一、 实验背景
客户购买 1 台 NGAF,连接内网和 DMZ 区域,DMZ 区域的服务器配置公网 IP,要求
以混合模式部署,服务器通过网桥模式正常转发业务数据,内网通过防火墙路由模式上公
网。
二、 实验设备
1、 山石网科(hillstone)系列下一代防火墙。
2、 三层交换机一台。
3、 二层交换机一台。
4、 路由器一台,用来模拟 web 服务器。
5、 vpc 一台 。
6、 增加一个网络 net:cloud0;
三、实验拓扑
四、 实验目的
- 了解 NGAF 有几种部署模式以及每种部署模式适用场景;
- 能根据客户不同场景选择恰当的部署模式并独立完成部署配置。
五、 实验需求、步骤及配置
- vpc 配置,指定 vpc 主机 ip 为 192.168.10.1,网关为 192.168.10.254:
VPCS> ip 192.168.10.1 255.255.255.0 192.168.10.254
VPCS> ip dns 114.114.114.114 指定 dns 服务器 - 接入层交换机 IOL_SW 的配置:
Switch(config)#vlan 10
Switch(config-vlan)#exit
Switch(config)#interface e0/0
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 10
Switch(config-if)#exit
Switch(config)#interface e0/1
Switch(config-if)#switchport trunk encapsulation dot1q
Switch(config-if)#switchport mode trunk - 核心/汇聚层交换机 vIOS_SW 配置
Switch(config)#vlan 10
Switch(config-vlan)#exit
Switch(config)#interface g0/0
Switch(config-if)#switchport trunk encapsulation dot1q
Switch(config-if)#switchport mode trunk
Switch(config-if)#exit
Switch(config)#ip routing 启动路由功能
Switch(config)#interface vlan10
Switch(config-if)#ip address 192.168.10.254 255.255.255.0
Switch(config-if)#no shut
Switch(config)#interface g0/1
Switch(config-if)#no switchport 改为三层接口
Switch(config-if)#no shutdown
Switch(config-if)#ip address 10.1.1.1 255.255.255.252
Switch(config)#ip route 0.0.0.0 0.0.0.0 10.1.1.2 配置上网的缺省路由,下一跳为防火墙
接口 e0/1 IP - 下一代防火墙的配置:
a)
基本配置:修改 e0/0 口属性为管理口且采用 http 管理方式,默认启动 DHCP。
login: hillstone //用户名和密码都为 hillstone
password:
SG-6000# conf
SG-6000(config)# interface e0/0
SG-6000(config-if-eth0/0)# manage http
SG-6000(config-if-eth0/0)# show interface 查看 e0/0 自动获得的 IP 地址,为管理 IP
接下来,在物理主机上,通过浏览器访问管理IP,使用图形化管理下一代防火墙:
b)
创建安全区域,下一代防火墙默认已创建多个安全区域,如需自定义区域,点击网络—>安全域—>新建。
c)
配置 e0/2 接口:绑定安全区域为 L2 二层安全区域(网桥模式)等:
d)
配置 e0/1 接口:绑定安全区域为 trust 三层安全区域(路由模式)、IP 地址等:
e)
配置 e0/0 接口:修改绑定安全区域为 L2-untrust 二层安全区域(网桥模式)等:
注意:L2-untrunst 接口 e0/0 与 L2-dmz 接口 e0/2 成为网桥模式的进\出接口
此时 e0/0 变为二层接口,之前的管理 IP 会被清除,需回到命令行配置 vswitchif1 接口,作为网桥的管理接口及新管理 IP,与公网区域及服务器区属于同一子网(vswitchif1 同时也作为路由模式的 untrust 区域接口,与 E0/1 接口成为路由模式的进\出接口。)
SG-6000#conf
SG-6000(config)# interface vswitchif1
SG-6000(config-if-vsw1)# zone untrust 绑定为三层 untrust 区域
SG-6000(config-if-vsw1)# ip address dhcp setroute 自动从网络 net 获取 IP,并获得默认路由
SG-6000(config-if-vsw1)# no shutdown
SG-6000(config-if-vsw1)# manage http 开启 http 管理
SG-6000(config-if-vsw1)# show interface 查看 vswitchif1 自动获得的 IP 地址,为新管理 IP
接下来,在物理主机上,通过浏览器访问新管理 IP,使用图形化管理下一代防火墙:
f)
为路由模式,配置路由,包括回程路由和缺省路由(通过 vswitchif1 接口 dhcp已经获得)
g)
为路由模式,配置源 NAT 策略(即动态 NAT),实现内网 vpc 上公网需求:
h)
为路由模式,配置安全策略即包过滤策略(默认拒绝区域间访问),配置策略让内网网段可以访问公网,即 e0/1 区域访问 vswitchif1 区域,而 vswitchif1 区域与公网、服务器区同为一个三层 untrust 区。
i)
接下来测试内网 vpc 主机是否可以上公网,如图代表 ok:
至此,在混合模式部署的防火墙中,实现内网通过路由模式上公网,接下来实现公网用户通过网桥模式与服务器区进行正常业务转发,此时公网与服务器仅通过一个网桥模式进行互联,故防火墙无需路由配置和 NAT 配置,仅需配置安全策略,允许 L2-untrust 区域访问 L2-dmz 区域:
j)
完成服务器区配置,用路由器模拟一台开启 TCP 80 端口的 web 服务器:
Router(config)#interface e0/0
Router(config-if)#ip add 192.168.142.135 255.255.255.0 配置为 vswitchif1 同网段 IP
Router(config-if)#no shut
Router(config)#no ip routing 关闭路由功能,模拟一台服务器主机
Router(config)#ip default-gateway 192.168.142.2 给主机配置默认网关,与防火墙中缺省
路由的下一跳一样。
Router(config)#ip name-server 114.114.114.114 给主机配置 dns 服务器
Router(config)#ip http server 开启 80 端口
k)
为网桥模式,配置安全策略,让公网用户可以访问服务器区 web 服务:
l)
接下来,在物理主机上,测试是否可以访问服务器 web,如图:
如果未提示端口连接失败则成功,或者直接浏览器访问测试:
提示路由器http访问需要用户名,则代表服务访问OK。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
