实验5 SecPath防火墙虚拟防火墙实验指导_第1页
实验5 SecPath防火墙虚拟防火墙实验指导_第2页
实验5 SecPath防火墙虚拟防火墙实验指导_第3页
实验5 SecPath防火墙虚拟防火墙实验指导_第4页
实验5 SecPath防火墙虚拟防火墙实验指导_第5页
已阅读5页,还剩17页未读 继续免费阅读

付费下载

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1、实验 5 SecPath 防火墙虚拟防火墙实验指导- 1 -实验实验 5 SecPath 防火墙虚拟防火墙实验指导防火墙虚拟防火墙实验指导5.1 实验内容与目标实验内容与目标完成本实验,您应该能够:了解虚拟防火墙的基本原理掌握虚拟防火墙的基本配置5.2 实验组网图实验组网图图 5-1 实验组网实验组网 0: SecPath F1000-E 防火墙的 GE0/2 和 GE0/3 工作在路由模式,IP 地址分别是 20.0.0.1/24 和 30.0.0.1/24,GE0/2 属于虚拟防火墙 VF_1,GE0/3 属于虚拟防火墙VF_2,GE0/1 保持在 Root 防火墙不变,S5500 交换机

2、 G1/0/1 和防火墙相连,服务器属于VLAN 100,IP 地址 100.0.0.2,网关在 S5500 交换机上,防火墙配置虚拟防火墙功能,将PC1 和 PC2 的业务隔离开,但是又都能访问服务器。实验 5 SecPath 防火墙虚拟防火墙实验指导- 2 -图 5-2 实验组网实验组网 0: SecPath F1000-E 防火墙的 GE0/2 和 GE0/3 工作在路由模式, IP 地址分别是 20.0.0.1/24 和 30.0.0.1/24,GE0/1 工作在二层模式,通过 VLAN 虚接口和交换机互联,GE0/2 和 Vlan-interface20 属于虚拟防火墙 VF_1,G

3、E0/3 和 Vlan-interface30 属于虚拟防火墙 VF_2,服务器属于 VLAN 100,IP 地址 100.0.0.2,网关在 S5500 交换机上,防火墙配置虚拟防火墙功能,VF_1 运行 OSPF 路由协议和交换机互通,VF_2 配置静态路由,将 PC1和 PC2 的业务以及路由隔离开,同时又能访问服务器。5.3 背景需求背景需求虚拟设备就是将一个物理防火墙划分为多个逻辑防火墙来使用,防火墙部署在用户或者服务器前端,通过虚拟防火墙功能把不同用户或者不同业务隔离开来。5.4 实验设备实验设备和器材和器材本实验所需之主要设备器材如 0 所示。表 5-1 实验设备和器材名称和型号

4、版本数量描述SecPath F1000-ECMW F3169P071S5500CMW R22081PCWindows XP SP22服务器Windows Server1可以用普通PC模拟实验 5 SecPath 防火墙虚拟防火墙实验指导- 3 -第5类UTP以太网连接线-25.5 实验过程实验过程实验任务一:基本网络配置步骤一:交换机基本配置交换机命令行配置如下: #vlan 10#vlan 100#interface Vlan-interface10 ip address 10.0.0.2 255.255.255.0#interface Vlan-interface100 ip addres

5、s 100.0.0.1 255.255.255.0#interface GigabitEthernet1/0/1 port access vlan 10#interface GigabitEthernet1/0/2 port access vlan 100# ip route-static 0.0.0.0 0.0.0.0 10.0.0.1#步骤二:防火墙接口地址和路由配置防火墙命令行配置如下: #interface GigabitEthernet0/1 port link-mode route ip address 10.0.0.1 255.255.255.0#interface Gigabi

6、tEthernet0/2 port link-mode route ip address 192.168.2.1 255.255.255.0#interface GigabitEthernet0/3 port link-mode route ip address 192.168.3.1 255.255.255.0# ip route-static 0.0.0.0 0.0.0.0 10.0.0.2#实验任务二:虚拟防火墙基本配置步骤一:创建虚拟设备进入防火墙 WEB 管理界面后,单击“设备管理 虚拟设备管理虚拟设备配置” 。 单击“新建”按钮创建两个虚拟设备。实验 5 SecPath 防火墙虚拟

7、防火墙实验指导- 4 -步骤二:给虚拟防火墙分配接口和 VLAN进入 Root 防火墙 WEB 管理界面,单击“设备管理 虚拟设备管理接口成员”页面,把 GE0/2 分配给 VF_1 防火墙,GE0/3 分配给 VF_2 防火墙,其它接口保持不变,仍然属于Root 防火墙。进入 Root 防火墙 WEB 管理界面,单击“设备管理 虚拟设备管理VLAN 成员”页面,把 VLAN 20 分给虚拟防火墙 VF_1,VLAN 30 分给虚拟防火墙 VF_2。实验 5 SecPath 防火墙虚拟防火墙实验指导- 5 -步骤三:登录虚拟防火墙进入防火墙 WEB 管理界面,单击“设备管理 虚拟设备管理虚拟设

8、备选择” 。 选中“VF_1” 实验任务三:同一虚拟防火墙域间策略配置步骤一:创建安全区域新建的虚拟设备没有缺省的安全区域,全部需要手工配置。进入防火墙 WEB 管理界面后,单击“防火墙 安全区域” ,单击“新建”按钮,创建安全区域。再创建 Untrust 区域:实验 5 SecPath 防火墙虚拟防火墙实验指导- 6 -步骤二:接口加入安全区域进入防火墙 WEB 管理界面,单击“设备管理安全域” ,编辑安全区域,把 GE0/2 加入VF_1_Trust 区域。 同样的方法把 GE0/1 加入 VF_1_Untrust 区域。实验 5 SecPath 防火墙虚拟防火墙实验指导- 7 -步骤三:

9、配置同一虚拟防火墙的域间策略进入“防火墙安全策略域间策略”页面,单击“新建”按钮创建 VF_1_Untrust 到VF_1_Trust 区域的域间策略。步骤四:查看实验结果在 PC1 上可以 ping 通 Server:C:Documents and Settingsz07119ping 100.0.0.2Pinging 100.0.0.2 with 32 bytes of data:实验 5 SecPath 防火墙虚拟防火墙实验指导- 8 -Reply from 100.0.0.2: bytes=32 time=12ms TTL=126Reply from 100.0.0.2: bytes=

10、32 time1ms TTL=126Reply from 100.0.0.2: bytes=32 time1ms TTL=126Reply from 100.0.0.2: bytes=32 timeping 192.168.2.2Pinging 192.168.2.2 with 32 bytes of data:Reply from 192.168.2.2: bytes=32 time=17ms TTL=126Reply from 192.168.2.2: bytes=32 time1ms TTL=126Reply from 192.168.2.2: bytes=32 time1ms TTL=

11、126Reply from 192.168.2.2: bytes=32 time 安全区域”页面,编辑安全区域,共享属性设置成 YES。实验 5 SecPath 防火墙虚拟防火墙实验指导- 10 -步骤三:配置域间策略如果需要限制 VF_2 到 VF_1 共享区域的访问,可以配置域间策略实现。进入 VF_2 防火墙 web 管理页面,在“防火墙 安全策略 域间策略”页面,配置VF_2_Trust 到 VF_1_Untrust 区域的域间策略禁止 PC2 访问 Server。实验 5 SecPath 防火墙虚拟防火墙实验指导- 11 -步骤四:查看实验结果1.VF_1 的 VF_1_Trust

12、区域没有配置共享区域,所以 PC2 不能 ping 通 PC1:C:Documents and Settingsz07119ping 192.168.2.2Pinging 192.168.2.2 with 32 bytes of data:Request timed out.Request timed out.Request timed out.Request timed out.Ping statistics for 192.168.2.2:Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),2.VF_1 的 VF_1_Untrust

13、被设置成共享区域,所以 PC2 可以 ping 通 Server:C:Documents and Settingsz07119ping 100.0.0.2Pinging 100.0.0.2 with 32 bytes of data:Reply from 100.0.0.2: bytes=32 time=19ms TTL=126Reply from 100.0.0.2: bytes=32 time1ms TTL=126Reply from 100.0.0.2: bytes=32 time1ms TTL=126Reply from 100.0.0.2: bytes=32 timeping 100

14、.0.0.2Pinging 100.0.0.2 with 32 bytes of data:Request timed out.Request timed out.Request timed out.Request timed out.Ping statistics for 100.0.0.2: Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),实验 5 SecPath 防火墙虚拟防火墙实验指导- 12 -实验任务五:虚拟防火墙和 VPN 多实例配置前面的实验各个虚拟防火墙在安全层面实现了虚拟化,一台设备被虚拟成两台,但是这两台设备共享

15、一个全局的路由表,通过和 VPN 多实例的配合可以实现不同虚拟防火墙之间路由的隔离,达到真正意义上的虚拟防火墙。本实验在防火墙上创建两个虚拟防火墙,VF_1 运行OSPF 路由,VF_2 配置静态路由和对端互联实验组网如 0 所示步骤一:交换机配置网络拓扑不变,防火墙和交换机通 VLAN 虚接口实现三层互联,具体配置如下:#vlan 20#vlan 30#vlan 100#interface Vlan-interface20 ip address 20.0.0.2 255.255.255.0#interface Vlan-interface30 ip address 30.0.0.2 255.

16、255.255.0#interface Vlan-interface100 ip address 100.0.0.1 255.255.255.0#interface GigabitEthernet1/0/1 port link-mode bridge port link-type trunk port trunk permit vlan 1 20 30#interface GigabitEthernet1/0/2 port link-mode bridge port access vlan 100#ospf 1 area 0.0.0.0 network 20.0.0.0 0.0.0.255 n

17、etwork 100.0.0.0 0.0.0.255# ip route-static 192.168.3.0 255.255.255.0 30.0.0.1#步骤二:防火墙命令行配置#ip vpn-instance VF_1 route-distinguisher 100:1#ip vpn-instance VF_2 route-distinguisher 200:1#vlan 20 #vlan 30#interface Vlan-interface20 ip binding vpn-instance VF_1 ip address 20.0.0.1 255.255.255.0#interfa

18、ce Vlan-interface30实验 5 SecPath 防火墙虚拟防火墙实验指导- 13 - ip binding vpn-instance VF_2 ip address 30.0.0.1 255.255.255.0#interface GigabitEthernet0/2 port link-mode route ip binding vpn-instance VF_1 ip address 192.168.2.1 255.255.255.0#interface GigabitEthernet0/3 port link-mode route ip binding vpn-insta

19、nce VF_2 ip address 192.168.3.1 255.255.255.0#interface GigabitEthernet0/1 port link-mode bridge port link-type trunk port trunk permit vlan 1 20 30#ospf 1 vpn-instance VF_1 area 0.0.0.0 network 192.168.2.0 0.0.0.255 network 20.0.0.0 0.0.0.255# ip route-static vpn-instance VF_2 100.0.0.0 255.255.255

20、.0 30.0.0.2#步骤三:防火墙 WEB 页面配置进入防火墙 WEB 管理界面后,单击“设备管理 虚拟设备管理虚拟设备配置” 。 单击“新建”按钮创建两个虚拟设备。进入 Root 防火墙 WEB 管理界面,单击“设备管理 虚拟设备管理接口成员”页面,把 GE0/2、VLAN20 以及 Vlan-interface20 分配给 VF_1 防火墙,GE0/3、VLAN30 以及Vlan-interface30 分配给 VF_2 防火墙,其它接口保持不变,仍然属于 Root 防火墙。实验 5 SecPath 防火墙虚拟防火墙实验指导- 14 -进入防火墙 WEB 管理界面,单击“设备管理 虚拟

21、设备管理虚拟设备选择” 。 选中“VF_1” 单击“防火墙 安全区域” ,单击“新建”按钮,创建安全区域。实验 5 SecPath 防火墙虚拟防火墙实验指导- 15 -再创建 Untrust 区域:把 GE0/2 加入 VF_1_Trust 区域,Vlan-interface20 和 GE0/1 的 VLAN20 加入VF_1_Untrust 区域。实验 5 SecPath 防火墙虚拟防火墙实验指导- 16 -实验 5 SecPath 防火墙虚拟防火墙实验指导- 17 -进入 VF_1 虚拟防火墙 web 页面,单击“防火墙安全策略域间策略” ,单击“新建”按钮创建 VF_1_Untrust

22、到 VF_1_Trust 区域的域间策略。同样的方式,进入 VF_2 虚拟防火墙,创建 VF_2_Trust 区域和 VF_2_Untrust 区域,然后把 GE0/3 加入 VF_2_Trust 区域,Vlan-interface30 和 GE0/1 的 VLAN30 加入VF_2_Untrust 区域。实验 5 SecPath 防火墙虚拟防火墙实验指导- 18 -实验 5 SecPath 防火墙虚拟防火墙实验指导- 19 -然后再创建 VF_2_Utrust 到 VF_2_Trust 的域间策略。步骤四:查看实验结果1.配置完成 VF_1 以及 OSPF 以后,VF_1 能学到 100.0

23、.0.0/24 的路由,S5500 能学到192.168.2.0/24 的路由,PC1 可以 ping 通 Server,但是 Server ping 不通 PC1。FW-1dis ip routing-table vpn-instance VF_1Routing Tables: VF_1 Destinations : 7 Routes : 7Destination/Mask Proto Pre Cost NextHop Interface20.0.0.0/24 Direct 0 0 20.0.0.1 Vlan2020.0.0.1/32 Direct 0 0 127.0.0.1 InLoop0

24、100.0.0.0/24 OSPF 10 2 20.0.0.2 Vlan20127.0.0.0/8 Direct 0 0 127.0.0.1 InLoop0127.0.0.1/32 Direct 0 0 127.0.0.1 InLoop0实验 5 SecPath 防火墙虚拟防火墙实验指导- 20 -192.168.2.0/24 Direct 0 0 192.168.2.1 GE0/2192.168.2.1/32 Direct 0 0 127.0.0.1 InLoop0S5500display ip routing-table Routing Tables: Public Destination

25、s : 10 Routes : 10Destination/Mask Proto Pre Cost NextHop Interface20.0.0.0/24 Direct 0 0 20.0.0.2 Vlan2020.0.0.2/32 Direct 0 0 127.0.0.1 InLoop030.0.0.0/24 Direct 0 0 30.0.0.2 Vlan3030.0.0.2/32 Direct 0 0 127.0.0.1 InLoop0100.0.0.0/24 Direct 0 0 100.0.0.1 Vlan100100.0.0.1/32 Direct 0 0 127.0.0.1 In

26、Loop0127.0.0.0/8 Direct 0 0 127.0.0.1 InLoop0127.0.0.1/32 Direct 0 0 127.0.0.1 InLoop0192.168.2.0/24 OSPF 10 2 20.0.0.1 Vlan20192.168.3.0/24 Static 60 0 30.0.0.1 Vlan30C:Documents and Settingsz07119ping 100.0.0.2Pinging 100.0.0.2 with 32 bytes of data:Reply from 100.0.0.2: bytes=32 time=21ms TTL=126

27、Reply from 100.0.0.2: bytes=32 time=1ms TTL=126Reply from 100.0.0.2: bytes=32 timeping 192.168.2.2Pinging 192.168.2.2 with 32 bytes of data:Request timed out.Request timed out.Request timed out.Request timed out.Ping statistics for 192.168.2.2: Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),2

28、.配置 VF_1_Untrust 到 VF_1_Trust 的域间策略以后,Server 能 ping 通 PC1。C:Documents and Settingszhaiyunboping 192.168.2.2Pinging 192.168.2.2 with 32 bytes of data:Reply from 192.168.2.2: bytes=32 time=30ms TTL=126Reply from 192.168.2.2: bytes=32 time=1ms TTL=126Reply from 192.168.2.2: bytes=32 time1ms TTL=126Repl

29、y from 192.168.2.2: bytes=32 timeping 100.0.0.2Pinging 100.0.0.2 with 32 bytes of data:Reply from 100.0.0.2: bytes=32 time=14ms TTL=126Reply from 100.0.0.2: bytes=32 time1ms TTL=126Reply from 100.0.0.2: bytes=32 time1ms TTL=126Reply from 100.0.0.2: bytes=32 timeping 192.168.3.2Pinging 192.168.3.2 wi

30、th 32 bytes of data:Request timed out.Request timed out.Request timed out.Request timed out.Ping statistics for 192.168.3.2: Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),4.配置 VF_2_Untrust 到 VF_2_Trust 的域间策略以后,Server 能 ping 通 PC2。C:Documents and Settingszhaiyunboping 192.168.3.2Pinging 192.168.3.2 with

人人文库> 全部分类> 教育资料 > 课设设计

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

最新文档

评论

0/150

提交评论