【防火墙技术案例1】强叔拍案惊奇 双防火墙单Internet出口组网配置
引言
大家好,强叔又与大家见面了!最近一段时间,【防火墙技术连载贴】强叔侃墙系列正在火爆上映,引起了论坛小伙伴们的广泛热议。想必小伙伴们已经对防火墙有了一定的理解,而且已经迫不及待地开始实战配置防火墙了。
在实战过程中,小伙伴们也许会发现理论和现实还是有一定差距的,而且也应该在挫折和失败中逐渐体会到了网络的博大精深。
为了解决小伙伴们实战配置防火墙时遇到的各种问题和困惑,强叔诚意推出【防火墙技术案例】强叔拍案惊奇系列,专门为大家呈现防火墙实战案例和组网验证,为大家解决防火墙的实战问题。
目前强叔准备先在拍案惊奇系列开放以下模块:路由交换、双机热备、安全策略、NAT、攻击防范和VPN。 强叔会陆续丰富各个模块的内容,也欢迎论坛的各位朋友联系强叔提供经典实战案例。
————————————华丽的分割线—————————————————————
下面强叔首先给大家带来一篇防火墙双机热备的技术案例。
【组网需求】
客户购置了2台防火墙,但只租用了一条到ISP的链路。加入防火墙后,需要满足两个需求:
1、内网办公区用户能够使用公网地址访问Internet
2、内网有一个FTP Server需要对公网提供服务
另外,客户网络原本是通过一个三层交换机作为出口接入ISP,且不愿意在此处做出改变。我们按需求构建了一个拓扑示例,如下图所示(拓扑中的防火墙为USG5500 V300R001)。这个组网中,公网地址仍然在交换机上,防火墙对外网的接口上使用私网IP。
【数据规划】
设备名称 | 接口 | IP地址 | VLAN ID | 备注 |
LSW1 | GE0/0/1 | - | 10 | 连接ISP |
GE0/0/2 | - | 20 | 连接FW1 |
GE0/0/3 | - | 20 | 连接FW2 |
Vlanif10 | 202.2.2.103/24 | - | - |
Vlanif20 | 10.10.10.4/24 | - | - |
FW1 | GE0/0/1 | 10.10.10.2/24 | - | 连接LSW1 |
GE0/0/2 | 172.16.100.2/24 | - | 连接LSW2 |
GE0/0/3 | 192.168.1.1/24 | - | 心跳口 |
GE0/0/4 | 172.16.99.2/24 | - | 连接LSW3 |
FW2 | GE0/0/1 | 10.10.10.3/24 | - | 连接LSW1 |
GE0/0/2 | 172.16.100.3/24 | - | 连接LSW2 |
GE0/0/3 | 192.168.1.2/24 | - | 心跳口 |
GE0/0/4 | 172.16.99.3/24 | - | 连接LSW3 |
LSW2 | GE0/0/2 | - | 10 | 连接办公区 |
GE0/0/3 | - | 20 | 连接FW1 |
GE0/0/4 | - | 20 | 连接FW2 |
Vlanif10 | 172.16.2.1/24 | - | - |
Vlanif20 | 172.16.100.4/24 | - | - |
LSW3 | GE0/0/2 | - | 10 | 连接服务器区 |
GE0/0/3 | - | 20 | 连接FW1 |
GE0/0/4 | - | 20 | 连接FW2 |
Vlanif10 | 172.16.3.1/24 | - | - |
Vlanif20 | 172.16.99.4/24 | - | - |
| | | | |
【配置要点】
因为公网地址并不在防火墙上,所以本案例的难点在于作为出口网关的交换机上路由和Proxy ARP的配置。
【配置步骤】
1、配置交换机LSW1
# 创建VLAN 10和20
[LSW1]vlan batch 10 20
# 配置接口
[LSW1]interface GigabitEthernet 0/0/1
[LSW1-GigabitEthernet0/0/1]port link-type access
[LSW1-GigabitEthernet0/0/1]port default vlan 10
[LSW1-GigabitEthernet0/0/1]quit
[LSW1]interface GigabitEthernet 0/0/2
[LSW1-GigabitEthernet0/0/2]port link-type access
[LSW1-GigabitEthernet0/0/2]port default vlan 20
[LSW1-GigabitEthernet0/0/2]quit
[LSW1]interface GigabitEthernet 0/0/3
[LSW1-GigabitEthernet0/0/3]port link-type access
[LSW1-GigabitEthernet0/0/3]port default vlan 20
[LSW1-GigabitEthernet0/0/3]quit
[LSW1]interface Vlanif 10
[LSW1-Vlanif10]ip address 202.2.2.103 24
[LSW1-Vlanif20]quit
[LSW1]interface Vlanif 20
[LSW1-Vlanif20]ip address 10.10.10.4 24
#配置路由
[LSW1]ip route-static 202.2.2.104 255.255.255.255 10.10.10.1
//*到办公区的路由,注意目的IP地址应该配置为NAT地址池地址,而不是私网地址*//
[LSW1]ip route-static 202.2.2.105 255.255.255.255 10.10.10.1
//*到办公区的路由,注意目的IP地址应该配置为NAT地址池地址,而不是私网地址*//
[LSW1]ip route-static 202.2.2.106 255.255.255.255 10.10.10.1
//*到服务器区的路由,注意目的IP地址应该配置为服务器的公网地址,而不是私网地址*//
[LSW1]ip route-static 0.0.0.0 0.0.0.0 202.2.2.1
#配置Proxy ARP
[LSW1]interface vlanif 10
[LSW1-Vlanif10]arp-proxy enable
[LSW1-Vlanif10]quit
[LSW1]interface vlanif 20
[LSW1-Vlanif20]arp-proxy enable
2、配置防火墙
# 配置FW1接口IP地址及VRRP,加入安全区域
[FW1]interface GigabitEthernet 0/0/1
[FW1-GigabitEthernet0/0/1]ip address 10.10.10.2 24
[FW1-GigabitEthernet0/0/1]vrrp vrid 1 virtual-ip 10.10.10.1 24 master
[FW1-GigabitEthernet0/0/1]quit
[FW1]firewall zone untrust
[FW1-zone-untrust]add interface g 0/0/1
[FW1-zone-untrust]quit
[FW1]interface GigabitEthernet 0/0/2
[FW1-GigabitEthernet0/0/2]ip address 172.16.100.2 24
[FW1-GigabitEthernet0/0/2]vrrp vrid 2 virtual-ip 172.16.100.1 24 master
[FW1-GigabitEthernet0/0/2]quit
[FW1]firewall zone trust
[FW1-zone-trust]add interface GigabitEthernet 0/0/2
[FW1-zone-trust]quit
[FW1]interface GigabitEthernet 0/0/3
[FW1-GigabitEthernet0/0/3]ip address 192.168.1.1 24
[FW1-GigabitEthernet0/0/3]quit
[FW1]firewall zone name heartbeat //*为心跳口新建一个安全区域*//
[FW1-zone-heartbeat]t priority 90
[FW1-zone-heartbeat]add interface GigabitEthernet 0/0/3
[FW1-zone-heartbeat]quit
[FW1]interface GigabitEthernet 0/0/4
[FW1-GigabitEthernet0/0/4]ip address 172.16.99.2 24
[FW1-GigabitEthernet0/0/4]vrrp vrid 4 virtual-ip 172.16.99.1 24 master
[FW1-GigabitEthernet0/0/4]quit
[FW1]firewall zone dmz
[FW1-zone-dmz]add interface GigabitEthernet 0/0/4
[FW1-zone-dmz]quit
#配置路由
[FW1]ip route-static 172.16.2.0 255.255.255.0 172.16.100.4
[FW1]ip route-static 172.16.3.0 255.255.255.0 172.16.99.4
[FW1]ip route-static 0.0.0.0 0.0.0.0 10.10.10.4
# 配置FW2接口IP地址及VRRP,加入安全区域
[FW2]interface GigabitEthernet 0/0/1
[FW2-GigabitEthernet0/0/1]ip address 10.10.10.3 24
[FW2-GigabitEthernet0/0/1]vrrp vrid 1 virtual-ip 10.10.10.1 24 slave
[FW2-GigabitEthernet0/0/1]quit
[FW2]firewall zone untrust
[FW2-zone-untrust]add interface GigabitEthernet 0/0/1
[FW2-zone-untrust]quit
[FW2]interface GigabitEthernet 0/0/2
[FW2-GigabitEthernet0/0/2]ip address 172.16.100.3 24
[FW2-GigabitEthernet0/0/2]vrrp vrid 2 virtual-ip 172.16.100.1 24 slave
[FW2-GigabitEthernet0/0/2]quit
[FW2]firewall zone trust
[FW2-zone-trust]add interface GigabitEthernet 0/0/2
[FW2-zone-trust]quit
[FW2]interface GigabitEthernet 0/0/3
