防火墙二层模式部署实验

实验拓扑


图 1-1

注:此实验务必按照拓扑所示接口连接线缆,且运行前置环境中的 Win7-1、Win7-2、Windows Server 2003 三台虚拟机。防火墙内存务必配置为 2G 以上。实验步骤中防火墙的配置可在 “Web 控制台配置方法” 和 “命令行配置方法” 中任选一种。

实验需求

  1. SW 为核心交换机,分别连接 VLAN10 和 VLAN20 的 PC。SW 通过 VLAN30 与出口路由器三层互联。R1 是互联网出口设备。防火墙二层模式部署在出口和核心之间。防火墙通过 VLAN30 访问互联网。
  2. 按照图示划分 VLAN,并配置 IP 地址。
  3. 根据图示将内网口加入 Trust 区域,外网口加入 Untrust 区域。
  4. 配置静态路由使公司内网三层互通。
  5. 配置 NAPT,使 VLAN10 与 VLAN20 的 PC 以及防火墙可以访问互联网。
  6. 配置安全策略,放通内网 VLAN10 与 VLAN20 以及防火墙访问互联网的流量。

其他设备基础配置

  1. 交换机配置

    步骤 1:在 SW 上创建 VLAN10、VLAN20 和 VLAN30,连接 PC 的接口加入各自 VLAN,连接 FW 的接口加入 VLAN30。

    [SW]vlan 10
[SW-vlan10]port g1/0/2
[SW]vlan 20
[SW-vlan20]port g1/0/3
[SW]vlan 30
[SW-vlan20]port g1/0/1

  2. 按照图示配置各设备 IP 地址。

    [SW]interface vlan 10
[SW-Vlan-interface10]ip address 192.168.101.254 24
[SW]interface Vlan-interface 20
[SW-Vlan-interface20]ip address 192.168.103.254 24
[SW]interface vlan 30
[SW-Vlan-interface30]ip address 10.1.1.2 24

    [R1]interface g0/0
[Internet-GigabitEthernet0/0]ip address 10.1.1.1 24
[R1]interface g0/1
[R1-GigabitEthernet0/1]ip address 100.1.1.2 24

  3. 配置静态路由和缺省路由,使内网三层互通。

    [SW]ip route-static 0.0.0.0 0 10.1.1.1

    [R1]ip route-static 192.168.101.0 24 10.1.1.2
[R1]ip route-static 192.168.103.0 24 10.1.1.2
[R1]ip route-static 0.0.0.0 0 100.1.1.1

  4. 配置 NAPT,使内网 VLAN10 和 VLAN20 以及 VLAN30 可以访问互联网。

    [R1]acl basic 2000
[R1-acl-ipv4-basic-2000]rule permit source 192.168.101.0 0.0.0.255
[R1-acl-ipv4-basic-2000]rule permit source 192.168.103.0 0.0.0.255
[R1-acl-ipv4-basic-2000]rule permit source 10.1.1.0 0.0.0.255
[R1]interface g0/1
[R1-GigabitEthernet0/1]nat outbound 2000

防火墙 Web 控制台配置方法

  1. 配置防火墙以登录 Web 控制台。步骤略,参考三层模式部署实验。

  2. 配置防火墙接口

    步骤 1:在 Web 控制台中点击 网络 - 链路 - VLAN


    图 1-2

    步骤 2:创建 VLAN30。


    图 1-3

    步骤 3:在 Web 控制台中点击 网络 - 接口与 VRF - 接口


    图 1-4

    步骤 4:编辑 G1/0/0 口,加入到 Trust 区域,配置 IP 地址;编辑 G1/0/2 口,加入到 Untrust 区域。并将两个接口都配置为二层接口,以 Access 类型加入 VLAN30。


    图 1-5


    图 1-6

    步骤 5:新建接口,类型选择为 VLAN 接口,VLAN 为 30。该接口加入到 Trust 区域,配置 IP 地址。


    图 1-7


    图 1-8

  3. 配置去往 VLAN10 和 VLAN20 的路由以及缺省路由,使防火墙本身可以访问互联网,以及与内网 PC 路由可达。

    步骤 1:在 Web 控制台上点击 路由 - 静态路由


    图 1-9

    步骤 2:新建静态路由,配置去往 VLAN10、VLAN20 的静态路由以及缺省路由。


    图 1-10


    图 1-11


    图 1-12

  4. 配置安全策略,放通内网 VLAN10 与 VLAN20 访问互联网的流量,以及防火墙本机与互联网和业务 PC 的流量。

    步骤 1:点击 对象 - 对象组 - IPv4 地址对象组


    图 1-13

    步骤 2:分别新建 VLAN10、VLAN20 及 VLAN30 的 IPv4 地址对象组


    图 1-14


    图 1-15


    图 1-16

    步骤 3:点击 策略 - 安全策略


    图 1-17

    步骤 4:新建安全策略,源安全域设置为 Trust、Local,目的安全域设置为 Trust、Untrust。源地址设置为上一步创建的地址对象组,其它匹配项都设置为 Any


    图 1-18

  5. 在 Win7-1、Win7-2 虚拟机上测试可以正常上网。防火墙可以 Ping 通公网。

防火墙命令行配置方法

  1. 配置防火墙区域和接口

    步骤 1:将防火墙 G1/0/0 口加入 Trust 区域,将 G1/0/2 口加入 Untrust 区域。

    [FW]security-zone name trust
[FW-security-zone-Trust]import interface g1/0/0
[FW]security-zone name Untrust 
[FW-security-zone-Untrust]import interface g1/0/2

    步骤 2:创建 VLAN30,将 G1/0/0 口和 G1/0/2 口更改为二层接口后以 Access 类型加入 VLAN30。

    [FW]interface range g1/0/0 g1/0/2
[FW-if-range]port link-mode bridge
[FW]vlan 30
[FW-vlan30]port g1/0/0 g1/0/2

    步骤 3:创建 VLAN30 三层接口,配置 IP 地址。并将 VLAN30 接口加入 Trust 区域。

    [FW]interface vlan 30
[FW-Vlan-interface30]ip address 10.1.1.3 24
[FW]security-zone name trust
[FW-security-zone-Trust]import interface vlan 30

  2. 配置去往 VLAN10 和 VLAN20 的路由以及缺省路由,使防火墙本身可以访问互联网,以及与内网 PC 路由可达。

    [FW]ip route-static 192.168.101.0 24 10.1.1.2
[FW]ip route-static 192.168.103.0 24 10.1.1.2
[FW]ip route-static 0.0.0.0 0 10.1.1.1

  3. *配置安全策略,放通内网 VLAN10 与 VLAN20 访问互联网的流量,以及防火墙本机与互联网和业务 PC 的流量。

    步骤 1:分别新建 VLAN10、VLAN20 及 VLAN30 的 IPv4 地址对象组

    [FW]object-group ip address VLAN10
[FW-obj-grp-ip-VLAN10]network subnet 192.168.101.0 24
[FW]object-group ip address VLAN20
[FW-obj-grp-ip-VLAN20]network subnet 192.168.103.0 24
[FW]object-group ip address VLAN30
[FW-obj-grp-ip-VLAN30]network subnet 10.1.1.0 24

    步骤 2:新建安全策略,源安全域设置为 Trust、Local,目的安全域设置为 Trust、Untrust。源地址设置为上一步创建的地址对象组,其它匹配项都设置为 Any

    [FW]security-policy ip 
[FW-security-policy-ip]rule name Permit_Trust_Untrust
[FW-security-policy-ip-0-Permit_Trust_Untrust]source-zone trust
[FW-security-policy-ip-0-Permit_Trust_Untrust]source-zone local
[FW-security-policy-ip-0-Permit_Trust_Untrust]destination-zone trust
[FW-security-policy-ip-0-Permit_Trust_Untrust]destination-zone untrust
[FW-security-policy-ip-0-Permit_Trust_Untrust]source-ip VLAN10
[FW-security-policy-ip-0-Permit_Trust_Untrust]source-ip VLAN20
[FW-security-policy-ip-0-Permit_Trust_Untrust]source-ip VLAN30
[FW-security-policy-ip-0-Permit_Trust_Untrust]action pass

  4. 在 PC1、PC2 和防火墙上验证效果,可以 Ping 通 200.1.1.1,说明可以访问互联网。命令略



« 防火墙三层模式部署实验
Portal 认证实验(本地认证方案) »

Copyright © 2015 Powered by MWeb,  Theme used GitHub CSS.

鄂ICP备18006549号-1

TOP