配置使北京公司内网用户通过总公司出口BC访问因特网，分公 司内网用户通过分公司出口FW访问因特网，要求总公司销售部 门的用户访问因特网的流量往反数据流都要经过防火墙，在通 过BC访问因特网;防火墙untrust和trust1开启安全防护，参数采用默认参数。思科设备

<think>嗯，用户需要配置北京公司的网络，让总公司的内网用户通过BC设备访问互联网，而分公司的用户则通过自己的防火墙FW上网。同时，总公司的销售部门用户的流量往返都要经过防火墙，再通过BC出去。防火墙的untrust和trust1区域要开启默认的安全防护。设备是思科的。 首先，我得理清楚网络拓扑结构。总公司可能有多个部门，比如销售部门和其他部门。销售部门的流量需要经过防火墙再到BC，而其他部门可能直接走BC。分公司那边则是直接通过自己的FW出去。 接下来，可能需要划分不同的VLAN，把销售部门和其他部门分开。比如，总公司内部分为销售VLAN和非销售VLAN。销售VLAN的流量需要先路由到防火墙，再通过BC出去。这可能需要策略路由（PBR）来强制流量经过防火墙。 然后是防火墙的配置。需要确保untrust（外网）和trust1（内网）区域启用安全策略，默认参数可能包括入侵防御、防病毒、应用控制等。但用户提到参数用默认，所以可能只需启用这些功能，无需调整详细设置。 分公司的配置相对简单，内网用户直接通过本地FW出去，可能需要在分公司路由器上设置默认路由指向FW，同时FW配置NAT和出站规则。 对于总公司的BC设备，可能需要配置NAT和默认路由到互联网，同时处理来自销售部门经过防火墙的流量。防火墙到BC之间可能需要静态路由，确保流量正确传递。 另外，访问控制列表（ACL）和策略路由是关键。在总公司的核心交换机上，针对销售部门的源IP，设置PBR，将下一跳指向防火墙的接口。防火墙处理完流量后，再路由到BC出口。 验证部分需要检查路由是否正确，策略是否应用，以及防火墙的安全功能是否生效。测试时，模拟销售部门用户访问外网，用traceroute确认路径经过防火墙和BC，而其他部门直接走BC。分公司的用户则直接通过本地FW出去，不会经过总公司的设备。 需要注意的几点：确保防火墙的接口划分正确，安全区域配置无误；策略路由的ACL要准确匹配销售部门的IP段；NAT配置在BC和分公司FW上正确转换地址；防火墙的默认安全策略是否允许出站流量，可能需要调整。 可能遇到的问题包括路由环路、策略路由未生效、NAT配置错误导致无法上网，或者防火墙规则过于严格阻断流量。需要逐步排查，确认每一步的配置是否正确，尤其是路由和策略的应用顺序。</think>以下是针对该需求的网络配置方案分析及实施要点，基于思科设备环境： --- ### **一、网络拓扑规划** 1. **总公司结构** - 核心交换机划分VLAN： - VLAN10（销售部门）：192.168.10.0/24 - VLAN20（其他部门）：192.168.20.0/24 - 边界设备： - 防火墙（ASA/Firepower）：Trust1（内网）、Untrust（外网） - 边界路由器（BC）：连接互联网 2. **分公司结构** - 本地防火墙（FW）作为出口： - 内网网段：192.168.30.0/24 - 直连互联网线路 --- ### **二、关键配置步骤** #### **1. 总公司核心交换机（Catalyst 9000系列）** ```cisco ! 创建VLAN并分配IP vlan 10 name Sales vlan 20 name General interface Vlan10 ip address 192.168.10.1 255.255.255.0 interface Vlan20 ip address 192.168.20.1 255.255.255.0 ! 策略路由强制销售部门流量经过防火墙 ip access-list extended SALES-TRAFFIC permit ip 192.168.10.0 0.0.0.255 any route-map PBR-SALES permit 10 match ip address SALES-TRAFFIC set ip next-hop <防火墙Trust1接口IP> ! 应用策略路由到销售VLAN接口 interface Vlan10 ip policy route-map PBR-SALES ``` #### **2. 总公司防火墙（Cisco Firepower）** ```cisco ! 接口安全区域划分 interface GigabitEthernet0/1 nameif Trust1 security-level 100 ip address 10.1.1.1 255.255.255.0 interface GigabitEthernet0/0 nameif Untrust security-level 0 ip address 公网IP 255.255.255.248 ! 启用威胁防护（默认参数） access-policy global threat-defense mode unified apply default ! 静态路由指向BC出口 route Untrust 0.0.0.0 0.0.0.0 <BC内网接口IP> ``` #### **3. 总公司边界路由器（BC，ISR 4000系列）** ```cisco ! 配置NAT及默认路由 interface GigabitEthernet0/1 ip address 公网IP 255.255.255.248 ip nat outside interface GigabitEthernet0/0 ip address 10.1.1.2 255.255.255.0 ip nat inside ip nat inside source list NAT-ACL interface GigabitEthernet0/1 overload ip access-list standard NAT-ACL permit 192.168.0.0 0.0.255.255 ip route 0.0.0.0 0.0.0.0 运营商网关 ``` #### **4. 分公司防火墙（配置样例）** ```cisco ! 基本互联网出口配置 interface GigabitEthernet0/1 nameif outside security-level 0 ip address 公网IP 255.255.255.248 interface GigabitEthernet0/0 nameif inside security-level 100 ip address 192.168.30.1 255.255.255.0 ! 启用默认安全策略 access-policy global threat-defense basic apply default ip route 0.0.0.0 0.0.0.0 运营商网关 ``` --- ### **三、流量验证方案** 1. **总公司销售部门路径测试** ``` PC> traceroute 8.8.8.8 1. 192.168.10.1 (核心交换机) 2. 10.1.1.1 (防火墙Trust1接口) 3. 公网IP (BC出口) ``` 2. **防火墙防护验证** - 通过Firepower Management Center检查： - 入侵事件日志 - 应用识别统计 - 文件传输扫描记录 --- ### **四、注意事项** 1. **安全策略优化** - 在防火墙添加应用层控制策略： ```cisco access-list INET-ACCESS extended permit tcp any any eq 80,443 access-group INET-ACCESS in interface Trust1 ``` 2. **高可用性建议** - 核心交换机启用HSRP - 防火墙部署Failover双机 3. **QoS配置** - 在BC出口限制P2P应用带宽： ```cisco policy-map INTERNET-QOS class P2P-TRAFFIC police 10m ``` 该方案通过策略路由实现流量牵引，结合思科安全设备的多层防护能力，满足分级互联网访问需求。实际部署时需根据具体设备型号调整命令语法。