防火牆----綜合應用

時間  2019-11-22
標籤 防火牆 綜合 應用 简体版
原文   原文鏈接

1、前言

今天終於上綜合性的項目了,學習完防火牆的nat配置和pat配置後,咱們的boss出綜合性項目了。廢話很少說上圖有圖有真相、沒圖不嗶嗶。web

2、實驗綜合拓撲

防火牆----綜合應用
應用拓撲
防火牆----綜合應用redis

3、實驗目的和要求

一、要求各個vlan能夠互相聯通
二、使用VRRP技術實現路由器間的備份冗餘
三、在內網防火牆上使用動態PAT訪問外網
四、發佈公司內部Web服務器供外網的cilent3訪問
五、問題:VLAN網關在哪裏?ISP路由如何配置?
六、全部數據包的走向安全

4、實驗所需設備和配置

1.設備:

3臺client,2臺服務器,1臺集線器,1臺路由器,1臺二層交換機,2臺三層交換機,網線若干。服務器

2.設備的ip配置:

Client1,vlan1,ip地址192.168.1.1/24,網關:192.168.1.250/24
Client2,vlan2,ip地址192.168.2.1/24,網關:192.168.2.250/24
Client3,無vlan,ip地址192.168.200.1/24,網關:192.168.200.254/24
Server1,vlan100,ip地址192.168.100.1/24,網關:192.168.100.250/24
Server2,vlan100,ip地址192.168.200.2/24,網關:192.168.200.254/24網絡

3.vlan的ip配置

Vlan1:LW1:192.168.1.254/24 LW2:192.168.1.253/24
Vlan2:LW1:192.168.2.254/24 LW2:192.168.2.253/24
Vlan100:LW1:192.168.100.254/24 LW2:192.168.100.253/24
Vlan66:192.168.66.1/24
Vlan88:192.168.88.1/24tcp

4.防火牆接口配置

G0:ip:192.168.66.2/24 ,區域inside1
G1:ip:192.168.88.2/24 ,區域inside2
G2:ip:200.8.8.1/30 ,區域outsideide

5.vrrp配置

LSW1:

vlan1:虛擬網關ip:192.168.1.250,真實網關ip:192.168.1.254 ,優先級200,端口跟蹤g0/0/三、g0/0/2,跟蹤端口斷開優先級下降:100
vlan2:虛擬網關ip:192.168.2.250,真實網關ip:192.168.2.254 ,優先級200,端口跟蹤g0/0/三、g0/0/2,跟蹤端口斷開優先級下降:100
vlan100:虛擬網關ip:192.168.100.250,真實網關ip:192.168.100.254 ,優先級200,端口跟蹤g0/0/三、g0/0/2,跟蹤端口斷開優先級下降:100工具

LSW2:

vlan1:虛擬網關ip:192.168.1.250,真實網關ip:192.168.1.253 ,優先級150
vlan2:虛擬網關ip:192.168.2.250,真實網關ip:192.168.2.253 ,優先級150
vlan100:虛擬網關ip:192.168.100.250,真實網關ip:192.168.100.253 ,優先級150學習

6.ISP路由器配置

g0/0/1:ip:200.8.8.2/30
g0/0/0:ip:192.168.200.254/24測試

5、涉及到的技術

1.VLAN:指的是虛擬局域網,是一種 2 層技術。能夠在交換機上實現廣播域的隔離。從而能夠減少數據廣播風暴對交換網絡的影響,下降了網絡管理難度,同時能夠實現網絡規模的靈活擴展。
2.Trunk 鏈路與 Access 鏈路:Trunk 鏈路同一時刻能夠支持多VLAN 的數據轉發,數據攜帶 VLAN 標籤(native vlan 除外);Access 鏈路同一時刻只能傳輸一個 VLAN 的數據,發送和接收的數據,都沒有標籤;
3.NAT:指的是網絡地址轉換;做用是實現內網私有 IP 地址與外網公有 IP 地址的轉換,從而實現內網與外網的互通,同時還能夠隱藏內部網絡的結構,加強網絡的安全性。
4.VRRP:指的是虛擬網關冗餘協議。做用是在不一樣的網關設備之間造成虛擬網關 IP 地址,從而實現網關設備之間的備份冗餘,加強網關的穩定性。
5.ACL:指的是訪問控制列表,做用是匹配感興趣流量,結合工具對流量進行過濾;基本 ACL 和擴展 ACL。區別:基本 ACL 只能匹配 IP 頭部中的源 IP 地址;擴展 ACL 能夠同時匹配 IP 頭部中的源 IP 地址和目標 IP 地址,以及傳輸層協議的內容,控制流量更加精確。
6.OSPF:指的是開放式最短路徑優先協議。做用是在公司網絡內部快速的造成一個最短的、無環的、三層轉發路徑。

6、配置思路以及命令展現

1.LSW3配置:

A、建立vlan2和vlan100,交換機默認是有vlan1的。
B、修更名稱爲SW3
C、把g0/0/1和g0/0/2設置trunk,把e0/0/3加入vlan1(默認狀況下全部接口都屬於vlan1)

<Huawei>undo terminal monitor //關閉終端監控
<Huawei>system-view //進入系統模式
[Huawei]sysname SW3 //修更名字爲SW3

[SW3]vlan batch 2 100 //建立vlan2 和100
[SW3]port-group group-member g0/0/1 g0/0/2 //把g1和g2口加入組
[SW3-port-group]port link-type trunk  //給組設置trunk模式
[SW3-port-group]port trunk allow-pass vlan all //給組加入全部vlan
[SW3-port-group]quit //退出
驗證:[SW3]display vlan //查看vlan

防火牆----綜合應用

2.LSW1配置:

A、建立vlan二、vlan100和vlan66,交換機默認是有vlan1的。
B、修更名稱爲SW1
C、把g0/0/4和g0/0/2設置trunk,把g0/0/3接入模式加入vlan66,g0/0/1接入模式加入vlan100
D、設置vlan1,vlan2,vlan100,vlan66的ip和網關。
E、設置vlan1,vlan2,vlan100的vrrp,優先級爲200,虛擬ip都是對應網段的250。
F、設置他們的監視端口,並設置端口斷開所下降的優先級:100
G、設置ospf,區域area0,宣告vlan1,vlan2,vlan100,vlan66的網段。

<Huawei>undo terminal monitor //關閉終端監控
<Huawei>system-view  //進入系統模式
[Huawei]sysname SW1 //修更名字爲SW1

[SW1]vlan batch 2 100 66 //建立vlan二、100、66
[SW1]port-group group-member g0/0/4 g0/0/2  //把g4和g2口加入組
[SW1-port-group]port link-type trunk //給組設置trunk模式
[SW1-port-group]port trunk allow-pass vlan all //給組加入全部vlan
[SW1-port-group]quit //退出

[SW1]int g0/0/3 //進入接口g3
[SW1-GigabitEthernet0/0/3]port link-type access //設置爲接入模式
[SW1-GigabitEthernet0/0/3]port default vlan 66 //加入vlan66
[SW1-GigabitEthernet0/0/3]int g0/0/1  //進入接口g1
[SW1-GigabitEthernet0/0/1]port link-type access  //設置爲接入模式
[SW1-GigabitEthernet0/0/1]port default vlan 100 //加入vlan100
[SW1-GigabitEthernet0/0/1]quit //退出

[SW1]int vlan1 //進入vlan1
[SW1-Vlanif1]ip add 192.168.1.254 24 //設置vlan1網關
[SW1-Vlanif1]vrrp vrid 1 virtual-ip 192.168.1.250 //開啓vrrp並設置虛擬網關ip
[SW1-Vlanif1]vrrp vrid 1 priority 200 //設置優先級爲200
[SW1-Vlanif1]vrrp vrid 1 track interface g0/0/3 reduced 100 //設置端口跟蹤g3,若是斷開優先級減低100
[SW1-Vlanif1]vrrp vrid 1 track interface g0/0/2 reduced 100 //設置端口跟蹤g2,若是斷開優先級減低100

[SW1-Vlanif1]int vlan 2 //進入vlan1
[SW1-Vlanif2]ip add 192.168.2.254 24 //設置vlan2網關
[SW1-Vlanif2]vrrp vrid 2 virtual-ip 192.168.2.250 //開啓vrrp並設置虛擬網關ip
[SW1-Vlanif2]vrrp vrid 2 priority 200 //設置優先級爲200

[SW1-Vlanif2]vrrp vrid 2 track interface g0/0/3 reduced 100 //設置端口跟蹤g3,若是斷開優先級減低100
[SW1-Vlanif2]vrrp vrid 2 track interface g0/0/2 reduced 100//設置端口跟蹤g2,若是斷開優先級減低100

[SW1-Vlanif2]int vlan 100 //進入vlan100
[SW1-Vlanif100]ip add 192.168.100.254 24 //設置vlan100網關
[SW1-Vlanif100]vrrp vrid 3 virtual-ip 192.168.100.250  //開啓vrrp並設置虛擬網關ip
[SW1-Vlanif100]vrrp vrid 3 priority 200 //設置優先級爲200
[SW1-Vlanif100]vrrp vrid 3 track interface g0/0/3 reduced 100 //設置端口跟蹤g3,若是斷開優先級減低100
[SW1-Vlanif100]vrrp vrid 3 track interface g0/0/2 reduced 100 //設置端口跟蹤g2,若是斷開優先級減低100

[SW1-Vlanif100]int vlan 66  //進入vlan66 
[SW1-Vlanif66]ip add 192.168.66.1 24  //設置vlan66的ip
[SW1-Vlanif66]quit //退出

[SW1]ospf 1 router-id 1.1.1.1 //設置ospf,路由id爲1.1.1.1
[SW1-ospf-1]area 0 //開啓0區域並進入
[SW1-ospf-1-area-0.0.0.0]network 192.168.1.0 0.0.0.255 //宣告vlan1網段
[SW1-ospf-1-area-0.0.0.0]network 192.168.2.0 0.0.0.255//宣告vlan2網段
[SW1-ospf-1-area-0.0.0.0]network 192.168.100.0 0.0.0.255 //宣告vlan100網段
[SW1-ospf-1-area-0.0.0.0]network 192.168.66.0 0.0.0.255 //宣告vlan66網段
[SW1-ospf-1-area-0.0.0.0]quit //退出
[SW1-ospf-1]quit //退出

驗證:[SW1]display current-configuration //查看全部配置

防火牆----綜合應用
防火牆----綜合應用
防火牆----綜合應用
防火牆----綜合應用

3.LSW2配置:

A、建立vlan二、vlan100和vlan88,交換機默認是有vlan1的。
B、修更名稱爲SW2
C、把g0/0/4和g0/0/1設置trunk,把g0/0/3接入模式加入vlan88,g0/0/2接入模式加入vlan2
D、設置vlan1,vlan2,vlan100,vlan88的ip和網關。
E、設置vlan1,vlan2,vlan100的vrrp,優先級爲150,虛擬ip都是對應網段的250。
G、設置ospf,區域area0,宣告vlan1,vlan2,vlan100,vlan88的網段。

<Huawei>undo terminal monitor //關閉終端監控
<Huawei>system-view  //進入系統模式
[Huawei]sysname SW2  //修更名字爲SW2

[SW2]vlan batch 2 100 88 //建立vlan二、100、66 

[SW2]port-group group-member g0/0/1 g0/0/4 //把g4和g1口加入組
[SW2-port-group]port link-type trunk  //給組設置trunk模式
[SW2-port-group]port trunk allow-pass vlan all //給組加入全部vlan
[SW2-port-group]quit //退出

[SW2]int g0/0/2  //進入接口g2
[SW2-GigabitEthernet0/0/2]port link-type access   //設置爲接入模式
[SW2-GigabitEthernet0/0/2]port default vlan 2 //加入vlan2
[SW2-GigabitEthernet0/0/2]int g0/0/3 //進入接口g3
[SW2-GigabitEthernet0/0/3]port link-type access //設置爲接入模式 
[SW2-GigabitEthernet0/0/3]port default vlan 88 //加入vlan88
[SW2-GigabitEthernet0/0/3]quit //退出

[SW2]int vlan 1 //進入vlan1
[SW2-Vlanif1]ip add 192.168.1.253 24 //設置vlan1網關
[SW2-Vlanif1]vrrp vrid 1 virtual-ip 192.168.1.250 //開啓vrrp並設置虛擬網關ip
[SW2-Vlanif1]vrrp vrid 1 priority 150 //設置優先級爲150

[SW2-Vlanif1]int vlan 2 //進入vlan2
[SW2-Vlanif2]ip add 192.168.2.253 24 //設置vlan2網關
[SW2-Vlanif2]vrrp vrid 2 virtual-ip 192.168.2.250 //開啓vrrp並設置虛擬網關ip  
[SW2-Vlanif2]vrrp vrid 2 priority 150 //設置優先級爲150

[SW2-Vlanif2]int vlan 88 //進入vlan88
[SW2-Vlanif88]ip add 192.168.88.1 24 //設置vlan88網關

[SW2-Vlanif88]int vlan 100  //進入vlan100
[SW2-Vlanif100]ip add 192.168.100.253 24 //設置vlan100網關
[SW2-Vlanif100]vrrp vrid 3 virtual-ip 192.168.100.250 //開啓vrrp並設置虛擬網關ip
[SW2-Vlanif100]vrrp vrid 3 priority 150 //設置優先級爲150
[SW2-Vlanif100]quit //退出

[SW2]ospf 1 router-id 2.2.2.2 //設置ospf,路由id爲2.2.2.2
[SW2-ospf-1]area 0 //開啓0區域並進入   
[SW2-ospf-1-area-0.0.0.0]network 192.168.1.0 0.0.0.255  //宣告vlan1網段
[SW2-ospf-1-area-0.0.0.0]network 192.168.2.0 0.0.0.255 //宣告vlan2網段
[SW2-ospf-1-area-0.0.0.0]network 192.168.100.0 0.0.0.255 //宣告vlan100網段
[SW2-ospf-1-area-0.0.0.0]network 192.168.88.0 0.0.0.255  //宣告vlan66網段
[SW2-ospf-1-area-0.0.0.0]quit //退出
[SW2-ospf-1]quit //退出

驗證:[SW2]display current-configuration  //查看全部配置

防火牆----綜合應用
防火牆----綜合應用
防火牆----綜合應用
防火牆----綜合應用

4.驗證vrrp

<SW1>terminal monitor //開啓終端監控
<SW1>terminal debugging //開啓終端調試
<SW1>debugging ip icmp //開啓調試ip的icmp
<SW1>system-view //進入系統模式
[SW1]info-center console channel monitor  //開啓主機監控

<SW2>terminal monitor  //開啓終端監控
<SW2>terminal debugging  //開啓終端調試
<SW2>debugging ip icmp  //開啓調試ip的icmp
<SW2>system-view //進入系統模式
[SW2]info-center console channel monitor  //開啓主機監控

防火牆----綜合應用
防火牆----綜合應用
防火牆----綜合應用
防火牆----綜合應用

5.ISP路由器設置

A、設置g0/0/1接口的ip爲200.8.8.2/30,g0/0/0接口的ip網關爲192.168.200.254/24
B、設置缺省路由下一跳爲200.8.8.1。

<Huawei>undo terminal monitor //關閉終端監控
<Huawei>system-view //進入系統模式
[Huawei]sysname ISP  //修更名字爲ISP

[ISP]int g0/0/0 //進入g0端口
[ISP-GigabitEthernet0/0/0]ip add 192.168.200.254 24 //設置內網網關
[ISP-GigabitEthernet0/0/0]int g0/0/1  //進入g1端口
[ISP-GigabitEthernet0/0/1]ip add 200.8.8.2 255.255.255.252 //設置外網ip
[ISP-GigabitEthernet0/0/1]quit //退出

[ISP]ip route-static 0.0.0.0 0.0.0.0 200.8.8.1 //設置靜態路由

驗證:[ISP]display current-configuration  //查看全部配置

防火牆----綜合應用

6.防火牆asa設置

A、配置端口g0的nameif爲inside1,開啓端口 ,安全級別爲100,ip地址爲192.168.66.2/24。
B、配置端口g1的nameif爲inside2 ,開啓端口,安全級別爲99,ip地址爲192.168.88.2/24。
C、配置端口g2的nameif爲outside ,開啓端口,安全級別爲0,ip地址爲200.8.8.1/30。
D、設置防火牆的ospf,區域爲0,宣告網段vlan66,vlan88
E、設置動態pat,讓內網的192.168.2.0/2四、192.168.1.0/2四、192.168.100.0/24網段轉換爲公網地址119.1.1.1/29
F、設置指向外網的靜態路由,加入ospf,進行路由重分發
G、設置靜態pat可讓外網訪問內網的web服務器
H、由於防火牆默認安全級低的沒法訪問安全級高的區域,所以須要設置acl讓ip經過,來驗證內網訪問外網回包

ciscoasa> enable  //進入特權模式
Password: ******* //用密碼登陸
ciscoasa# configure terminal //進入全局配置模式

ciscoasa(config)# int g0 //進入g0端口
ciscoasa(config-if)# no shutdown //開啓端口
ciscoasa(config-if)# nameif inside1  //設置內網名稱inside1
ciscoasa(config-if)# security-level 100 //安全級別爲100
ciscoasa(config-if)# ip add 192.168.66.2  255.255.255.0 //設置端口ip
ciscoasa(config-if)# exit//退出

ciscoasa(config)# int g1 //進入g1端口
ciscoasa(config-if)# no shutdown //開啓端口
ciscoasa(config-if)# nameif inside2 //設置內網名稱inside2
ciscoasa(config-if)# security-level 99 //安全級別爲99
ciscoasa(config-if)# ip add 192.168.88.2 255.255.255.0 //設置端口ip
ciscoasa(config-if)# exit //退出

ciscoasa(config)# int g2  //進入g2端口
ciscoasa(config-if)# no shutdown  //開啓端口
ciscoasa(config-if)# nameif outside  //設置外網名稱outside
ciscoasa(config-if)# security-level 0 //安全級別爲0
ciscoasa(config-if)# ip add 200.8.8.1 255.255.255.252 //設置端口ip
ciscoasa(config-if)# quit //退出

ciscoasa(config)# router ospf 1 //開啓ospf
ciscoasa(config-router)# router-id 3.3.3.3 //設置路由id爲3.3.3.3
ciscoasa(config-router)# network 192.168.66.0 255.255.255.0 area 0 //宣告vlan66網段,區域爲0
ciscoasa(config-router)# network 192.168.88.0 255.255.255.0 area 0  //宣告vlan88網段,區域爲0
ciscoasa(config-router)# exit //退出

ciscoasa(config)#route outside 192.168.200.0 255.255.255.0 200.8.8.2 //設置靜態路由指向外網的
ciscoasa(config)# router ospf 1 //進入ospf1
ciscoasa(config-router)# redistribute static  //設置路由重分發
ciscoasa(config-router)# quit //退出

ciscoasa(config)# object network in-out   //設置對象網絡名稱爲in-out
ciscoasa(config-network-object)# subnet 192.168.0.0 255.255.0.0 //設置內網要轉換的ip
ciscoasa(config-network-object)# nat (inside1,outside) dynamic 119.1.1.1  //設置動態pat,讓內網ip動態的轉換爲119.1.1.1 
ciscoasa(config-network-object)# quit //退出

ciscoasa(config)# access-list 123 extended permit ip any any  //設置acl,主要目的是驗證使用,讓外網包能夠恢復到內網
ciscoasa(config)# access-group 123 in interface outside //應用cal

驗證截圖:
開啓外網fit的功能
防火牆----綜合應用
使用client1和client2驗證。
防火牆----綜合應用
防火牆----綜合應用
抓包截圖,抓包位置
防火牆----綜合應用
抓包結果:
防火牆----綜合應用

可見內網ip能夠轉換爲外網119.1.1.1的ip,而且htp有回覆。

ciscoasa(config)# object network 456 //設置對象網絡名稱爲456
ciscoasa(config-network-object)# host 119.1.1.2 //設置要轉換的外網ip
ciscoasa(config-network-object)# quit //退出
ciscoasa(config)# object network 789  //設置對象網絡名稱爲789
ciscoasa(config-network-object)# host 192.168.100.1  //設置要轉換的內網ip
ciscoasa(config-network-object)# nat (inside1,outside) static 456 service tcp 80 80 //使用靜態nat,方向inside1到outside,轉化爲外網456的ip,tcp協議的80端口出項,80端口入項ciscoasa(config-network-object)# quit //退出

驗證截圖:
開啓Server1的web服務。
防火牆----綜合應用
防火牆----綜合應用
抓包展現:抓包位置
防火牆----綜合應用
抓包結果:
防火牆----綜合應用
抓包位置:
防火牆----綜合應用
抓包結果:
防火牆----綜合應用

7、測試中遇到的問題總結

1.測試時候我總是遇到與防火牆直連網段沒法連通的情款,也一直沒找到緣由,從新在虛擬機設置VMnet端口和電腦的網絡鏈接中禁用在開啓網絡鏈接,在重啓一下就會解決,緣由不清楚。2.遇到路由器有路由表,pc機卻沒法ping通防火牆端口的狀況,而防火牆卻能夠ping通pc機,一直找不到解決辦法,在我重新啓動電腦後,吃了個午餐,睡了個午覺,再次測試就行了。3.前面的問題:VLAN網關在哪裏?ISP路由如何配置?答:vlan網關我設置在兩個三層交換機上,而且作了vrrp。ISP路由就設置兩個網關ip,和靜態路由了。4.數據包走向如今是走的內網三層交換機,當主路由器路線斷掉後會走副三層交換機,可是副三層交換機暫時我沒配置,代碼原理基本同樣。

相關文章
相關標籤/搜索
每日一句
    每一个你不满意的现在,都有一个你没有努力的曾经。
本站公眾號
   歡迎關注本站公眾號,獲取更多信息
聯繫我們 最近搜索 最新文章 沪ICP备13005482号-10 MyBatis教程 SQL 教程 MySQL教程 Java 教程 Thymeleaf 教程 Hibernate教程 Spring教程 Redis教程