企业中,防火墙的使用
Posted
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了企业中,防火墙的使用相关的知识,希望对你有一定的参考价值。
topo图:
要求:
1、思路、数据包走向
2、要求:VLAN互通、VRRP、内网PAT访问外网、发布Web服务器供外网访问
3、问题:VLAN网关在哪里?ISP路由配置?
思路:
1. 在sw31、sw32上配置vlan1、vlan2、vlan100的虚拟网关192.168.X.252,优先级sw31优先;
2. 在sw31、sw32上分别配置防火墙的直连ip(创建vlan11并配置ip地址、然后分别将连接防火墙的直连接口加入到vlan中);
3. 在sw31、sw32上各配置一条去往外网的默认路由(吓一跳接口是各自对应的防火墙接口ip地址);
4. 用ospf进行内网互通的建立;
5. 配置路由器,给路由器添加连接防火墙对应的ip地址,在配置一个路由内部终端的网关;路由器上在配置一条默认路由,吓一跳接口是防火墙直 连路由器的接口ip地址;
6. 在防火墙上配置相应端口的ip地址,将内网接口安全级别都设置成100,外网的安全级别是0;
7. 配置防火墙上的路由:
三条静态路由,目标网段分别是vlan1、vlan2、vlan100,吓一跳是防火墙连接sw31的接口ip地址;
一条去往200.0.0.0/24网段的静态路由;
8. 配置pat流量转换
9. 进行测试。
注:这里的防火墙配置用的是虚拟机映射的端口,用CRT进行端口连接来进行配置
ip地址规划:
设备/接口 | ip地址 | 网关 |
client1 | 192.168.1.1/24 | 192.168.1.250/24(虚拟) |
client2 | 192.168.2.1/24 | 192.168.2.250/24(虚拟) |
server1 | 192.168.100.1/24 | 192.168.100.250/24(虚拟) |
client3 | 200.0.0.1/24 | 200.0.0.254/24 |
server3 | 200.0.0.100/24 | 200.0.0.254/24 |
sw31 vlan1 | 192.168.1.254/24 | |
sw31 vlan2 | 192.168.2.254/24 | |
sw31 vlan100 | 192.168.100.254/24 | |
sw31 vlan 11 | 10.1.1.1/24 | |
sw32 vlan 1 | 192.168.1.253/24 | |
sw32 vlan 2 | 192.168.2.253/24 | |
sw32 vlan 100 | 192.168.100.253/24 | |
sw32 vlan 11 | 10.2.2.1/24 | |
asa g0 | 10.1.1.254/24 | |
asa g1 | 10.2.2.254/24 | |
asa g2 | 200.8.8.254/30 | |
AR1 G0/0/0 | 200.8.8.253/30 | |
AR1 G0/0/1 | 200.0.0.254/24 |
配置步骤:
sw1: [sw1]vlan batch 1 2 100 //创建vlan 1 2 100 [sw1]inter e0/0/1 //进入接口 [sw1-Ethernet0/0/1]port hybrid pvid vlan 1 //发送vlan 1的包 [sw1-Ethernet0/0/1]port hybrid untagged vlan 1 2 100 //接收vlan 1 2 100的包 [sw1-Ethernet0/0/1]q //返回上一模式 [sw1]port-group group-member e0/0/2 e0/0/3 //同事配置多端口 [sw1-port-group]port hybrid tagged vlan 1 2 100 //发送和接收vlan 1 2 100的包 |
sw31: [sw31]vlan batch 1 2 100 //创建vlan 1 2 100 [sw31]inter g0/0/3 //进入接口 [sw31-GigabitEthernet0/0/3]port hybrid pvid vlan 100 //发送vlan 100的包 [sw31-GigabitEthernet0/0/3]port hybrid untagged vlan 1 2 100 //接收vlan 1 2 100 [sw31-GigabitEthernet0/0/3]q //返回上一模式 [sw31]port-group group-member g0/0/1 g0/0/2 //同时配置多接口 [sw31-port-group]port hybrid tagged vlan 1 2 100 //发送,同时接收vlan 1 2 100 [sw31-port-group]q //返回上一模式 [sw31]inter vlan 1 //进去vlan 1的接口 [sw31-Vlanif1]ip address 192.168.1.254 24 //配置IP地址和子网掩码 [sw31-Vlanif1]undo shutdown //启用接口 [sw31-Vlanif1]inter vlan 2 //进入接口 [sw31-Vlanif2]ip address 192.168.2.254 24 //配置ip和子网掩码 [sw31-Vlanif2]undo shutdown //启用接口 [sw31-Vlanif2]inter vlan 100 //进入接口 [sw31-Vlanif100]ip address 192.168.100.254 24 //配置ip地址和掩码 [sw31-Vlanif100]undo shutdown //启用接口 [sw31-Vlanif100]q //返回上一模式 [sw31]vlan 11 //创建vlan 11 [sw31-vlan11]inter vlan 11 //进入vlan11接口 [sw31-Vlanif11]ip address 10.1.1.1 255.255.255.0 //配置ip和子网掩码 [sw31-Vlanif11]undo shutdown //启用接口 [sw31-Vlanif11]inter g0/0/4 //切换接口 [sw31-GigabitEthernet0/0/4]port link-type access //更改为access模式 [sw31-GigabitEthernet0/0/4]port default vlan 11 //加入vlan 11 [sw31-GigabitEthernet0/0/4]q //返回上一模式 配置各vlan的vrrp: [sw31]inter vlan 1 //进入VLAN 1接口 [sw31-Vlanif1]vrrp vrid 1 virtual-ip 192.168.1.250 //添加vlan1的虚拟网关 [sw31-Vlanif1]vrrp vrid 1 priority 150 [sw31-Vlanif1]vrrp vrid 1 track interface g0/0/4 reduced 100 //监视端口 [sw31-Vlanif1]q [sw31]inter vlan 2 [sw31-Vlanif2]vrrp vrid 2 virtual-ip 192.168.2.250 [sw31-Vlanif2]q [sw31]inter vlan 100 [sw31-Vlanif100]vrrp vrid 3 virtual-ip 192.168.100.250 [sw31-Vlanif100]vrrp vrid 3 priority 150 [sw31-Vlanif100]vrrp vrid 3 track interface g0/0/4 reduced 100 [sw31-Vlanif100]q 配置ospf建立路由: [sw31]inter LoopBack 0 //创建回环接口 [sw31-LoopBack0]ip address 31.31.31.31 24 //配置ip地址 [sw31-LoopBack0]q [sw31]ospf router-id 31.31.31.31 //创建ospf [sw31-ospf-1]area 0 //进入区域0(骨干区域) [sw31-ospf-1-area-0.0.0.0]network 31.31.31.31 0.0.0.0 //加入网段 [sw31-ospf-1-area-0.0.0.0]network 192.168.1.0 0.0.0.255 [sw31-ospf-1-area-0.0.0.0]network 192.168.2.0 0.0.0.255 [sw31-ospf-1-area-0.0.0.0]network 192.168.100.0 0.0.0.255 [sw31-ospf-1-area-0.0.0.0]network 10.1.1.0 0.0.0.255 [sw31-ospf-1-area-0.0.0.0]q [sw31-ospf-1]q 配置一条默认路由: [sw31]ip route-static 0.0.0.0 0.0.0.0 10.1.1.254 |
sw32: [sw32]vlan batch 1 2 100 11 [sw32]inter vlan 1 [sw32-Vlanif1]ip address 192.168.1.253 24 [sw32-Vlanif1]undo shutdown [sw32-Vlanif1]inter vlan 2 [sw32-Vlanif2]ip address 192.168.2.253 24 [sw32-Vlanif2]undo shut [sw32-Vlanif2]inter vlan 100 [sw32-Vlanif100]ip address 192.168.100.253 24 [sw32-Vlanif100]undo shut [sw32-Vlanif100]q [sw32]inter vlan 11 [sw32-Vlanif11]ip address 10.2.2.1 24 [sw32-Vlanif11]undo shutdown [sw32-Vlanif11]q [sw32]inter g0/0/4 [sw32-GigabitEthernet0/0/4]port link-type access [sw32-GigabitEthernet0/0/4]port default vlan 11 [sw32-GigabitEthernet0/0/4]q [sw32]inter g0/0/3 [sw32-GigabitEthernet0/0/3]port hybrid pvid vlan 2 [sw32-GigabitEthernet0/0/3]port hybrid untagged vlan 1 2 100 [sw32-GigabitEthernet0/0/3]q [sw32]port-group group-member g0/0/1 g0/0/2 [sw32-port-group]port hybrid tagged vlan 1 2 100 [sw32-port-group]q 配置各vlan的vrrp: [sw32]inter vlan 1 [sw32-Vlanif1]vrrp vrid 1 virtual-ip 192.168.1.250 [sw32-Vlanif1]inter vlan 2 [sw32-Vlanif2]vrrp vrid 2 virtual-ip 192.168.2.250 [sw32-Vlanif2]vrrp vrid 2 priority 150 [sw32-Vlanif2]vrrp vrid 2 track interface g0/0/4 reduced 100 //监视端口 [sw32-Vlanif2]q [sw32]inter vlan 100 [sw32-Vlanif100]vrrp vrid 3 virtual-ip 192.168.100.250 [sw32-Vlanif100]q 配置ospf建立路由: [sw32]inter LoopBack 0 [sw32-LoopBack0]ip address 32.32.32.32 24 [sw32-LoopBack0]q [sw32]ospf router-id 32.32.32.32 [sw32-ospf-1]area 0 [sw32-ospf-1-area-0.0.0.0]network 32.32.32.32 0.0.0.0 [sw32-ospf-1-area-0.0.0.0]network 192.168.1.0 0.0.0.255 [sw32-ospf-1-area-0.0.0.0]network 192.168.2.0 0.0.0.255 [sw32-ospf-1-area-0.0.0.0]network 192.168.100.0 0.0.0.255 [sw32-ospf-1-area-0.0.0.0]network 10.2.2.1 0.0.0.255 [sw32-ospf-1-area-0.0.0.0]q [sw32-ospf-1]q [sw32]dis ospf peer brief 配置一条默认路由: [sw32]ip route-static 0.0.0.0 0.0.0.0 10.2.2.254 |
防火墙配置: ciscoasa(config)# inter g0 ciscoasa(config-if)# nameif inside1 INFO: Security level for "inside1" set to 0 by default. ciscoasa(config-if)# security-level 100 ciscoasa(config-if)# ip address 10.1.1.254 255.255.255.0 ciscoasa(config-if)# no shutdown ciscoasa(config-if)# q ciscoasa(config)# ping 10.1.1.1 ciscoasa(config)# inter g1 ciscoasa(config-if)# nameif inside2 INFO: Security level for "inside2" set to 0 by default. ciscoasa(config-if)# security-level 100 ciscoasa(config-if)# ip address 10.2.2.1 255.255.255.0 ciscoasa(config-if)# no shutdown ciscoasa(config-if)# q ciscoasa(config)# ping 10.2.2.1 ciscoasa(config)# inter g2 ciscoasa(config-if)# nameif outside INFO: Security level for "outside" set to 0 by default. ciscoasa(config-if)# ip address 200.8.8.254 255.255.255.252 ciscoasa(config-if)# no shutdown ciscoasa(config-if)# q ciscoasa(config)# ping 200.8.8.253 不通,不通就对了!!! 外网的设备还没有配置,怎么会通??? 还是先把其他设备配完,再来继续配置防火墙吧!!! 欢迎回来,配置完r1,继续配置防火墙: 先测试ping 200.8.8.253 添加路由: ciscoasa(config)# route inside1 192.168.1.0 255.255.255.0 10.1.1.1 ciscoasa(config)# route inside1 192.168.2.0 255.255.255.0 10.1.1.1 ciscoasa(config)# route inside1 192.168.100.0 255.255.255.0 10.1.1.1 ciscoasa(config)# route inside2 0.0.0.0 0.0.0.0 10.2.2.1 ciscoasa(config)# route outside 200.0.0.0 255.255.255.0 200.8.8.253 做PAT: ciscoasa(config)# object network vlan1 ciscoasa(config-network-object)# subnet 192.168.1.0 255.255.255.0 ciscoasa(config-network-object)# nat (inside1,outside) dynamic 119.1.1.1 ciscoasa(config-network-object)# q ciscoasa(config)# object network vlan2 ciscoasa(config-network-object)# subnet 192.168.2.0 255.255.255.0 ciscoasa(config-network-object)# nat (inside1,outside) dynamic 119.1.1.2 ciscoasa(config-network-object)# q ciscoasa(config)# object network vlan100 ciscoasa(config-network-object)# subnet 192.168.100.0 255.255.255.0 ciscoasa(config-network-object)# nat (inside1,outside) dynamic 119.1.1.3 ciscoasa(config-network-object)# q ciscoasa(config)# object network vlan100 ciscoasa(config-network-object)# host 119.1.1.3 ciscoasa(config-network-object)# q ciscoasa(config)# object network vlan100_in ciscoasa(config-network-object)# host 192.168.100.1 ciscoasa(config-network-object)# nat (inside1,outside) static vlan100 service tcp http ciscoasa(config-network-object)# q ciscoasa(config)# access-list out-to-insidevlan100 permit tcp any object vlan100_in eq http ciscoasa(config)# access-group out-to-insidevlan100 in interface outside |
r1配置; [r1]inter g0/0/0 [r1-GigabitEthernet0/0/0]ip address 200.8.8.253 255.255.255.252 [r1-GigabitEthernet0/0/0]ping 200.8.8.254 [r1-GigabitEthernet0/0/0]inter g0/0/1 [r1-GigabitEthernet0/0/1]ip address 200.0.0.254 24 [r1-GigabitEthernet0/0/1]q [r1]ip route-static 0.0.0.0 0.0.0.0 200.8.8.254 r1配置完毕,砸门再回到防火墙的配置:往上看!!! |
验证:
内网已经互通!!! 开通 允许ICMP报文穿越ASA ciscoasa(config)# access-list icmp permit icmp any any ciscoasa(config)# access-group icmp in interface outside 抓包查看地址转化: 可以看出,192.168.1.0网段的地址,去外网已经转换成119.1.1.1 刚才在测试时,可以看出vlan2的包是出不去外网的,因为在设置vrrp时,我把vlan2的流量设置为优先从inside2过,只有当sw32的接口 g0/0/4故障,才走inside1走;而我又把防火墙访问vlan2网段的路由的吓一跳优先设在inside1上,所以vlan2的流量才出不去。 排除方法: 将vlan2 的vrrp 优先设置在 sw31上,在防火墙上添加一条备份的默认路由 将去往外网的静态路由,改成默认路由(结合实际) asa配置: ciscoasa(config)# no route outside 200.0.0.0 255.255.255.0 200.8.8.253 ciscoasa(config)# route outside 0.0.0.0 0.0.0.0 200.8.8.253 ciscoasa(config)# route inside2 0.0.0.0 0.0.0.0 10.2.2.1 2 //备份路由优先级改为2,(越大优先级越靠后) sw31配置: [sw31]inter vlan 2 [sw31-Vlanif2]vrrp vrid 2 virtual-ip 192.168.2.250 [sw31-Vlanif2]vrrp vrid 2 priority 150 [sw31-Vlanif2]vrrp vrid 2 track interface g0/0/2 reduced 100 sw32配置: [sw32]inter vlan 2 [sw32-Vlanif2]undo vrrp vrid 2 [sw32-Vlanif2]vrrp vrid 2 virtual-ip 192.168.2.250 再次进行测试: 流量转换测试: client1: 可以看出原ip地址192.168.1.1转换成119.1.1.1访问外网。 client2: 可以看出原ip地址192.168.2.1转换成119.1.1.2访问外网。 server1: 可以看出原ip地址192.168.100.1转换成119.1.1.3访问外网。 现在所有的内网网段地址都已经转换成指定ip地址,进行访问外网。 测试内网访问外网的web服务器、外网访问内网发布的服务器: 注意:刚才测试ping时,开通了icmp,并应用了,这里查看 ciscoasa(config)# show running-config access-group 就只有一条条目access-group icmp in interface outside 原来的 access-group out-to-insidevlan100 in interface outside 这个条目挤下去了,因为access-group 模式中只允许存在一条条目 所以,我们要把access-group out-to-insidevlan100 in interface outside这个条目在添加上,这样外网才能访问内网发布的web服务器 添加条目: ciscoasa(config)# access-group out-to-insidevlan100 in interface outside 进行内网访问外网web服务器测试: 进行外网访问内网发布的服务器测试: 获取不到,为什么呢? 我192.168.100.0网段的动态nat做成了119.1.1.3 object network的命名是vlan100 同时也把静态的nat也做成了119.1.1.3 object network的命名也是vlan100 后者把前者抵消了,这里我先配置的是静态的端口映射nat,后配置的192.168.100.0网段的动态nat 所以,我的object network vlan100就只有 subnet 192.168.100.0 255.255.255.0这么一个条目,没有host 119.1.1.3 这个条目。 解决方法: 换个object network 名字,从新配置: 我换的是静态PAT: ciscoasa(config)# object network ob-vlan100 ciscoasa(config-network-object)# host 119.1.1.3 ciscoasa(config-network-object)# q ciscoasa(config)# object network vlan100_in ciscoasa(config-network-object)# host 192.168.100.1 ciscoasa(config-network-object)# nat (inside1,outside) static ob-vlan100 service tcp 80 80 ciscoasa(config-network-object)# q ciscoasa(config)# access-list out-to-vlan100 permit tcp any object vlan100_in eq http ciscoasa(config)# access-group out-to-vlan100 in interface outside 验证:再次由外网访问内网发布的http服务器 |
到现在为止,整个配置才算结束,过程可以说是布满荆棘,还好我比较爱较劲,把问题都给解决了,把这个实验给做完!!! |
最后有个问题请教大家,我设置了备份路由,当我把主路由关了之后,按理来说,数据包是从inside2出去的,但是试了,不通,流量包出不去,请大家指导指导,谢谢各位了!!! |
以上是关于企业中,防火墙的使用的主要内容,如果未能解决你的问题,请参考以下文章