企業中,防火墻的使用
要求:
1、思路、數據包走向
2、要求:VLAN互通、VRRP、內網PAT訪問外網、發布Web服務器供外網訪問
3、問題:VLAN網關在哪裏?ISP路由配置?
思路:
1. 在sw31、sw32上配置vlan1、vlan2、vlan100的虛擬網關192.168.X.252,優先級sw31優先;
2. 在sw31、sw32上分別配置防火墻的直連ip(創建vlan11並配置ip地址、然後分別將連接防火墻的直連接口加入到vlan中);
3. 在sw31、sw32上各配置一條去往外網的默認路由(嚇一跳接口是各自對應的防火墻接口ip地址);
4. 用ospf進行內網互通的建立;
5. 配置路由器,給路由器添加連接防火墻對應的ip地址,在配置一個路由內部終端的網關;
6. 在防火墻上配置相應端口的ip地址,將內網接口安全級別都設置成100,外網的安全級別是0;
7. 配置防火墻上的路由:
三條靜態路由,目標網段分別是vlan1、vlan2、vlan100,嚇一跳是防火墻連接sw31的接口ip地址;
一條去往200.0.0.0/24網段的靜態路由;
8. 配置pat流量轉換
9. 進行測試。
註:這裏的防火墻配置用的是虛擬機映射的端口,用CRT進行端口連接來進行配置
ip地址規劃:
| 設備/接口 | ip地址 | 網關 |
| client1 | 192.168.1.1/24 | 192.168.1.250/24(虛擬) |
| client2 | 192.168.2.1/24 | 192.168.2.250/24(虛擬) |
| server1 | 192.168.100.1/24 | 192.168.100.250/24(虛擬) |
| client3 | 200.0.0.1/24 | 200.0.0.254/24 |
| server3 | 200.0.0.100/24 | 200.0.0.254/24 |
| sw31 vlan1 | 192.168.1.254/24 | |
| sw31 vlan2 | 192.168.2.254/24 | |
| sw31 vlan100 | 192.168.100.254/24 | |
| sw31 vlan 11 | 10.1.1.1/24 | |
| sw32 vlan 1 | 192.168.1.253/24 | |
| sw32 vlan 2 | 192.168.2.253/24 | |
| sw32 vlan 100 | 192.168.100.253/24 | |
| sw32 vlan 11 | 10.2.2.1/24 | |
| asa g0 | 10.1.1.254/24 | |
| asa g1 | 10.2.2.254/24 | |
| asa g2 | 200.8.8.254/30 | |
| AR1 G0/0/0 | 200.8.8.253/30 | |
| AR1 G0/0/1 | 200.0.0.254/24 |
配置步驟:
sw1: [sw1]vlan batch 1 2 100 //創建vlan 1 2 100 [sw1]inter e0/0/1 //進入接口 [sw1-Ethernet0/0/1]port hybrid pvid vlan 1 //發送vlan 1的包 [sw1-Ethernet0/0/1]port hybrid untagged vlan 1 2 100 //接收vlan 1 2 100的包 [sw1-Ethernet0/0/1]q //返回上一模式 [sw1]port-group group-member e0/0/2 e0/0/3 //同事配置多端口 [sw1-port-group]port hybrid tagged vlan 1 2 100 //發送和接收vlan 1 2 100的包 |
sw31: [sw31]vlan batch 1 2 100 //創建vlan 1 2 100 [sw31]inter g0/0/3 //進入接口 [sw31-GigabitEthernet0/0/3]port hybrid pvid vlan 100 //發送vlan 100的包 [sw31-GigabitEthernet0/0/3]port hybrid untagged vlan 1 2 100 //接收vlan 1 2 100 [sw31-GigabitEthernet0/0/3]q //返回上一模式 [sw31]port-group group-member g0/0/1 g0/0/2 //同時配置多接口 [sw31-port-group]port hybrid tagged vlan 1 2 100 //發送,同時接收vlan 1 2 100 [sw31-port-group]q //返回上一模式 [sw31]inter vlan 1 //進去vlan 1的接口 [sw31-Vlanif1]ip address 192.168.1.254 24 //配置IP地址和子網掩碼 [sw31-Vlanif1]undo shutdown //啟用接口 [sw31-Vlanif1]inter vlan 2 //進入接口 [sw31-Vlanif2]ip address 192.168.2.254 24 //配置ip和子網掩碼 [sw31-Vlanif2]undo shutdown //啟用接口 [sw31-Vlanif2]inter vlan 100 //進入接口 [sw31-Vlanif100]ip address 192.168.100.254 24 //配置ip地址和掩碼 [sw31-Vlanif100]undo shutdown //啟用接口 [sw31-Vlanif100]q //返回上一模式 [sw31]vlan 11 //創建vlan 11 [sw31-vlan11]inter vlan 11 //進入vlan11接口 [sw31-Vlanif11]ip address 10.1.1.1 255.255.255.0 //配置ip和子網掩碼 [sw31-Vlanif11]undo shutdown //啟用接口 [sw31-Vlanif11]inter g0/0/4 //切換接口 [sw31-GigabitEthernet0/0/4]port link-type access //更改為access模式 [sw31-GigabitEthernet0/0/4]port default vlan 11 //加入vlan 11 [sw31-GigabitEthernet0/0/4]q //返回上一模式 配置各vlan的vrrp: [sw31]inter vlan 1 //進入VLAN 1接口 [sw31-Vlanif1]vrrp vrid 1 virtual-ip 192.168.1.250 //添加vlan1的虛擬網關 [sw31-Vlanif1]vrrp vrid 1 priority 150 [sw31-Vlanif1]vrrp vrid 1 track interface g0/0/4 reduced 100 //監視端口 [sw31-Vlanif1]q [sw31]inter vlan 2 [sw31-Vlanif2]vrrp vrid 2 virtual-ip 192.168.2.250 [sw31-Vlanif2]q [sw31]inter vlan 100 [sw31-Vlanif100]vrrp vrid 3 virtual-ip 192.168.100.250 [sw31-Vlanif100]vrrp vrid 3 priority 150 [sw31-Vlanif100]vrrp vrid 3 track interface g0/0/4 reduced 100 [sw31-Vlanif100]q 配置ospf建立路由: [sw31]inter LoopBack 0 //創建回環接口 [sw31-LoopBack0]ip address 31.31.31.31 24 //配置ip地址 [sw31-LoopBack0]q [sw31]ospf router-id 31.31.31.31 //創建ospf [sw31-ospf-1]area 0 //進入區域0(骨幹區域) [sw31-ospf-1-area-0.0.0.0]network 31.31.31.31 0.0.0.0 //加入網段 [sw31-ospf-1-area-0.0.0.0]network 192.168.1.0 0.0.0.255 [sw31-ospf-1-area-0.0.0.0]network 192.168.2.0 0.0.0.255 [sw31-ospf-1-area-0.0.0.0]network 192.168.100.0 0.0.0.255 [sw31-ospf-1-area-0.0.0.0]network 10.1.1.0 0.0.0.255 [sw31-ospf-1-area-0.0.0.0]q [sw31-ospf-1]q 配置一條默認路由: [sw31]ip route-static 0.0.0.0 0.0.0.0 10.1.1.254 |
sw32: [sw32]vlan batch 1 2 100 11 [sw32]inter vlan 1 [sw32-Vlanif1]ip address 192.168.1.253 24 [sw32-Vlanif1]undo shutdown [sw32-Vlanif1]inter vlan 2 [sw32-Vlanif2]ip address 192.168.2.253 24 [sw32-Vlanif2]undo shut [sw32-Vlanif2]inter vlan 100 [sw32-Vlanif100]ip address 192.168.100.253 24 [sw32-Vlanif100]undo shut [sw32-Vlanif100]q [sw32]inter vlan 11 [sw32-Vlanif11]ip address 10.2.2.1 24 [sw32-Vlanif11]undo shutdown [sw32-Vlanif11]q [sw32]inter g0/0/4 [sw32-GigabitEthernet0/0/4]port link-type access [sw32-GigabitEthernet0/0/4]port default vlan 11 [sw32-GigabitEthernet0/0/4]q [sw32]inter g0/0/3 [sw32-GigabitEthernet0/0/3]port hybrid pvid vlan 2 [sw32-GigabitEthernet0/0/3]port hybrid untagged vlan 1 2 100 [sw32-GigabitEthernet0/0/3]q [sw32]port-group group-member g0/0/1 g0/0/2 [sw32-port-group]port hybrid tagged vlan 1 2 100 [sw32-port-group]q 配置各vlan的vrrp: [sw32]inter vlan 1 [sw32-Vlanif1]vrrp vrid 1 virtual-ip 192.168.1.250 [sw32-Vlanif1]inter vlan 2 [sw32-Vlanif2]vrrp vrid 2 virtual-ip 192.168.2.250 [sw32-Vlanif2]vrrp vrid 2 priority 150 [sw32-Vlanif2]vrrp vrid 2 track interface g0/0/4 reduced 100 //監視端口 [sw32-Vlanif2]q [sw32]inter vlan 100 [sw32-Vlanif100]vrrp vrid 3 virtual-ip 192.168.100.250 [sw32-Vlanif100]q 配置ospf建立路由: [sw32]inter LoopBack 0 [sw32-LoopBack0]ip address 32.32.32.32 24 [sw32-LoopBack0]q [sw32]ospf router-id 32.32.32.32 [sw32-ospf-1]area 0 [sw32-ospf-1-area-0.0.0.0]network 32.32.32.32 0.0.0.0 [sw32-ospf-1-area-0.0.0.0]network 192.168.1.0 0.0.0.255 [sw32-ospf-1-area-0.0.0.0]network 192.168.2.0 0.0.0.255 [sw32-ospf-1-area-0.0.0.0]network 192.168.100.0 0.0.0.255 [sw32-ospf-1-area-0.0.0.0]network 10.2.2.1 0.0.0.255 [sw32-ospf-1-area-0.0.0.0]q [sw32-ospf-1]q [sw32]dis ospf peer brief
配置一條默認路由: [sw32]ip route-static 0.0.0.0 0.0.0.0 10.2.2.254 |
防火墻配置: ciscoasa(config)# inter g0 ciscoasa(config-if)# nameif inside1 INFO: Security level for "inside1" set to 0 by default. ciscoasa(config-if)# security-level 100 ciscoasa(config-if)# ip address 10.1.1.254 255.255.255.0 ciscoasa(config-if)# no shutdown ciscoasa(config-if)# q ciscoasa(config)# ping 10.1.1.1
ciscoasa(config)# inter g1 ciscoasa(config-if)# nameif inside2 INFO: Security level for "inside2" set to 0 by default. ciscoasa(config-if)# security-level 100 ciscoasa(config-if)# ip address 10.2.2.1 255.255.255.0 ciscoasa(config-if)# no shutdown ciscoasa(config-if)# q ciscoasa(config)# ping 10.2.2.1
ciscoasa(config)# inter g2 ciscoasa(config-if)# nameif outside INFO: Security level for "outside" set to 0 by default. ciscoasa(config-if)# ip address 200.8.8.254 255.255.255.252 ciscoasa(config-if)# no shutdown ciscoasa(config-if)# q ciscoasa(config)# ping 200.8.8.253
不通,不通就對了!!! 外網的設備還沒有配置,怎麽會通??? 還是先把其他設備配完,再來繼續配置防火墻吧!!! 歡迎回來,配置完r1,繼續配置防火墻: 先測試ping 200.8.8.253
添加路由: ciscoasa(config)# route inside1 192.168.1.0 255.255.255.0 10.1.1.1 ciscoasa(config)# route inside1 192.168.2.0 255.255.255.0 10.1.1.1 ciscoasa(config)# route inside1 192.168.100.0 255.255.255.0 10.1.1.1 ciscoasa(config)# route inside2 0.0.0.0 0.0.0.0 10.2.2.1 ciscoasa(config)# route outside 200.0.0.0 255.255.255.0 200.8.8.253 做PAT: ciscoasa(config)# object network vlan1 ciscoasa(config-network-object)# subnet 192.168.1.0 255.255.255.0 ciscoasa(config-network-object)# nat (inside1,outside) dynamic 119.1.1.1 ciscoasa(config-network-object)# q ciscoasa(config)# object network vlan2 ciscoasa(config-network-object)# subnet 192.168.2.0 255.255.255.0 ciscoasa(config-network-object)# nat (inside1,outside) dynamic 119.1.1.2 ciscoasa(config-network-object)# q ciscoasa(config)# object network vlan100 ciscoasa(config-network-object)# subnet 192.168.100.0 255.255.255.0 ciscoasa(config-network-object)# nat (inside1,outside) dynamic 119.1.1.3 ciscoasa(config-network-object)# q ciscoasa(config)# object network vlan100 ciscoasa(config-network-object)# host 119.1.1.3 ciscoasa(config-network-object)# q ciscoasa(config)# object network vlan100_in ciscoasa(config-network-object)# host 192.168.100.1 ciscoasa(config-network-object)# nat (inside1,outside) static vlan100 service tcp http ciscoasa(config-network-object)# q ciscoasa(config)# access-list out-to-insidevlan100 permit tcp any object vlan100_in eq http ciscoasa(config)# access-group out-to-insidevlan100 in interface outside |
r1配置; [r1]inter g0/0/0 [r1-GigabitEthernet0/0/0]ip address 200.8.8.253 255.255.255.252 [r1-GigabitEthernet0/0/0]ping 200.8.8.254
[r1-GigabitEthernet0/0/0]inter g0/0/1 [r1-GigabitEthernet0/0/1]ip address 200.0.0.254 24 [r1-GigabitEthernet0/0/1]q [r1]ip route-static 0.0.0.0 0.0.0.0 200.8.8.254 r1配置完畢,砸門再回到防火墻的配置:往上看!!! |
驗證:
內網已經互通!!! 開通 允許ICMP報文穿越ASA ciscoasa(config)# access-list icmp permit icmp any any ciscoasa(config)# access-group icmp in interface outside 抓包查看地址轉化:
可以看出,192.168.1.0網段的地址,去外網已經轉換成119.1.1.1
剛才在測試時,可以看出vlan2的包是出不去外網的,因為在設置vrrp時,我把vlan2的流量設置為優先從inside2過,只有當sw32的接口 g0/0/4故障,才走inside1走;而我又把防火墻訪問vlan2網段的路由的嚇一跳優先設在inside1上,所以vlan2的流量才出不去。
排除方法: 將vlan2 的vrrp 優先設置在 sw31上,在防火墻上添加一條備份的默認路由 將去往外網的靜態路由,改成默認路由(結合實際) asa配置: ciscoasa(config)# no route outside 200.0.0.0 255.255.255.0 200.8.8.253 ciscoasa(config)# route outside 0.0.0.0 0.0.0.0 200.8.8.253 ciscoasa(config)# route inside2 0.0.0.0 0.0.0.0 10.2.2.1 2 //備份路由優先級改為2,(越大優先級越靠後) sw31配置: [sw31]inter vlan 2 [sw31-Vlanif2]vrrp vrid 2 virtual-ip 192.168.2.250 [sw31-Vlanif2]vrrp vrid 2 priority 150 [sw31-Vlanif2]vrrp vrid 2 track interface g0/0/2 reduced 100 sw32配置: [sw32]inter vlan 2 [sw32-Vlanif2]undo vrrp vrid 2 [sw32-Vlanif2]vrrp vrid 2 virtual-ip 192.168.2.250 再次進行測試: 流量轉換測試:
client1:
可以看出原ip地址192.168.1.1轉換成119.1.1.1訪問外網。 client2:
可以看出原ip地址192.168.2.1轉換成119.1.1.2訪問外網。 server1:
可以看出原ip地址192.168.100.1轉換成119.1.1.3訪問外網。 現在所有的內網網段地址都已經轉換成指定ip地址,進行訪問外網。 測試內網訪問外網的web服務器、外網訪問內網發布的服務器: 註意:剛才測試ping時,開通了icmp,並應用了,這裏查看 ciscoasa(config)# show running-config access-group 就只有一條條目access-group icmp in interface outside 原來的 access-group out-to-insidevlan100 in interface outside 這個條目擠下去了,因為access-group 模式中只允許存在一條條目 所以,我們要把access-group out-to-insidevlan100 in interface outside這個條目在添加上,這樣外網才能訪問內網發布的web服務器 添加條目: ciscoasa(config)# access-group out-to-insidevlan100 in interface outside 進行內網訪問外網web服務器測試:
進行外網訪問內網發布的服務器測試:
獲取不到,為什麽呢? 我192.168.100.0網段的動態nat做成了119.1.1.3 object network的命名是vlan100 同時也把靜態的nat也做成了119.1.1.3 object network的命名也是vlan100 後者把前者抵消了,這裏我先配置的是靜態的端口映射nat,後配置的192.168.100.0網段的動態nat
所以,我的object network vlan100就只有 subnet 192.168.100.0 255.255.255.0這麽一個條目,沒有host 119.1.1.3 這個條目。
解決方法: 換個object network 名字,從新配置: 我換的是靜態PAT: ciscoasa(config)# object network ob-vlan100 ciscoasa(config-network-object)# host 119.1.1.3 ciscoasa(config-network-object)# q ciscoasa(config)# object network vlan100_in ciscoasa(config-network-object)# host 192.168.100.1 ciscoasa(config-network-object)# nat (inside1,outside) static ob-vlan100 service tcp 80 80 ciscoasa(config-network-object)# q ciscoasa(config)# access-list out-to-vlan100 permit tcp any object vlan100_in eq http ciscoasa(config)# access-group out-to-vlan100 in interface outside 驗證:再次由外網訪問內網發布的http服務器
|
| 到現在為止,整個配置才算結束,過程可以說是布滿荊棘,還好我比較愛較勁,把問題都給解決了,把這個實驗給做完!!! |
最後有個問題請教大家,我設置了備份路由,當我把主路由關了之後,按理來說,數據包是從inside2出去的,但是試了,不通,流量包出不去,請大家指導指導,謝謝各位了!!! |
企業中,防火墻的使用