中小型網(wǎng)絡(luò)構(gòu)建案例——防火墻的應(yīng)用

今天帶來一個中小型網(wǎng)絡(luò)構(gòu)建案例，在一個中型企業(yè)網(wǎng)絡(luò)中，必不可少的一個設(shè)備就是防火墻，在昨天的文章中，已經(jīng)簡單給大家介紹了一下防火墻的概述與作用，如果大家還有什么疑問，可以在文章下方提問，小編一定使出我的九牛二虎之力，為您解決問題，廢話就不多說了，接下來開始操作您就都懂了?。。?/p>

項目名稱：

小型網(wǎng)絡(luò)構(gòu)建案例——防火墻的應(yīng)用

項目拓?fù)洌?/h2>

項目需求：

1. vlan互通
2. 配置VRRP實(shí)現(xiàn)虛擬網(wǎng)關(guān)冗余備份
3. 內(nèi)網(wǎng)PAT訪問外網(wǎng)
4. 發(fā)布WEB服務(wù)器提供外網(wǎng)訪問

地址規(guī)劃：

端口鏈路模式規(guī)劃：

涉及技術(shù)：

&Vlan：
指的是虛擬局域網(wǎng)，是一種2層技術(shù)?？梢栽诮粨Q機(jī)上實(shí)現(xiàn)廣播域的隔離。從而可以減小數(shù)據(jù)廣播風(fēng)暴對交換網(wǎng)絡(luò)的影響，降低了網(wǎng)絡(luò)管理難度，同時可以實(shí)現(xiàn)網(wǎng)絡(luò)規(guī)模的靈活擴(kuò)展。

&Trunk與Access：
Trunk鏈路同一時刻可以支持多個 VLAN 的數(shù)據(jù)轉(zhuǎn)發(fā)，數(shù)據(jù)攜帶 VLAN 標(biāo)簽（native vlan 除外）；
Access鏈路同一時刻只能傳輸一個 VLAN 的數(shù)據(jù)，發(fā)送和接收的數(shù)據(jù)，都沒有標(biāo)簽；

&Vrrp：
指的是虛擬網(wǎng)關(guān)冗余協(xié)議，作用是在不同的網(wǎng)關(guān)設(shè)備之間形成虛擬網(wǎng)關(guān)IP地址，從而實(shí)現(xiàn)網(wǎng)關(guān)設(shè)備之間的備份冗余， 增強(qiáng)網(wǎng)關(guān)的穩(wěn)定性。

&Nat：
指的是網(wǎng)絡(luò)地址轉(zhuǎn)換； 作用是實(shí)現(xiàn)內(nèi)網(wǎng)私有IP地址與外網(wǎng)公有IP地址的轉(zhuǎn)換，從而實(shí)現(xiàn)內(nèi)網(wǎng)與外網(wǎng)的互通， 同時還可以隱藏內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)，增強(qiáng)網(wǎng)絡(luò)的安全性。

&默認(rèn)路由：
是一種特殊的靜態(tài)路由，指的是當(dāng) 路由表中與包的目的地址之間沒有匹配的表項時，路由器能夠做出選擇。如果沒有默認(rèn)路由，那么目的地址在路由表中沒有匹配表項的包將被丟棄。

實(shí)驗(yàn)思路及步驟：

一、 根據(jù)上面提到的鏈路模式規(guī)劃配置鏈路模式

具體操作：創(chuàng)建vlan，配置鏈路模式，將端口加入vlan
1. 交換機(jī)1配置命令如下：

<Huawei>sys
Enter system view, return user view with Ctrl+Z.
[Huawei]sys sw1
[sw1]vlan ba 10 20 100 12 22
[sw1]int gi0/0/1 
[sw1-GigabitEthernet0/0/1]port link-type trunk  
[sw1-GigabitEthernet0/0/1]port trunk  allow-pass vlan all
[sw1-GigabitEthernet0/0/1]int gi 0/0/2
[sw1-GigabitEthernet0/0/2]port link-type  access    
[sw1-GigabitEthernet0/0/2]port default vlan 12
[sw1-GigabitEthernet0/0/2]int gi 0/0/3
[sw1-GigabitEthernet0/0/3]port link-type trunk 
[sw1-GigabitEthernet0/0/3]port trunk  allow-pass vlan all
[sw1-GigabitEthernet0/0/3]int gi 0/0/4
[sw1-GigabitEthernet0/0/4]port link-type  access 
[sw1-GigabitEthernet0/0/4]port default vlan 100

驗(yàn)證：

2.交換機(jī)2配置命令如下：

<Huawei>sys
Enter system view, return user view with Ctrl+Z.
[Huawei]sys sw2
[sw2]vlan ba 10 20 100 12 22
[sw2]int gi 0/0/1
[sw2-GigabitEthernet0/0/1]port link-type  trunk 
[sw2-GigabitEthernet0/0/1]port trunk  allow-pass vlan all
[sw2-GigabitEthernet0/0/1]int gi 0/0/2
[sw2-GigabitEthernet0/0/2]port link-type  access
[sw2-GigabitEthernet0/0/2]port default vlan 20
[sw2-GigabitEthernet0/0/2]int gi 0/0/4  
[sw2-GigabitEthernet0/0/4]port link-type  trunk 
[sw2-GigabitEthernet0/0/4]port trunk  allow-pass vlan all
[sw2-GigabitEthernet0/0/4]int gi 0/0/3
[sw2-GigabitEthernet0/0/3]port link-type access     
[sw2-GigabitEthernet0/0/3]port default vlan 22

驗(yàn)證：

3.交換機(jī)3配置命令如下：

<Huawei>sys
Enter system view, return user view with Ctrl+Z.
[Huawei]sys sw3
[sw3]vlan batch 10 20 100 12 22
[sw3]int e0/0/1 
[sw3-Ethernet0/0/1]port link-type access 
[sw3-Ethernet0/0/1]port default vlan 10
[sw3-Ethernet0/0/1]int e0/0/2   
[sw3-Ethernet0/0/2]port link-type trunk     
[sw3-Ethernet0/0/2]port trunk allow-pass vlan all
[sw3-Ethernet0/0/2]int e0/0/3   
[sw3-Ethernet0/0/3]port link-type trunk     
[sw3-Ethernet0/0/3]port trunk  allow-pass vlan all

驗(yàn)證：

二、配置設(shè)備IP地址及服務(wù)

1.配置clent及server
Server1：

Server2：

Client1：

Client2：

Client3：

2.配置交換機(jī)ip地址及vrrp
交換機(jī)1配置命令如下：

[sw1]int vl 10
[sw1-Vlanif10]undo shutdown 
[sw1-Vlanif10]ip address 192.168.10.253 255.255.255.0   
[sw1-Vlanif10]vrrp vrid 10 virtual-ip 192.168.10.254    
[sw1-Vlanif10]vrrp vrid 10 priority 150 
[sw1-Vlanif10]vrrp vrid 10 track interface GigabitEthernet 0/0/2  reduced 100
[sw1-Vlanif10]int vlan 20
[sw1-Vlanif20]undo shutdown 
[sw1-Vlanif20]ip address 192.168.20.253 255.255.255.0
[sw1-Vlanif20]vrrp vrid 20 virtual-ip 192.168.20.254 

[sw1]ip route-static 0.0.0.0 0.0.0.0 192.168.12.2
[sw1-Vlanif20]vrrp vrid 20 priority 150 
[sw1-Vlanif20]vrrp vrid 20 track interface GigabitEthernet 0/0/2 reduced 100
[sw1-Vlanif20]int vlan 100
[sw1-Vlanif100]undo shutdown 
[sw1-Vlanif100]ip address 192.168.100.253 255.255.255.0  
[sw1-Vlanif100]vrrp vrid 100 virtual-ip 192.168.100.254 
[sw1-Vlanif100]vrrp vrid 100 priority 150
[sw1-Vlanif100]vrrp vrid 100 track interface GigabitEthernet 0/0/2  reduced 100
[sw1-Vlanif100]int vla 12
[sw1-Vlanif12]undo shutdown 
[sw1-Vlanif12]ip address 192.168.12.1 255.255.255.0
[sw1-Vlanif12]q

交換機(jī)2配置命令如下：

<sw2>sys
[sw2]int vl 10
[sw2-Vlanif10]undo shutdown 
[sw2-Vlanif10]ip address 192.168.10.252 255.255.255.0
[sw2-Vlanif10]vrrp vrid 10 virtual-ip 192.168.10.254    
[sw2-Vlanif10]vrrp vrid 10 track interface gi 0/0/3
[sw2-Vlanif10]int vl 20
[sw2-Vlanif20]undo shutdown 
[sw2-Vlanif20]ip address 192.168.20.252 255.255.255.0

[sw2]ip route-static 0.0.0.0 0.0.0.0 192.168.22.2
[sw2-Vlanif20]vrrp vrid 20 virtual-ip 192.168.20.254    
[sw2-Vlanif20]vrrp vrid 20 track interface Gi 0/0/3
[sw2-Vlanif20]int vl 100
[sw2-Vlanif100]undo shutdown 
[sw2-Vlanif100]ip address 192.168.100.252 255.255.255.0
[sw2-Vlanif100]vrrp vrid 100 virtual-ip 192.168.100.254 
[sw2-Vlanif100]vrrp vrid 100 track interface Gi 0/0/3
[sw2-Vlanif100]int vl 22
[sw2-Vlanif22]undo shutdown 
[sw2-Vlanif22]ip address 192.168.22.1 255.255.255.0
[sw2-Vlanif22]q

3.配置ASA防火墻
配置命令如下：

ciscoasa(config)# clear configure all
ciscoasa(config)# hostname ASA
ASA(config)# int g0
ASA(config-if)# nameif inside1
ASA(config-if)# security-level 100
ASA(config-if)# ip address 192.168.12.2 255.255.255.0
ASA(config-if)# no shutdwn
ASA(config-if)# int g1
ASA(config-if)# nameif inside2
ASA(config-if)# security-level 100
ASA(config-if)# ip address 192.168.22.2 255.255.255.0
ASA(config-if)# int g2
ASA(config-if)# nameif outside 
ASA(config-if)# security-level 0
ASA(config-if)# ip address 200.8.8.1 255.255.255.252
ASA(config-if)# no shutdown

ASA(config-if)# q
4. 配置路由器
配置命令如下：

<Huawei>sys
Enter system view, return user view with Ctrl+Z.
[Huawei]sysname Router
[Router]int gi 0/0/0    
[Router-GigabitEthernet0/0/0]undo shutdown 
Info: Interface GigabitEthernet0/0/0 is not shutdown.
[Router-GigabitEthernet0/0/0]ip address 200.8.8.2 255.255.255.252
[Router-GigabitEthernet0/0/0]int gi 0/0/1
[Router-GigabitEthernet0/0/1]undo shutdown 
Info: Interface GigabitEthernet0/0/1 is not shutdown.
[Router-GigabitEthernet0/0/1]ip address 200.9.9.254 255.255.255.0
[Router-GigabitEthernet0/0/1]q

-----

三、配置路由條目，由于此實(shí)驗(yàn)地址較少，這里配置靜態(tài)路由就可以了

Sw1：

[sw1]ip route-static 0.0.0.0 0.0.0.0 192.168.12.2

查看路由表：

Sw2：

[sw2]ip route-static 0.0.0.0 0.0.0.0 192.168.22.2

查看路由表：

ASA防火墻：

ASA(config)# route inside1 192.168.10.0 255.255.255.0 192.168.12.1
ASA(config)# route inside1 192.168.20.0 255.255.255.0 192.168.12.1
ASA(config)# route inside1 192.168.100.0 255.255.255.0 192.168.12.1
ASA(config)# route outside 0.0.0.0 0.0.0.0 200.8.8.2

這里我們用show route查看路由表：

Router：

[Router]ip route-static 119.1.1.0 255.255.255.0 200.8.8.1

查看路由表：

到這里，實(shí)驗(yàn)環(huán)境就算是搭建完成了

四、接下來配置內(nèi)網(wǎng)NAT訪問外網(wǎng)

1.首先開啟server2的http服務(wù)，主要操作是：選擇http服務(wù)，選擇網(wǎng)頁文件，開啟http服務(wù)，如圖所示：

2.其次配置NAT，模擬環(huán)境：公司現(xiàn)購買了119.1.1.0/29的公有地址，屬于vlan10，vlan20，vlan100的各使用一個，這里我運(yùn)用的是動態(tài)NAT，因?yàn)樵趯?shí)際工作中，每個vlan不可能只有一臺主機(jī)，接下來我們配置一下：
ASA(config)# object network vlan10

ASA(config-network-object)# subnet 192.168.10.0 255.255.255.0
ASA(config-network-object)# nat (inside1,outside) dynamic 119.1.1.1
ASA(config-network-object)# q
ASA(config)# object network vlan20
ASA(config-network-object)# subnet 192.168.20.0 255.255.255.0
ASA(config-network-object)# nat (inside1,outside) dynamic 119.1.1.2
ASA(config-network-object)# q
ASA(config)# object network vlan100 
ASA(config-network-object)# subnet 192.168.100.0 255.255.255.0
ASA(config-network-object)# nat (inside1,outside) dynamic 119.1.1.3
ASA(config-network-object)# q

這里用show xlat 查看xlat表：

再通過抓包查看，是否轉(zhuǎn)換成功（請看實(shí)驗(yàn)結(jié)果驗(yàn)證）

五、發(fā)布web服務(wù)器提供外網(wǎng)訪問

因?yàn)橥饩W(wǎng)屬于outside區(qū)域，安全級別要比inside1安全級別低，如果外網(wǎng)想要訪問內(nèi)網(wǎng)web，必須通過制定ACL才能通過防火墻進(jìn)行訪問，前面我們已經(jīng)做過NAT轉(zhuǎn)換了，NAT既可以實(shí)現(xiàn)私有地址對公網(wǎng)地址的轉(zhuǎn)換，也可以為外網(wǎng)提供WEB服務(wù)。
主要操作：
1.這里首先先開啟server1的HTTP服務(wù)

2.配置NAT
主要操作：配置NAT，這里配置的是靜態(tài)NAT 。
命令如下：

ASA(config)# object network gongwang 
ASA(config-network-object)# host 119.1.1.3
ASA(config-network-object)# exit
ASA(config)# object network web
ASA(config-network-object)# host 192.168.100.1       
ASA(config-network-object)# nat (inside1,outside) static gongwang service tcp 80 80
ASA(config-network-object)# exit   

3.配置ACL，允許外網(wǎng)流量通過防火墻對內(nèi)網(wǎng)WEB服務(wù)器進(jìn)行訪問
命令如下：
ASA(config)# object network isp
ASA(config-network-object)# host 200.9.9.1
ASA(config-network-object)# exit
ASA(config)# access-list fangwen permit tcp object isp object web eq http
ASA(config)# access-group fangwen in interface outside
訪問結(jié)果請看結(jié)果驗(yàn)證。

結(jié)果驗(yàn)證：

1. 內(nèi)網(wǎng)NAT訪問外網(wǎng)：


2.抓包分析地址轉(zhuǎn)換：

3.內(nèi)網(wǎng)提供WEB服務(wù)供外網(wǎng)訪問

4.抓包分析地址轉(zhuǎn)換

實(shí)驗(yàn)這里就算是結(jié)束了，在配置的過程中，小編對一個問題不是特別清晰，因此特別查閱了資料，下面給大家分享一下，當(dāng)然大家有什么更好地理解可以告訴小編，小編定當(dāng)感激不盡?。?！

模糊點(diǎn)：Nat轉(zhuǎn)換方式選擇時不是特別清楚

經(jīng)過查資料明白：
Dynamic NAT/PAT
場景一：
所有內(nèi)網(wǎng)流量訪問外網(wǎng)時都轉(zhuǎn)換為接口的公網(wǎng)地址，此環(huán)境適用于僅有一個公網(wǎng)地址的小型辦公室。
場景二
所有內(nèi)網(wǎng)流量訪問外網(wǎng)時都轉(zhuǎn)換為特定的公網(wǎng)地址，此環(huán)境適用于的小型辦公室或分支辦公室。
場景三
對于有大量公網(wǎng)地址用戶，常應(yīng)用在運(yùn)營商或者公司內(nèi)網(wǎng)
場景四
對于有大量公網(wǎng)地址用戶，常應(yīng)用在運(yùn)營商或者公司內(nèi)網(wǎng)，為防止地址用完可以配置一個PAT和interface (推薦)
Static NAT/PAT
場景五
內(nèi)網(wǎng)有郵件和Web服務(wù)器為遠(yuǎn)程辦公用戶提供訪問，此環(huán)境適用于HQ和分支辦公室
場景六
此環(huán)境用戶的需求比較復(fù)雜，客戶在低安全區(qū)域有很多提供業(yè)務(wù)服務(wù)的小型機(jī)，他需要隱藏被訪問的服務(wù)器地址，同時要求對外網(wǎng)server的訪問進(jìn)行Static方式一對一的映射。
場景七
對通過防火墻的業(yè)務(wù)流量，不更改源地址，也就是將源地址NAT自己，我們稱為identity NAT。