy-interzone-trust-untrust-outbound]policy 0
HRP_M[FW1-nat-policy-interzone-trust-untrust-outbound-0]action
source-nat
HRP_M[FW1-nat-policy-interzone-trust-untrust-outbound-0]policy
source 172.16.2.0 0.0.0.255
HRP_M[FW1-nat-policy-interzone-trust-untrust-outbound-0]address-
group 1
#在FW1上配置NAT Server,配置会自动同步到FW2上
HRP_M[FW1]nat server 1 protocol tcp global 202.2.2.106 ftp inside
172.16.3.20 ftp
#在FW1上配置安全策略,配置会自动同步到FW2上
HRP_M[FW1]policy interzone trust untrust outbound
HRP_M[FW1-policy-interzone-trust-untrust-outbound]policy 0
HRP_M[FW1-policy-interzone-trust-untrust-outbound-0]policy source
172.16.2.0 0.0.0.255
HRP_M[FW1-policy-interzone-trust-untrust-outbound-0]action permit
HRP_M[FW1-policy-interzone-trust-untrust-outbound-0]quit
HRP_M[FW1-policy-interzone-trust-untrust-outbound] quit
HRP_M[FW1]policy interzone dmz untrust inbound
HRP_M[FW1-policy-interzone-dmz-untrust-inbound]policy 0
HRP_M[FW1-policy-interzone-dmz-untrust-inbound-0]policy destination
172.16.3.20 0
HRP_M[FW1-policy-interzone-dmz-untrust-inbound-0]policy service
service-set ftp
HRP_M[FW1-policy-interzone-dmz-untrust-inbound-0]action permit
HRP_M[FW1-policy-interzone-dmz-untrust-inbound-0]quit
HRP_M[FW1-policy-interzone-dmz-untrust-inbound]quit
#在FW1上配置ASPF ,配置会自动同步到FW2上
HRP_M[FW1]firewall interzone dmz untrust
HRP_M[FW1-interzone-dmz-untrust]detect ftp
HRP_M[FW1-interzone-dmz-untrust]quit
3、配置LSW2
# 创建VLAN 10和20
[LSW2]vlan batch 10 20
# 配置接口
[LSW2]interface GigabitEthernet 0/0/2
[LSW3-GigabitEthernet0/0/2]port link-type access
[LSW2-GigabitEthernet0/0/2]port default vlan 10
[LSW2-GigabitEthernet0/0/2]quit
[LSW2]interface GigabitEthernet 0/0/3
[LSW2-GigabitEthernet0/0/3]port link-type access
[LSW2-GigabitEthernet0/0/3]port default vlan 20
[LSW2-GigabitEthernet0/0/3]quit
[LSW2]interface GigabitEthernet 0/0/4
[LSW2-GigabitEthernet0/0/4]port link-type access
[LSW2-GigabitEthernet0/0/4]port default vlan 20
[LSW2-GigabitEthernet0/0/4]quit
[LSW2]interface vlanif 10
[LSW2-Vlanif10]ip address 172.16.2.1 24
[LSW2-Vlanif10] quit
[LSW2]interface vlanif 20
[LSW2-Vlanif20]ip address 172.16.100.4 24
[LSW2-Vlanif20] quit
#配置缺省路由
[LSW2]ip route-static 0.0.0.0 0.0.0.0 172.16.100.1
4、配置LSW3
# 创建VLAN 10和20
[LSW3]vlan batch 10 20
# 配置接口
[LSW3]interface GigabitEthernet 0/0/2
[LSW3-GigabitEthernet0/0/2]port link-type access
[LSW3-GigabitEthernet0/0/2]port default vlan 10
[LSW3-GigabitEthernet0/0/2]quit
[LSW3]interface GigabitEthernet 0/0/3
[LSW3-GigabitEthernet0/0/3]port link-type access
[LSW3-GigabitEthernet0/0/3]port default vlan 20
[LSW3-GigabitEthernet0/0/3]quit
[LSW3]interface GigabitEthernet 0/0/4
[LSW3-GigabitEthernet0/0/4]port link-type access
[LSW3-GigabitEthernet0/0/4]port default vlan 20
[LSW3-GigabitEthernet0/0/4]quit
[LSW3]interface vlanif 10
[LSW3-Vlanif10]ip address 172.16.3.1 24
[LSW3-Vlanif10] quit
[LSW3]interface vlanif 20
[LSW3-Vlanif20]ip address 172.16.99.4 24
[LSW3-Vlanif20] quit
#配置缺省路由
[LSW3]ip route-static 0.0.0.0 0.0.0.0 172.16.99.1
【结果验证】
1、办公区client2能访问到公网的client6
防火墙上查看会话表,如下:
2、公网client6能够通过202.2.2.106访问内网的FTP Server
防火墙上查看会话表
3、双机热备验证
主设备上shutdown接口。
主备切换,业务未中断
【拍案惊奇】
1、 此案例的惊奇之处在于防火墙上下行连接的是三层交换机,而不是大家比
较熟悉的上下行连接二层交换机(如下图,交换机三个二层接口加入同一
VLAN,这个案例可以在各种产品资料中都能轻易找到)。更加惊奇的是两台防
火墙与上下行三层设备之间不是运行OSPF(如果是运行OSPF,这个案例在各种
产品资料中也能找到),而是运行静态路由。
正是这两点惊奇之处,使得此案例与众不同。
案例本天成,妙手偶得之。客户的不愿改变现有组网方式的要求,为小伙
伴们提供了一个奇特的组网:
防火墙上下行连接三层交换机,防火墙与上下行
设备之间运行静态路由。
这种组网最大的特点是交换机通过
VLANIF
接口
IP
与防火墙的
VRRP
备份
组地址通信。(见下图)
2、 此案例的另一惊奇之处在于在LSW1上配置了代理ARP功能(见【配置步
骤】 中的标红配置)。具体报文交互过程如下:
1)内网用户访问CLIENT6的报文的源IP会经过NAT转换,转换成NAT地址池的地
址202.2.2.104/24。
2)经过一系列路由(防火墙的缺省路由下一跳为10.1.1.4,LSW1的缺省路由
下一跳为202.2.2.1),报文被最终送到CLIENT6。
3)由于CLIENT6的接口IP(202.2.2.1/24)与回程报文的目的地址
(202.2.2.104/14)在同一网段,因此CLIENT6不会查找路由表,而是广播发
送ARP请求报文,请求目的地址的MAC地址。
4)由于交换机LSW1的上行接口和下行接口不在同一VLAN,因此CLIENT6的ARP
请求报文只能在VLAN10内传输,不能通过VLAN20传输到防火墙。这样就会导致
没有设备为CLIENT6回应MAC地址,CLIENT6就无法封装回程报文,只能丢弃此
报文。
5)如果启用代理ARP功能后,则ARP请求报文能跨越VLAN传输到防火墙,防火
墙就会回应此ARP请求报文。
其实这点惊奇之处是实验室组网造成的。在真实环境中CLIENT6(真实中会是
一台路由器)与VLANIF10的地址一般都是31位掩码。这样就会使NAT地址池中
的地址(回程报文的目的地址)与CLIENT6的接口地址不在同一网段,这也就
不会发送ARP请求,而是通过路由查找。
【强叔问答】
看完此案例后,强叔再提个问题供各位小伙伴思考:
如果客户同意完全改造现有组网,那么我们该如何套用经典的双机热备组网改
造此网络呢?
案例
1
双防火墙单Internet出口组网配置
2015年7月23日 星期四
下午3:21
剩余11页未读,继续阅读
资源评论
lcd6780
- 粉丝: 0
- 资源: 6
最新资源
- 服务器概述服务器概述服务器概述服务器概述.txt
- 华中农业大学python实验题.txt
- 海康威视相机采图交叉编译示例程序,c++
- DETR-基于Tensorflow实现DETR目标检测算法-附流程教程+项目源码-优质项目实战.zip
- 3d激光slam地图发布程序,3d地图点云处理,c++程序
- 送给妈妈的一束鲜花.zip(母亲节祝福HTML源码)
- 稀疏化DETR-基于Pytorch实现稀疏化DETR-SparseDETR-附流程教程+项目源码-优质项目实战.zip
- 人工分类:SLTM的微博评论二分类数据集
- (自适应手机端)响应式房产合同知识产权网站pbootcms模板 企业管理类网站源码下载.zip
- (自适应手机端)响应式动力刀座pbootcms网站模板 五金机械设备类网站源码下载.zip
资源上传下载、课程学习等过程中有任何疑问或建议,欢迎提出宝贵意见哦~我们会及时处理!
点击此处反馈
