防火墙和路由器ospf没起来防火墙做ospf

转载

mob6454cc74c0fc 2024-04-30 19:12:36

文章标签 防火墙和路由器ospf没起来华为其他网络网络安全 文章分类 云原生云计算

防火墙和路由器ospf没起来防火墙做ospf_网络

实验背景：

一、trust区域：G1/0/0、G1/0/1接口下的设备划分到此区域

1、SW1与SW2做lacp链路聚合；

2、公司trust区域划分两个VLAN分别在交换层做MSTP，实现流量负载分担；

3、trust区域核心路由器层做双DHCP服务器做双备份，运行VRRP实现网关备份；

二、DMZ区域：G1/0/2接口下的设备划分到此区域

1、服务器做目的NAT允许untrust区域访问；

2、允许trust区域→DMZ区域的流量访问；

三、untrust区域：G1/0/3接口下的设备划分到此区域

1、允许trust区域→UNtrust区域的流量访问；

四、local区域：

1、出口做源NAT，类型为easy ip

配置开始：

一、首先搞定trust区域路由交换网络配置

1、交换网络配置

防火墙和路由器ospf没起来防火墙做ospf_华为_02

1、搞定LACP链路聚合：

SW1/SW2上：两台设备配置相同
lacp priority 100     // //此条配置仅在SW1配置，用于指定LACP主动端
interface eth-trunk 1 
mode lacp-static     // //模式为静态LACP模式
max actuve-linknumber 2
least active-linknumber 2
lacp preempt enable
lacp preempt delay 20
load-balance src-dst-ip    // //设置流量负载模式为源目IP
port link-type trunk        // //配置ETH-trunk 1链路类型为trunk
port trunk allow-pass vlan 2 3
trunkport G0/0/4     // //相应接口加入ETH-trunk 1中
trunkport G0/0/5
trunkport G0/0/6
验证是否成功：
display eth-trunk 1

防火墙和路由器ospf没起来防火墙做ospf_网络安全_03

2、接下来把MSTP给配置上：

防火墙和路由器ospf没起来防火墙做ospf_华为_02

思路为SW1为实例1根桥让VLAN2流量走SW1，SW2为实例2根桥让VLAN3走SW2，SW1与SW2互为备份根。

SW1/SW2上：

vlan batch vlan 2 3
port-group group-member G0/0/1 to G0/0/3    // //把各交换接口放行
port link-type trunk
port trunk allow-pass vlan 2 3
stp region-configuration          // //开始配置MSTP
region-name m1
instance 1 vlan 2
instance 2 vlan 3
action region-configuration
SW1上：
stp instance 1 root primary          // //设置SW1在实例1中为根桥在实例2中为备份根
stp instance 2 root secondary
SW2上：
stp instance 1 root secondary         // //设置SW2在实例1中为备份根在实例2中为根桥
stp instance 2 root primary
SW3/SW4上：
vlan batch vlan 2 3
port-group group-member G0/0/1 to G0/0/2   // //把各交换接口放行
port link-type trunk
port trunk allow-pass vlan 2 3
stp region-configuration          // //开始配置MSTP
region-name m1
instance 1 vlan 2
instance 2 vlan 3
action region-configuration
SW3上：
intface e0/0/1                // //划分VLAN
port link-trpe access
port default vlan 2
intface e0/0/2
port link-trpe access
port default vlan 3
SW4上：
intface e0/0/1                // //划分VLAN
port link-trpe access
port default vlan 2
验证配置是否成功：
SW3/SW4上：
display stp brief

防火墙和路由器ospf没起来防火墙做ospf_网络安全_05

防火墙和路由器ospf没起来防火墙做ospf_华为_06

3、双DHCP配置：

防火墙和路由器ospf没起来防火墙做ospf_网络安全_07

AR1上：

dhcp enable
ip pool vlan2    // //创建地址池名称为vlan2,为vlan2分配地址
network 172.16.2.0 mask 24
gateway-list 172.16.2.254
excluded-ip-address 172.16.2.100   172.16.2.253   
// //摘除100-253地址，留出来给DHCP server2和VLANIF分配
ip pool vlan3   // //创建地址池名称为vlan2,为vlan2分配地址
network 172.16.3.0 mask 24
gateway-list 172.16.3.254
exculded-ip-address 172.16.3.100    172.16.2.253
// //摘除100-253地址，留出来给DHCP server2和VLANIF分配
interface g0/0/1
ip add 10.0.0.1 24
dhcp select global
ip route-static 172.16.2.0 24 10.0.0.2
ip route-static 172.16.3.0 24 10.0.0.2
AR2上：
dhcp enable
ip pool vlan2
network 172.16.2.0 mask 24
gateway-list 172.16.2.254
exculded-ip-address 172.16.2.1    172.16.2.105
// //摘除1-105地址，其中1-99为DHCP server1分配的动态地址，100-105为保留下来手动分配给设备的地址
ip pool vlan3
network 172.16.3.0 mask 24
gateway-list 172.16.3.254
exculded-ip-address 172.16.3.1     172.16.3.105
// //摘除1-105地址，其中1-99为DHCP server1分配的动态地址，100-105为保留下来手动分配给设备的地址
interface g0/0/1
ip address 10.0.1.1 24
dhcp select global
ip route-static 172.16.2.0 24 10.0.1.2
ip route-static 172.16.3.0 24 10.0.1.2
SW1上：
interface vlanif 1
ip add 10.0.0.2 24
dhcp enable
dhcp server group ar1   // //创建DHCP server组，组名为ar1
dhcp-server 10.0.0.1     // //指定DHCP server接口地址
interface  vlanif 2    // //配置VLANIF2
ip add 172.16.2.100 24
dhcp select relay
dhcp relay server-select ar1
interface  vlanif 3    // //配置VLANIF3
ip add 172.16.3.100 24
dhcp select relay
dhcp relay server-select ar1
SW2上：
interface vlanif 1
ip add 10.0.1.2 24
dhcp enable
dhcp server group ar1   // //创建DHCP server组，组名为ar1
dhcp-server 10.0.1.1     // //指定DHCP server接口地址
interface  vlanif 2     // //配置VLANIF 2
ip add 172.16.2.101 24
dhcp select relay
dhcp relay server-select ar1
interface  vlanif 3    // //配置VLANIF3
ip add 172.16.3.101 24
dhcp select relay
dhcp relay server-select ar1
验证配置是否正确
PC上输入命令IPCONFIG查看自动获取的地址

防火墙和路由器ospf没起来防火墙做ospf_其他_08

4、最后一步做VRRP配置

防火墙和路由器ospf没起来防火墙做ospf_防火墙和路由器ospf没起来_09

思路：使用AR1/AR2下的子接口做VRRP ，AR1做VLAN2主设备，ARP做VLAN3主设备，实现负载分担。

AR1/AR2上：
interface g0/0/1.2       // //进入子接口1.2开始配置VLAN2的VRRP功能
dot1q  termination vid 2    // //剥离VLAN2的标签
arp broadcast enable      // //开启接口ARP广播功能
ip address 172.16.2.102 24
vrrp vrid 2 virtual-ip 172.16.2.254
vrrp vrid 2 priority 130   // //设定优先值，选为主设备，AR2上不敲此条做为备
vrrp vrid 2 track interface G0/0/0 reduced 50  // //开启VRRP联动功能，AR2上不敲此条做为备
vrrp vrid 2 preempt-mode timer delay 20    // //配置抢占延时避免频繁切换
interface g0/0/1.3   // //进入子接口1.3开始配置VLAN3的VRRP功能
dot1q  termination vid 3    // //剥离VLAN3的标签
arp broadcast enable      // //开启接口ARP广播功能
ip address 172.16.3.102 24
vrrp vrid 3 virtual-ip 172.16.3.254
vrrp vrid 3 priority 130   // //设定优先值，选为主设备，AR1上不敲此条做为备
vrrp vrid 3 track interface G0/0/0 reduced 50  // //开启VRRP联动功能，AR1上不敲此条做为备
vrrp vrid 3 preempt-mode timer delay 20    // //配置抢占延时避免频繁切换
测试配置是否成功
display vrrp brief

防火墙和路由器ospf没起来防火墙做ospf_华为_10

至此我们trust区域内trust区域路由交换网络配置完成了

二、防火墙上的配置：

防火墙配置思路：

1、接口划分到各区域

2、配置接口IP，写通路由

3、安全策略做好

4、配置源目NAT

防火墙和路由器ospf没起来防火墙做ospf_网络

1、接口划分到各区域

FW1上：

firewall zone trust     // //进入信任区域，添加相应接口（注意防火墙是将接口下的设备加入到区域内，并不是接口加入到区域，防火墙上所有接口都属于local区域）
add interface g1/0/1
add interface g1/0/0
firewall zone untrust
add interface g1/0/3
firewall zone dmz
add interface g1/0/2

2、配置接口IP，写通路由

FW1上：

interface g1/0/0
ip address 10.0.2.2 24
interface g1/0/1
ip address 10.0.3.2 24
interface g1/0/2
ip address 10.0.4.254
interface g1/0/3
ip address 221.1.1.1 24      // //此处模拟的是静态公网地址上网，掩码用的24位，实际上掩码大多是30位
ip route-static 0.0.0.0 0 221.1.1.2
ip route-static 172.16.2.0 255.255.255.0 10.0.2.1  // //写通回路路由
 ip route-static 172.16.2.0 255.255.255.0 10.0.3.1
 ip route-static 172.16.3.0 255.255.255.0 10.0.2.1
 ip route-static 172.16.3.0 255.255.255.0 10.0.3.1AR1上：
interface g0/0/0
ip address 10.0.2.1 24
ip route-static 0.0.0.0 0 10.0.2.2    // // 虽然AR1与FW1是直连线路，但是也需要写上静态路由，否则不通
AR2上：
interface g0/0/0
ip address 10.0.3.1 24
ip route-static 0.0.0.0 0 10.0.3.2    // // 虽然AR1与FW1是直连线路，但是也需要写上静态路由，否则不通

3、安全策略做好

首先我们需要可以通过内网访问DMZ区域服务器，但是服务器不可以主动访问trust区域，且只允许VLAN2访问。

配置思路：命名、源区域、目的区域、源地址（范围默认为any）、动作允许/禁止

FW1上：

security-policy
rule name trust_dmz
source-zone trust
destination-zone dmz
source-address 172.16.2.0 24
action permit

测试是否成功

PC上PING服务器内网地址

防火墙和路由器ospf没起来防火墙做ospf_华为_12

初此PING1-2个丢包为正常现象，此两个丢的报文为ARP广播寻址报文时间。

4、配置源目NAT

思路：首先配通安全策略再做NAT配置

源NAT配置trust→UNtrust

FW1上：

security-policy     // //配置安全策略放通
rule name trust_untrust
source-zone trust
destination-zone untrust
action permit
nat-policy   // //配置NAT策略
rule name trust_untrust
source-zone trust
destination-zone untrust
action nat easy ip

测试源NAT配置是否成功：

使用内网终端PING 外网设备，查看防火墙上会话表

防火墙和路由器ospf没起来防火墙做ospf_其他_13

也可以通过抓防火墙出口包查看：

防火墙和路由器ospf没起来防火墙做ospf_网络_14

可以看到地址是转换后的地址访问的

源NAT配置UNtrust→dmz

FW1：

security-policy         // //配置安全策略允许外网访问服务器
rule name untrust_dmz
source-zone untrust
destination-zone dmz
action permit

FW1：

nat srver server1 0 global 221.1.1.1 inside 10.0.4.4 no-reverse

将出口公网静态地址映射为服务器私网地址（此为简写版，不通服务协议需要写上协议或者端口）

测试目的NAT配置是否成功

外网设备PING防火墙出口公网地址，在防火墙查看会话表

防火墙和路由器ospf没起来防火墙做ospf_华为_15

外网设备PING防火墙出口公网地址，在防火墙上G1/0/2服务器端抓包

防火墙和路由器ospf没起来防火墙做ospf_防火墙和路由器ospf没起来_16

外网设备PING防火墙出口公网地址，在防火墙上G1/0/3出口端抓包

防火墙和路由器ospf没起来防火墙做ospf_网络安全_17

所有配置完成

本文章为转载内容，我们尊重原作者对文章享有的著作权。如有内容错误或侵权问题，欢迎原作者联系我们进行内容更正或删除文章。

上一篇：esp32 OTA 升级进度 esp32v1.0.0

下一篇：unity 节奏光线 unity光影调节怎么弄

提问和评论都可以，用心的回复会被更多人看到评论

发布评论

相关文章

官方博客	全部文章	热门标签	班级博客
了解我们	网站地图	意见反馈

鸿蒙开发者社区	51CTO学堂
51CTO	软考资讯