欢迎来到天天文库
浏览记录
ID:10077097
大小:105.43 KB
页数:7页
时间:2018-05-24
《防火墙路由模式和nat配置》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库。
1、应用场景:在网络的边界,如出口区域,在内网和外网之间增加防火墙设备,采用路由模式对局域网的整网进行保护。路由模式一般不单独使用,一般会有以下功能的配合,如在内外网之间配置灵活的安全策略,或者是进行NAT内网地址转换。功能原理:简介·路由模式指的是交换机和防火墙卡之间采用互为下一跳指路由的方式通信优点·能够支持三层网络设备的多种功能,NAT、动态路由、策略路由、VRRP等·能够通过VRRP多组的方式实现多张防火墙卡的冗余和负载分担缺点·不能转发IPv6和组播包·部署到已实施网络中需要重新改动原有地址和路由规划一、组网要求1、在网络出口位置部署防火墙卡,插在核心交换机的3
2、号槽位,通过防火墙卡区分内外网,外网接口有两个ISP出口;2、在防火墙上做NAT配置,内网用户上外网使用私有地址段;二、组网拓扑三、配置要点要点1,配置防火墙·创建互联的三层接口,并指定IP地址·配置动态路由或静态路由·创建作为NATOutside的VLAN接口并指定IP·配置NAT转换关系·配置NAT日志要点2,配置交换机·创建连接NATOutside线路的VLAN并指定物理接口·创建互联到防火墙的三层接口·通过互联到防火墙的三层接口配置动态路由或静态路由四、配置步骤注意:步骤一、将交换机按照客户的业务需要配置完成,并将防火墙卡和交换机联通,并对防火墙卡进行初始化配
3、置。1)配置防火墙模块与PC的连通性:配置防火墙卡和交换机互联端口,可以用于防火墙的管理。Firewall>enable------>进入特权模式Firewall#configureterminal------>进入全局配置模式Firewall(config)#interfacevlan4000------>进入vlan4000接口FW1(config-if-Vlan4000)#ipaddress10.0.0.1255.255.255.252------>为vlan4000接口上互联IP地址Firewall(config-if)#exit------>退回到全局配置模
4、式Firewall(config)#firewalldefault-policy-permit------>10.3(4b5)系列版本的命令ipsessionacl-filter-default-permit,10.3(4b6)命令变更为firewalldefault-policy-permit防火墙接口下没有应用ACL时或配置的ACL在最后没有Permitany则默认会丢弃所有包,配置以下命令可修改为默认转发所有包2)防火墙配置路由模式,交换机与防火墙联通配置。交换机与防火墙卡是通过设备内部的两个万兆口互联,在插入防火墙模块后,交换机在FW所在槽位生成两个万兆端口,
5、以下以防火墙卡接在核心交换机6槽。在交换机上配置将交换机与防火墙互联的接口进行聚合,并设置为trunk模式,设定允许VLAN。以6槽位的一个防火墙卡为例:Ruijie>enable------>进入特权模式Ruijie#configureterminal------>进入全局配置模式Ruijie(config)#vlan4094------>配置一个冗余的VLANRuijie(config)#interfacerangetenGigabitEthernet6/1,6/2------>配置交换机于防火墙互联的万兆6/1,6/2端口Ruijie(config-if-ran
6、ge)#port-group2------>配置互联端口为聚合口,聚合口端口号为2Ruijie(config-if-range)#interfaceaggregateport2------>进入聚合口配置模式Ruijie(config-if-AggregatePort2)#switchportmodetrunk------>配置聚合口的属性为trunk模式;Ruijie(config-if-AggregatePort2)#switchporttrunknativevlan4094------>将防火墙与交换机互联端口的nativevlan设置为非管理VLAN,由于防火
7、墙通过VLANtag来进行桥接互联,如果从交换机发给防火墙的报文不带tag将会被丢弃,所以为了保证管理VLAN和防火墙的胡同,必须设置管理vlan为非nativevlan;Ruijie(config-if-AggregatePort2)#end------>退出到特权模式Ruijie#configureterminalRuijie(config)#vlan4000------>进入创建交换机和防火墙互联vlan4000Ruijie(config)#interfacevlan4000------>进入vlan4000接口Ruijie(config-vl
此文档下载收益归作者所有