防火墙路由模式和NAT配置.docx

应用场景：在网络的边界，如出口区域，在内网和外网之间增加防火墙设备，采用路由模式对局域网的整网进行保护。路由模式一般不单独使用，一般会有以下功能的配合，如在内外网之间配置灵活的安全策略，或者是进行NAT内网地址转换。功能原理：简介 路由模式指的是交换机和防火墙卡之间采用互为下一跳指路由的方式通信优点 能够支持三层网络设备的多种功能，NAT、动态路由、策略路由、VRRP等 能够通过VRRP多组的方式实现多张防火墙卡的冗余和负载分担缺点 不能转发IPv6和组播包 部署到已实施网络中需要重新改动原有地址和路由规划一、组网要求1、在网络出口位置部署防火墙卡，插在核心交换机的3号槽位，通过防火墙卡区分内外网，外网接口有两个ISP出口；2、在防火墙上做NAT配置，内网用户上外网使用私有地址段；二、组网拓扑三、配置要点要点1，配置防火墙 创建互联的三层接口，并指定IP地址 配置动态路由或静态路由 创建作为NAT Outside的VLAN接口并指定IP 配置NAT转换关系 配置NAT日志要点2，配置交换机 创建连接NAT Outside线路的VLAN并指定物理接口 创建互联到防火墙的三层接口 通过互联到防火墙的三层接口配置动态路由或静态路由四、配置步骤注意：步骤一、将交换机按照客户的业务需要配置完成，并将防火墙卡和交换机联通,并对防火墙卡进行初始化配置。1）配置防火墙模块与PC的连通性：配置防火墙卡和交换机互联端口，可以用于防火墙的管理。Firewallenable -进入特权模式Firewall#configure terminal -进入全局配置模式Firewall(config)#interface vlan 4000 -进入vlan 4000接口FW1(config-if-Vlan 4000)#ip address 52-为vlan 4000接口上互联IP地址 Firewall(config-if)#exit -退回到全局配置模式Firewall(config)#firewall default-policy-permit - 10.3（4b5）系列版本的命令ip session acl-filter-default-permit ，10.3（4b6）命令变更为 firewall default-policy-permit 防火墙接口下没有应用ACL时或配置的ACL在最后没有Permit any则默认会丢弃所有包，配置以下命令可修改为默认转发所有包2）防火墙配置路由模式，交换机与防火墙联通配置。交换机与防火墙卡是通过设备内部的两个万兆口互联，在插入防火墙模块后，交换机在FW所在槽位生成两个万兆端口，以下以防火墙卡接在核心交换机6槽。在交换机上配置将交换机与防火墙互联的接口进行聚合，并设置为trunk模式，设定允许VLAN。以6槽位的一个防火墙卡为例:Ruijieenable-进入特权模式Ruijie#configure terminal -进入全局配置模式Ruijie(config)#vlan 4094-配置一个冗余的VLANRuijie(config)#interface range tenGigabitEthernet 6/1,6/2-配置交换机于防火墙互联的万兆6/1，6/2端口Ruijie(config-if-range)#port-group 2-配置互联端口为聚合口，聚合口端口号为2Ruijie(config-if-range)#interface aggregateport 2-进入聚合口配置模式Ruijie(config-if-AggregatePort 2)#switchport mode trunk -配置聚合口的属性为trunk模式；Ruijie(config-if-AggregatePort 2)#switchport trunk native vlan 4094-将防火墙与交换机互联端口的native vlan设置为非管理VLAN，由于防火墙通过VLANtag来进行桥接互联，如果从交换机发给防火墙的报文不带tag将会被丢弃，所以为了保证管理VLAN和防火墙的胡同，必须设置管理vlan为非native vlan；Ruijie(config-if-AggregatePort 2)#end -退出到特权模式Ruijie#configure terminal Ruijie(config)#vlan 4000 -进入创建交换机和防火墙互联vlan 4000Ruijie(config)#interface vlan 4000-进入vlan 4000接口Ruijie(config-vlan)#exitRuijie(config-if)#ip address 52 -为交换机vlan 4000接口上设置管理ip Ruijie(config-if-Vlan 4000)# ip ospf network point-to-pointRuijie#write -确认配置正确，保存配置此时核心交换机可以ping通防火墙互联地址。3）在交换机上配置其他的接口信息，以及OSFP能够和防火墙进行动态路由学习。Ruijie(config)#router ospf 1-配置交换机和防火墙之间的路由协议Ruijie(config-router)# network area 0Ruijie(config-router)# redistribute connected metric-type 1 subnetsRuijie(config-router)# redistribute static metric-type 1 subnetsRuijie(config-router)# endRuijie#write 4）按照防火墙卡的基本配置，进行防火墙的初始化配置，确保防火墙能够正常的远程管理及默认参数优化。详细参考：典型功能配置-防火墙基础配置-基础配置脚本命令脚本（以下命令脚本，对黄色背景的区域根据需要进行修订）：config terminalhostname FWenable service web-server httpenable service web-server httpsenable service ssh-serverip http authentication localip http port 80service password-encryptionusername admin password adminusername admin privilege 15line vty 0 4login localexitclock timezone Beijing +8ntp server 8ntp update-calendarendconfig terlogging file flash:syslog 7 logging file flash:syslog 131072 logging buffered 131072 logging userinfo logging userinfo command-log logging server service sysname service sequence-numbers service timestamps snmp-server group group1 v3 priv read default write default snmp-server user admin group1 v3 auth md5 ruijie priv des56 ruijie123 snmp-server host traps version 3 priv admin snmp-server enable traps firewall default-policy-permit end wr步骤二、配置防火墙为路由模式，并配置相关策略,包括对防火墙进行接口地址，路由以及NAT的配置。FW(config)#interface Vlan 4000-进入防火墙卡内连到交换机的VLAN。FW(config-if-Vlan 4000)# ip address 52 -配置防火墙和内网交换机互联的接口地址FW(config-if-Vlan 4000)# ip ospf network point-to-point-配置为OSPF点对点接口,无需DR BDR选举,有助于加快网络收敛速度FW(config-if-Vlan 4000)# ip nat inside-配置NAT Inside接口，在防火墙初始化时已经配置了接口地址。FW(config-if-Vlan 4000)# description ROUTE-TO-S86FW(config-if-Vlan 4000)#interface Vlan 4001-进入防火墙卡链接ISP1的SVI接口。FW(config-if-Vlan 4001)# ip address 7 52-为外网SVI接口配置IP地址。这里用的是模拟的IP地址，根据实际情况设置。FW(config-if-Vlan 4001)# ip nat outside-配置NAT Outside接口FW(config-if-Vlan 4001)#interface Vlan 4002-进入防火墙卡链接ISP2的SVI接口。FW(config-if-Vlan 4002)# ip address 8 52-为外网SVI接口配置IP地址。这里用的是模拟的IP地址，根据实际情况设置FW(config-if-Vlan 4001)# ip nat outside-配置NAT Outside接口FW(config)#router ospf 1-配置防火墙和交换机之间的路由协议FW(config-router)# network area 0FW(config-router)# redistribute connected metric-type 1 subnetsFW(config-router)# redistribute static metric-type 1 subnetsFW(config-router)# default-information originate metric-type 1FW(config)#ip nat pool global prefix-length 24-配置NAT地址池，地址池命名为global，将公网IP放入地址池进行Overload轮转FW(config-ipnat-pool)#address 0 0 match interface Vlan 4001FW(config-ipnat-pool)#address 0 0 match interface Vlan 4002FW(config)#access-list 1 permit any-配置NAT触发规则,通常为Permit anyFW(config)# ip nat inside source list 1 pool global overload-配置内部源地址的动态转换关系FW(config)#ip route Vlan 4001 1-配置默认路由指向出口下一跳，且VLAN 4001的管理距离为1，该默认路由更优FW(config)#ip route Vlan 4002 2-配置默认路由指向出口下一跳，且VLAN 4002的管理距离为2，该默认路由次优FW(config)#ip route -配置到ISP1即VLAN4001出口的明细路由，根据实际路由需要进行添加。.FW(config)#ip route -配置到ISP2即VLAN4001出口的明细路由，根据实际路由需要进行添加。.FW(config)#rlog server 01-(可选)配置NAT日志接收服务器FW(config)#ip session logFW(config)#firewall default-policy-permit-防火墙接口下没有ACL时或配置的ACL在最后没有Permit any则默认会丢弃所有包，配置以下命令可修改为默认转发所有包步骤三、配置交换机的出口VLAN、指定接口，并对交换机互联防火墙的接口做VLAN裁剪。Ruijie(config)#vlan range 1001,2001,4000-4002-在核心交换机创建出口、用户二层VLANRuijie(config-vlan-range)#exitRuijie(config)#int gi 8/1-为在核心交换机上链接出口的物理端口配置VLAN属性，ISP1Ruijie(config-if-GigabitEthernet 8/1)# switchport access vlan 4001Ruijie