作者:网络之路一天  首发公众号:网络之路博客(ID:NetworkBlog)

案例二:防火墙充当三层交换机与路由器角色功能进行组网

实战案例(2+3)防火墙+二三层交换机VLAN组网_安全策略

拿到这样的拓扑后,首先要了解好客户的需求,然后根据需求进行划分

实战案例(2+3)防火墙+二三层交换机VLAN组网_外网_02



比如客户那边有监控跟办公网络,可以通过VLAN划分不同的区域,然后二层交换机对接终端的口划入到对应的VLAN,与防火墙的口配置成Trunk,防火墙上面创建VLANIF以及安全策略、NAT策略,最后对接外网。


采用正常配置模式的步骤与思路

(1)确认好内外网接口,然后根据规划来对接口进行配置(外网采用什么方式对接,内网采用什么方式对接)

比如这个拓扑外网采用DHCP,内网需要把G1/0/0切换成二层口配置trunk允许VLAN 2跟3通过,并且配置VLANIF2与3的网关地址,根据实际规划加入到不同的安全区域(也可以在同一个安全区域,建议是不同安全其余,方便做策略控制。)

(2)根据需求开办公网的DHCP(监控一般不开)

(3)安全策略,根据客户实际需求来决定,办公网是否允许访问监控网,或者只允许办公网某个主机访问,以及办公网跟监控网都需要上网做策略方向,最后建议做一个防火墙到任何区域都可以通的安全策略,方便排错。

(4)NAT策略,根据客户需求来允许对应的安全区域上网。

(5)二层交换机的配置有几个部分:1、创建对应VLAN 2、确定好上行口与对接办公跟监控的口,上行口配置trunk允许vlan 2 3通过,对接办公的划入到VLAN2,对接监控的划分到VLAN3,建议开快速端口。


命令行相关流程展示

#
vlan batch 2 to 3
#
dhcp enable
#
interface
GigabitEthernet1/0/1
undo shutdown
ip address dhcp-alloc
#
interface
GigabitEthernet1/0/0
portswitch
undo shutdown
port link-type trunk
port trunk allow-pass vlan 2 to 3
#
interface Vlanif2
ip address 192.168.102.254 255.255.255.0
alias office
service-manage http permit
service-manage https permit
service-manage ping permit
service-manage ssh permit
service-manage telnet permit
dhcp select interface
dhcp server ip-range 192.168.102.1
192.168.102.254
dhcp server gateway-list 192.168.102.254
dhcp server static-bind ip-address
192.168.102.250 mac-address 5489-986a-21fb
dhcp server dns-list 223.5.5.5 114.114.114.114
#
interface Vlanif3
ip address 192.168.103.254 255.255.255.0
alias jiankong
service-manage http permit
service-manage https permit
service-manage ping permit
service-manage ssh permit
service-manage telnet permit
#
firewall zone name
office id 4
set priority 66
add interface Vlanif2
#                                         
firewall zone name
jiankong id 5
set priority 49
add interface Vlanif3
#
firewall zone untrust
set priority 5
add interface GigabitEthernet1/0/1
#
#
ip address-set 允许访问监控
type object
address 0 192.168.102.250 mask 32
#
ip address-set 允许上网
type object
address 0 192.168.102.0 mask 24
address 1 192.168.103.0 mask 24
#
security-policy
rule name office_jiankong
 source-zone office
 destination-zone jiankong
 source-address address-set 允许访问监控
 action permit
rule name 允许上网
 source-zone jiankong
 source-zone office
 destination-zone untrust                
 source-address address-set 允许上网
 action permit
rule name local_any
 source-zone local
 action permit
#
nat-policy
rule name 允许上网
 source-zone jiankong
 source-zone office
 destination-zone untrust
 action source-nat easy-ip

(1)创建对应需要的VLAN,以及开DHCP服务(VLAN如果内网是对接的二层口则必须)

(2)把对应的接口按规划进行配置,包括DHCP、对接外网的方式以及内网的方式

(3)创建新的安全区域(如果需要的话)并且把接口加入到安全区域里面来

(4)配置安全策略

(5)配置NAT策略


交换机的配置

#

vlan batch 2 to 3
#
interface Vlanif1
#
interface MEth0/0/1
#
interface Ethernet0/0/1
port link-type access
port default vlan 2
stp edged-port enable
#
interface Ethernet0/0/2
port link-type access
port default vlan 2
stp edged-port enable
#
interface Ethernet0/0/3
port link-type access
port default vlan 2
stp edged-port enable
#
interface Ethernet0/0/4
port link-type access
port default vlan 2
stp edged-port enable
#                                         
interface Ethernet0/0/5
port link-type access
port default vlan 3
stp edged-port enable
#
interface Ethernet0/0/6
port link-type access
port default vlan 3
stp edged-port enable
#
interface Ethernet0/0/7
port link-type access
port default vlan 3
stp edged-port enable
#
interface Ethernet0/0/8
port link-type access
port default vlan 3
stp edged-port enable


#                                         
interface
GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 2 to 3

#

容易忽略以及出现的问题总结

(1)外网对接这一块,如果是DHCP方式对接(内网建议不要使用192.168.0.0/1.0/31.0这些),可以使用10.X.X.X或者172.16开头以及192.168.100往后,避免跟外网分配的网段冲突

(2)外网对接如果是PPPOE或者是固定IP,一定要写默认路由,这个是容易被忽略,如果是PPPOE拨号,注意修改下MTU跟MSS

(3)内网DHCP服务器配置的时候,注意网关 以及分配范围(是否需要保留一些地址给打印机跟服务器)以及DNS,如果有需要某个客户端要固定某个IP地址,可以进行静态绑定,这样不管怎么分配客户端的地址都是这个,方便做策略。

(4)安全策略这一块只要注意源目区域跟源地址条件是否正常匹配就行

(5)NAT策略这一块建议配置使用源目区域,不要使用接口形式


排错的思路

如果内外网都配置好,安全策略以及NAT策略也配置好后,客户端上不了网

(1)从内外网检测,查看内外网是否配置正常,正常的情况下,可以建立一个安全策略 从Local到any,然后在诊断里面ping外网,看外网是否通,先确保外网线路没有问题。如果外网通,那么说明线路没问题,如果外网不通,则检查线路。

(2)如果涉及到了VLAN以及trunk的配置,一定要检查好对应接口的模式跟允许VLAN通过是否正确。

(3)当检测外网没问题后,检查内网的客户端的IP、网关、掩码、DNS是否正确,并且ping防火墙是否通(防火墙记得开ping功能),通的情况下说明内网到防火墙之间的链路是没有问题的,接下来从会话表下手。

(4)可以长ping对方,然后看防火墙的会话表是否有该主机的会话,没有则检测安全策略是否正确,如果有的话,查看会话表的内容是否正常(从是否转换了源地址,以及匹配了哪个安全策略。正反向数据包是否有统计观察)

(5)如果没有发现源地址,可以从NAT策略下手排查。

(6)整个里面容易出现的点 外网对接的时候默认路由忘记写,其次就是NAT跟安全策略这块,包括防火墙与二层交换机之间对接可能会由于疏忽导致VLAN放行不正确。


案例三:防火墙+三层交换机组网方式(网关都在三层交换机上面)

实战案例(2+3)防火墙+二三层交换机VLAN组网_内网_03


采用正常配置模式的步骤与思路

(1)内网部署方面,三层交换机(核心)对接办公网的交换机两种方式 1、直接三层交换机接二层的划入到VLAN2,这样下面的都属于VLAN2 2、配置trunk,然后下面的二层交换机在划分VLAN,这种比较推荐,可以配置管理地址,方便后续管理

(2)三层交换机(核心)对接服务器监控网络必须是trunk,然后下面二层交换机在划分各自VLAN,并且配置管理网段

(3)三层交换机对接防火墙可以单独的建立一个对接网段或者直接用管理网段对接,不推荐使用业务网段对接。

(4)防火墙确定好内外网接口,划分好安全区域、做好安全策略与NAT。

(5)注意三层交换机与防火墙之间的路由,并且接入交换机接终端的口配置成边缘端口

(6)建议配置Telnet或者SSH,方便后续远程管理配置与维护。(这也是起管理网段的作用。)需要注意的是接入交换机一定要写默认路由到核心或者(防火墙)


防火墙命令行相关流程展示

1、配置对应接口并且接入安全区域

interface
GigabitEthernet1/0/0
undo shutdown
ip address 192.168.200.1 255.255.255.0
service-manage http permit
service-manage https permit
service-manage ping permit
service-manage ssh permit
service-manage snmp permit
service-manage telnet permit
#
interface
GigabitEthernet1/0/1            
undo shutdown
ip address dhcp-alloc
#
firewall zone trust
set priority 85
add interface GigabitEthernet0/0/0
add interface GigabitEthernet1/0/0
#
firewall zone untrust
set priority 5
add interface GigabitEthernet1/0/1
#

2、配置安全策略与NAT策略

ip address-set 允许上网
type object
address 0 192.168.20.0 mask 24
address 1 192.168.30.0 mask 24
address 2 192.168.40.0 mask 24
#
security-policy
rule name 允许上网
 source-zone trust
 destination-zone untrust
 source-address address-set 允许上网
 action permit
rule name Local_any
 source-zone local
 action permit
#
nat-policy
rule name 允许上网
 source-zone trust
 destination-zone untrust
 source-address address-set 允许上网
 action source-nat easy-ip               
#

3、写回程路由

#
ip route-static
192.168.20.0 255.255.255.0 192.168.200.2
ip route-static
192.168.30.0 255.255.255.0 192.168.200.2
ip route-static
192.168.40.0 255.255.255.0 192.168.200.2
#

4、管理相关

#
lldp enable
#
Telnet
server enable
#
Aaa
manager-user admin
 service-type web terminal telnet ssh
#
user-interface vty 0 4
authentication-mode aaa

三层命令行相关流程展示

1、创建对应VLAN,并且配置对接防火墙的口

#
vlan batch 2 to 4 200
#
interface Vlanif200
ip address 192.168.200.2 255.255.255.0
#     
interface
GigabitEthernet0/0/3
port link-type access
port default vlan 200
#(建议配置完后ping下防火墙是否对接成功)

2、创建业务VLAN相关并且开启需要DHCP的网段

#
dhcp enable
interface Vlanif2
description office
ip address 192.168.20.254 255.255.255.0
dhcp select interface
dhcp server excluded-ip-address 192.168.20.88
dhcp server dns-list 223.5.5.5 114.114.114.114
#
interface Vlanif3
description server
ip address 192.168.30.254 255.255.255.0
#
interface Vlanif4
description jiankong
ip address 192.168.40.254 255.255.255.0
#

3、写默认路由(容易倍忽略的点)

#
ip route-static 0.0.0.0 0.0.0.0 192.168.200.1

4、对接下面二层交换机的口

#
interface
GigabitEthernet0/0/1
description to_office_SW
port link-type trunk
port trunk allow-pass vlan 2 200
#
interface
GigabitEthernet0/0/2
description to_Server_jk_SW
port link-type trunk
port trunk allow-pass vlan 3 to 4 200

5、管理相关的

#
sysname S5700-Core
#
lldp enable
#
Telnet
server enable
#
aaa
local-user
admin password simple admin (模拟器版本老所以可以配置简单密码,实际中是大小写,而且第一次进去要求改密码)
local-user admin privilege level 15
local-user admin service-type telnet terminal http
#
user-interface vty 0 4
authentication-mode aaa                  
protocol inbound all

办公二层命令行相关流程展示

1、创建对应VLAN与接口划分

#
vlan batch 2 200
#
#
interface Ethernet0/0/1
port link-type access
port default vlan 2
stp edged-port enable
#
interface Ethernet0/0/2
port link-type access
port default vlan 2
stp edged-port enable
#
interface
GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 2 200

2、配置管理相关

#
lldp enable
#
telnet server  enable
#
sysname office_access
#
interface Vlanif200
ip address 192.168.200.3 255.255.255.0
#
ip route-static 0.0.0.0 0.0.0.0 192.168.200.2
#
aaa
local-user
admin password simple admin (模拟器版本老所以可以配置简单密码,实际中是大小写,而且第一次进去要求改密码)
local-user admin privilege level 15
local-user admin service-type telnet terminal http
#
user-interface vty 0 4
authentication-mode aaa                  
protocol inbound all

服务器与监控二层命令行相关流程展示

1、创建对应VLAN与接口划分

vlan batch 3 to 4 200
#
interface Ethernet0/0/1
port link-type access
port default vlan 3
stp edged-port enable
#
interface Ethernet0/0/2 
port link-type access
port default vlan 4
stp edged-port enable
#
interface GigabitEthernet0/0/2
port link-type trunk
port trunk allow-pass vlan 3 to 4 200
#

2、管理相关

#
lldp enable
#
telnet server  enable
#
sysname office_access
#
interface Vlanif200
ip address 192.168.200.4 255.255.255.0
#
ip route-static 0.0.0.0 0.0.0.0 192.168.200.2
#
aaa
local-user
admin password simple admin (模拟器版本老所以可以配置简单密码,实际中是大小写,而且第一次进去要求改密码)
local-user admin privilege level 15
local-user admin service-type telnet terminal http
#
user-interface vty 0 4
authentication-mode aaa                 
protocol inbound all

这个拓扑网络容易忽略的点

(1)防火墙忘记写回程路由,否则上网以及访问内网会不通

(2)核心交换机忘记写默认路由,会导致上不了网

(3)核心与防火墙之间对接口配置或者接线错误导致对接不通

(4)核心与接入的二层对接模式错误,以及turnk忘记放行VLAN通过

(5)二层交换机容易忽略的就是接口划分VLAN错误,以及对接上行的模式配置错了。

(6)防火墙的安全策略与NAT策略由于粗心的原因导致的一些错误。

排错思路

大部分排错的思路在案例一与二都讲解过,也是同样的思路,这里在介绍几个比较有用的

(1)建议开LLDP功能,查看上行与下行对接设备的口是否正确,从而可以检查配置

(2)建议开telnet或者SSH,这样在核心或者防火墙可以直接登录到下面所有的设备进行查看配置是否正常。

(3)建议在配置核心对接防火墙的时候ping测试是否连通正常,方便指定定位问题,避免后续出现故障,排查范围过大。(当时候如果不同可以直接排查是否线路接错了,或者对接地址以及VLAN配置错了,可以通过LLDP查看)

(4)内网出现故障不通,可以从VLAN创建以及网关与DHCP是否正常配置,如果终端设备获取不到地址,可以手动设置看是否可以通,如果可以通,建议配置快速边缘端口,加速端口收敛,快速获取地址。如果不通,检查接加入VLAN以及二层对接核心的口的模式与允许VLAN通过是否正常。

(5)防火墙的排错参考案例一与二


实战案例(2+3)防火墙+二三层交换机VLAN组网_内网_04

作者:网络之路一天,公众号:网络之路博客(ID:NetworkBlog)。让你的网络之路不在孤单,一起学习,一起成长。