好资源好资料,不论出处,有价值就行! 看看这目录的介绍内容就心动了吧!
依旧是整理好的索引目录,华为最近大热,论坛除了加速推广之外近期也会加大资料分享的力度
但是依旧会以广度、深度、精华度为原则,为大家打造更好的学习平台
【防火墙技术案例2】强叔拍案惊奇 企业出口BGP组网配置 19
【防火墙技术案例3】强叔拍案惊奇 校园网出口网关配置 27
【防火墙技术案例4】强叔拍案惊奇 智能选路功能配置 41
【防火墙技术案例5】强叔拍案惊奇 双机热备(负载分担)组网下的IPSec配置 49
【防火墙技术案例6】强叔拍案惊奇 智能DNS配置 63
【防火墙技术案例7】强叔拍案惊奇 出差员工使用手机通过L2TP over IPSec接入总部 68
【防火墙技术案例8】强叔拍案惊奇 服务器负载均衡配置 82
【防火墙技术案例9】强叔拍案惊奇 数据中心防火墙应用 94
来吧,我们以前来欣赏其中的一个实例吧!
【防火墙技术案例1】强叔拍案惊奇 双防火墙单Internet出口组网配置
引言
大家好,强叔又与大家见面了!最近一段时间,【防火墙技术连载贴】强叔侃墙系列正在火爆上映,引起了论坛小伙伴们的广泛热议。想必小伙伴们已经对防火墙有了一定的理解,而且已经迫不及待地开始实战配置防火墙了。
在实战过程中,小伙伴们也许会发现理论和现实还是有一定差距的,而且也应该在挫折和失败中逐渐体会到了网络的博大精深。
为了解决小伙伴们实战配置防火墙时遇到的各种问题和困惑,强叔诚意推出【防火墙技术案例】强叔拍案惊奇系列,专门为大家呈现防火墙实战案例和组网验证,为大家解决防火墙的实战问题。
目前强叔准备先在拍案惊奇系列开放以下模块:路由交换、双机热备、安全策略、NAT、攻击防范和VPN。 强叔会陆续丰富各个模块的内容,也欢迎论坛的各位朋友联系强叔提供经典实战案例。
————————————————————————华丽的分割线————————————————————————————————
下面强叔首先给大家带来一篇防火墙双机热备的技术案例。本案例来源于强叔的小伙伴在实验室中模拟客户的真实组网。
【组网需求】
客户购置了2台防火墙,但只租用了一条到ISP的链路。加入防火墙后,需要满足两个需求:
1、内网办公区用户能够使用公网地址访问Internet
2、内网有一个FTP Server需要对公网提供服务
另外,客户网络原本是通过一个三层交换机作为出口接入ISP,且不愿意在此处做出改变。我们按需求构建了一个拓扑示例,如下图所示(拓扑中的防火墙为USG5500 V300R001)。这个组网中,公网地址仍然在交换机上,防火墙对外网的接口上使用私网IP。
【配置要点】
因为公网地址并不在防火墙上,所以本案例的难点在于作为出口网关的交换机上路由和Proxy ARP的配置。
【配置步骤】
1、配置交换机LSW1
# 创建VLAN 10和20
[LSW1]vlan batch 10 20
# 配置接口
[LSW1]interface GigabitEthernet 0/0/1
[LSW1-GigabitEthernet0/0/1]port link-type access
[LSW1-GigabitEthernet0/0/1]port default vlan 10
[LSW1-GigabitEthernet0/0/1]quit
[LSW1]interface GigabitEthernet 0/0/2
[LSW1-GigabitEthernet0/0/2]port link-type access
[LSW1-GigabitEthernet0/0/2]port default vlan 20
[LSW1-GigabitEthernet0/0/2]quit
[LSW1]interface GigabitEthernet 0/0/3
[LSW1-GigabitEthernet0/0/3]port link-type access
[LSW1-GigabitEthernet0/0/3]port default vlan 20
[LSW1-GigabitEthernet0/0/3]quit
[LSW1]interface Vlanif 10
[LSW1-Vlanif10]ip address 202.2.2.103 24
[LSW1-Vlanif20]quit
[LSW1]interface Vlanif 20
[LSW1-Vlanif20]ip address 10.10.10.4 24
#配置路由
[LSW1]ip route-static 202.2.2.104 255.255.255.255 10.10.10.1
//*到办公区的路由,注意目的IP地址应该配置为NAT地址池地址,而不是私网地址*//
[LSW1]ip route-static 202.2.2.105 255.255.255.255 10.10.10.1
//*到办公区的路由,注意目的IP地址应该配置为NAT地址池地址,而不是私网地址*//
[LSW1]ip route-static 202.2.2.106 255.255.255.255 10.10.10.1
//*到服务器区的路由,注意目的IP地址应该配置为服务器的公网地址,而不是私网地址*//
[LSW1]ip route-static 0.0.0.0 0.0.0.0 202.2.2.1
#配置Proxy ARP
[LSW1]interface vlanif 10
[LSW1-Vlanif10]arp-proxy enable
[LSW1-Vlanif10]quit
[LSW1]interface vlanif 20
[LSW1-Vlanif20]arp-proxy enable
2、配置防火墙
# 配置FW1接口IP地址及VRRP,加入安全区域
[FW1]interface GigabitEthernet 0/0/1
[FW1-GigabitEthernet0/0/1]ip address 10.10.10.2 24
[FW1-GigabitEthernet0/0/1]vrrp vrid 1 virtual-ip 10.10.10.1 24 master
[FW1-GigabitEthernet0/0/1]quit
[FW1]firewall zone untrust
[FW1-zone-untrust]add interface g 0/0/1
[FW1-zone-untrust]quit
[FW1]interface GigabitEthernet 0/0/2
[FW1-GigabitEthernet0/0/2]ip address 172.16.100.2 24
[FW1-GigabitEthernet0/0/2]vrrp vrid 2 virtual-ip 172.16.100.1 24 master
[FW1-GigabitEthernet0/0/2]quit
[FW1]firewall zone trust
[FW1-zone-trust]add interface GigabitEthernet 0/0/2
[FW1-zone-trust]quit
[FW1]interface GigabitEthernet 0/0/3
[FW1-GigabitEthernet0/0/3]ip address 192.168.1.1 24
[FW1-GigabitEthernet0/0/3]quit
[FW1]firewall zone name heartbeat //*为心跳口新建一个安全区域*//
[FW1-zone-heartbeat]set priority 90
[FW1-zone-heartbeat]add interface GigabitEthernet 0/0/3
[FW1-zone-heartbeat]quit
[FW1]interface GigabitEthernet 0/0/4
[FW1-GigabitEthernet0/0/4]ip address 172.16.99.2 24
[FW1-GigabitEthernet0/0/4]vrrp vrid 4 virtual-ip 172.16.99.1 24 master
[FW1-GigabitEthernet0/0/4]quit
[FW1]firewall zone dmz
[FW1-zone-dmz]add interface GigabitEthernet 0/0/4
[FW1-zone-dmz]quit
#配置路由
[FW1]ip route-static 172.16.2.0 255.255.255.0 172.16.100.4
[FW1]ip route-static 172.16.3.0 255.255.255.0 172.16.99.4
[FW1]ip route-static 0.0.0.0 0.0.0.0 10.10.10.4
# 配置FW2接口IP地址及VRRP,加入安全区域
[FW2]interface GigabitEthernet 0/0/1
[FW2-GigabitEthernet0/0/1]ip address 10.10.10.3 24
[FW2-GigabitEthernet0/0/1]vrrp vrid 1 virtual-ip 10.10.10.1 24 slave
[FW2-GigabitEthernet0/0/1]quit
[FW2]firewall zone untrust
[FW2-zone-untrust]add interface GigabitEthernet 0/0/1
[FW2-zone-untrust]quit
[FW2]interface GigabitEthernet 0/0/2
[FW2-GigabitEthernet0/0/2]ip address 172.16.100.3 24
[FW2-GigabitEthernet0/0/2]vrrp vrid 2 virtual-ip 172.16.100.1 24 slave
[FW2-GigabitEthernet0/0/2]quit
[FW2]firewall zone trust
[FW2-zone-trust]add interface GigabitEthernet 0/0/2
[FW2-zone-trust]quit
[FW2]interface GigabitEthernet 0/0/3
[FW2-GigabitEthernet0/0/3]ip address 192.168.1.2 24
[FW2-GigabitEthernet0/0/3]quit
[FW2]firewall zone name heartbeat //*为心跳口新建一个安全区域*//
[FW2-zone-heartbeat]set priority 90
[FW2-zone-heartbeat]add interface GigabitEthernet 0/0/3
[FW2-zone-heartbeat]quit
[FW2]interface GigabitEthernet 0/0/4
[FW2-GigabitEthernet0/0/4]ip address 172.16.99.3 24
[FW2-GigabitEthernet0/0/4]vrrp vrid 4 virtual-ip 172.16.99.1 24 slave
[FW2-GigabitEthernet0/0/4]quit
[FW2]firewall zone dmz
[FW2-zone-dmz]add interface GigabitEthernet 0/0/4
[FW2-zone-dmz]quit
#配置路由
[FW2]ip route-static 172.16.2.0 255.255.255.0 172.16.100.4
[FW2]ip route-static 172.16.3.0 255.255.255.0 172.16.99.4
[FW2]ip route-static 0.0.0.0 0.0.0.0 10.10.10.4
# FW1上启用双机热备
[FW1]hrp interface GigabitEthernet 0/0/3
[FW1]hrp enable
#FW2上启用双机热备
[FW2]hrp interface GigabitEthernet 0/0/3
[FW2]hrp enable
#FW1上配置源NAT策略,配置会自动同步到FW2上
HRP_M[FW1]nat address-group 1 202.2.2.104 202.2.2.105
HRP_M[FW1]nat-policy interzone trust untrust outbound
HRP_M[FW1-nat-policy-interzone-trust-untrust-outbound]policy 0
HRP_M[FW1-nat-policy-interzone-trust-untrust-outbound-0]action source-nat
HRP_M[FW1-nat-policy-interzone-trust-untrust-outbound-0]policy source 172.16.2.0 0.0.0.255
HRP_M[FW1-nat-policy-interzone-trust-untrust-outbound-0]address-group 1
#在FW1上配置NAT Server,配置会自动同步到FW2上
HRP_M[FW1]nat server 1 protocol tcp global 202.2.2.106 ftp inside 172.16.3.20 ftp
#在FW1上配置安全策略,配置会自动同步到FW2上
HRP_M[FW1]policy interzone trust untrust outbound
HRP_M[FW1-policy-interzone-trust-untrust-outbound]policy 0
HRP_M[FW1-policy-interzone-trust-untrust-outbound-0]policy source 172.16.2.0 0.0.0.255
HRP_M[FW1-policy-interzone-trust-untrust-outbound-0]action permit
HRP_M[FW1-policy-interzone-trust-untrust-outbound-0]quit
HRP_M[FW1-policy-interzone-trust-untrust-outbound] quit
HRP_M[FW1]policy interzone dmz untrust inbound
HRP_M[FW1-policy-interzone-dmz-untrust-inbound]policy 0
HRP_M[FW1-policy-interzone-dmz-untrust-inbound-0]policy destination 172.16.3.20 0
HRP_M[FW1-policy-interzone-dmz-untrust-inbound-0]policy service service-set ftp
HRP_M[FW1-policy-interzone-dmz-untrust-inbound-0]action permit
HRP_M[FW1-policy-interzone-dmz-untrust-inbound-0]quit
HRP_M[FW1-policy-interzone-dmz-untrust-inbound]quit
#在FW1上配置ASPF ,配置会自动同步到FW2上
HRP_M[FW1]firewall interzone dmz untrust
HRP_M[FW1-interzone-dmz-untrust]detect ftp
HRP_M[FW1-interzone-dmz-untrust]quit
3、配置LSW2
# 创建VLAN 10和20
[LSW2]vlan batch 10 20
# 配置接口
[LSW2]interface GigabitEthernet 0/0/2
[LSW3-GigabitEthernet0/0/2]port link-type access
[LSW2-GigabitEthernet0/0/2]port default vlan 10
[LSW2-GigabitEthernet0/0/2]quit
[LSW2]interface GigabitEthernet 0/0/3
[LSW2-GigabitEthernet0/0/3]port link-type access
[LSW2-GigabitEthernet0/0/3]port default vlan 20
[LSW2-GigabitEthernet0/0/3]quit
[LSW2]interface GigabitEthernet 0/0/4
[LSW2-GigabitEthernet0/0/4]port link-type access
[LSW2-GigabitEthernet0/0/4]port default vlan 20
[LSW2-GigabitEthernet0/0/4]quit
[LSW2]interface vlanif 10
[LSW2-Vlanif10]ip address 172.16.2.1 24
[LSW2-Vlanif10] quit
[LSW2]interface vlanif 20
[LSW2-Vlanif20]ip address 172.16.100.4 24
[LSW2-Vlanif20] quit
#配置缺省路由
[LSW2]ip route-static 0.0.0.0 0.0.0.0 172.16.100.1
4、配置LSW3
# 创建VLAN 10和20
[LSW3]vlan batch 10 20
# 配置接口
[LSW3]interface GigabitEthernet 0/0/2
[LSW3-GigabitEthernet0/0/2]port link-type access
[LSW3-GigabitEthernet0/0/2]port default vlan 10
[LSW3-GigabitEthernet0/0/2]quit
[LSW3]interface GigabitEthernet 0/0/3
[LSW3-GigabitEthernet0/0/3]port link-type access
[LSW3-GigabitEthernet0/0/3]port default vlan 20
[LSW3-GigabitEthernet0/0/3]quit
[LSW3]interface GigabitEthernet 0/0/4
[LSW3-GigabitEthernet0/0/4]port link-type access
[LSW3-GigabitEthernet0/0/4]port default vlan 20
[LSW3-GigabitEthernet0/0/4]quit
[LSW3]interface vlanif 10
[LSW3-Vlanif10]ip address 172.16.3.1 24
[LSW3-Vlanif10] quit
[LSW3]interface vlanif 20
[LSW3-Vlanif20]ip address 172.16.99.4 24
[LSW3-Vlanif20] quit
#配置缺省路由
[LSW3]ip route-static 0.0.0.0 0.0.0.0 172.16.99.1
本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 330879038@qq.com 举报,一经查实,本站将立刻删除。
优品资源 » 实战型防火墙技术期刊,强叔拍案惊奇,企业级防火墙技术案例
优品资源 » 实战型防火墙技术期刊,强叔拍案惊奇,企业级防火墙技术案例
