实验目的:分割四个网络,内网,外网,dmz区域,无线网络guest,cloud(配置防火墙web版本)

内网  可以访问 外网,dmz

外网  可以访问dmz

无线网路 可以访问dmz 和外网

拓扑图如下

ensp配置防火墙及OSPF_ensp配置防火墙及OSPF

出错点:私有ip分配的范围,开始用公网ip了,怎么也ping不同,后来改成私网ip就正常了,ap收敛时间比较长,多等待一些。

防火墙:配置cloud同一网络,通过web端开配置防火墙,permit或deny策略,到各个网络的路由表也需要配置

区域划分:trust ,untrust,dmz,guest

下面是具体的配置信息按照区域分割

设备pc1,server1和server2的ip直接配置就可以了,这里略过了

trust区域

ensp配置防火墙及OSPF_外网_02

#定义vlan2和3,下联设备接口和上联防火墙接口的vlan

lsw1>vlan batch 2 to 3 

#定义vlan2接口的ip地址,二层交换通过mac地址转发,三层通过ip转发

lsw1>interface Vlanif2   
 ip address 10.1.1.1 255.255.255.0
lsw1>interface Vlanif3     
 ip address 10.1.2.1 255.255.255.0

#定义上下接口的类型和允许通过的vlan信息

interface GigabitEthernet0/0/1
 port link-type access
 port default vlan 3
#
interface GigabitEthernet0/0/2
 port link-type access
 port default vlan 2

#三层通过ip转发,所以设置到达各个网络的路由表,可以定义一个默认路由0.0.0.0 0.0.0.0 10.1.2.101
ip route-static 10.1.3.0 255.255.255.0 10.1.2.101
ip route-static 10.1.4.0 255.255.255.0 10.1.2.101
ip route-static 10.1.5.0 255.255.255.0 10.1.2.101
ip route-static 100.1.1.1 255.255.255.255 10.1.2.101

untrust区域:

ensp配置防火墙及OSPF_运维_03

#设置接口的ip地址,链接防火墙
interface GigabitEthernet0/0/0
 ip address 10.1.3.1 255.255.255.0

#配置环路地址,模拟外网
interface LoopBack0
 ip address 100.1.1.1 255.255.255.255

#静态路由,感觉用第一个就可以了
ip route-static 0.0.0.0 0.0.0.0 10.1.3.101
ip route-static 10.1.1.0 255.255.255.0 10.1.3.101
ip route-static 10.1.2.0 255.255.255.0 10.1.3.101

dmz区域:

ensp配置防火墙及OSPF_外网_04

server1和2ip地址设置,这个略过了,主要看lsw2交换机配置

#定义两台服务器的vlan

vlan batch 100 200

#设置级联信息,优点提高速率和稳定性
interface Eth-Trunk1
 port link-type trunk
 port trunk allow-pass vlan 2 to 4094
#级联端口1
interface GigabitEthernet0/0/1
 eth-trunk 1
#级联端口2
interface GigabitEthernet0/0/2
 eth-trunk 1
#链接server1接口信息
interface GigabitEthernet0/0/3
 port link-type access
 port default vlan 100
#链接server1接口信息
interface GigabitEthernet0/0/4
 port link-type access
 port default vlan 200

guest区域

ensp配置防火墙及OSPF_运维_05

主要配置ac1和lsw5即可,无线配置内容有点多,具体如下

lsw5配置:

# 101和ac通信,102和ap通信,192无线的vlan,300链接防火墙的vlan
vlan batch 101 to 102 192 300

#启动自动获取ip,在vlan192和vlan102里面分别设置,即ap自动获取ip,无线链接自动获取ip
dhcp enable

#无线ap设备的地址池,option这个不晓得啥意思,以后看到在解释
ip pool ap
 gateway-list 172.16.102.103
 network 172.16.102.0 mask 255.255.255.0
 option 43 sub-option 2 ip-address 172.16.101.101

#无线链接设备的地址池
ip pool toguest
 gateway-list 192.168.1.1
 network 192.168.1.0 mask 255.255.255.0

#各个vlan的ip地址
interface Vlanif101
 ip address 172.16.101.102 255.255.255.0
#各个vlan的ip地址,ap设备自动获取ip,对应上面地址池
interface Vlanif102
 ip address 172.16.102.103 255.255.255.0
 dhcp select global
#各个vlan的ip地址  ,无线链接的设备自动获取ip,对应上面地址池
interface Vlanif192
 ip address 192.168.1.1 255.255.255.0
 dhcp select global
#各个vlan的ip地址
interface Vlanif300
 ip address 10.1.6.102 255.255.255.0

#链接防火墙接口信息
interface GigabitEthernet0/0/1
 port link-type access
 port default vlan 300
#链接ac接口信息
interface GigabitEthernet0/0/2
 port link-type trunk
 port trunk allow-pass vlan 2 to 4094
#链接ap接口信息,pvid是为了数据包丢掉vlan标识,trunk接口如果数据包vlan和pvid相同,则丢掉vlan标识
interface GigabitEthernet0/0/3
 port link-type trunk
 port trunk pvid vlan 102
 port trunk allow-pass vlan 2 to 4094

#静态路由表,可以分别配置到达各个网络的路由表项
ip route-static 0.0.0.0 0.0.0.0 10.1.6.101

ac1配置信息:需要和交换机,ap设备互通才可以

#定义相关vlan
vlan batch 101 to 102 192

#定义接口ip,和交换机通信
interface Vlanif101
 ip address 172.16.101.101 255.255.255.0
#设置接口信息
interface GigabitEthernet0/0/1
 port link-type trunk
 port trunk allow-pass vlan 2 to 4094

#配置到达ap管理地址的路由表信息,ac控制ap,如果通信不成功肯定是不行的
ip route-static 172.16.102.0 255.255.255.0 172.16.101.102
#配置隧道源接口信息,此处是ac的ip的vlan接口ip名
capwap source interface vlanif101

#接下来都是在wlan视图下配置
wlan

#配置无线密码之前需要定义一个模块,然后才可以配置密码,具体可以参考下无线ap的模型图

ensp配置防火墙及OSPF_ip地址_06

security-profile name sec1
  security wpa-wpa2 psk pass-phrase 12345678 aes

#无线网络模块名称和无线网络名称

ssid-profile name ssid1
  ssid free1

#配置射频信息,将刚刚模块加入到里面,并配置业务vlan,这里是ap发射无线信号的vlan

vap-profile name vap1
  service-vlan vlan-id 192
  ssid-profile ssid1
  security-profile sec1

#设置ap组,域,参数CN,并进行绑定

 ap-group name ag1
  regulatory-domain-profile domain1

#发射2.4和5G信号配置

vap-profile vap1 wlan 1 radio all

#设置绑定mac地址方式,加入到组,设置ap名称
ap-id 0  ap-mac 00e0-fc6b-53c0

ap-name ap1

ap-group ag1

最后一步啦,防火墙配置:

先配置cloud,然后通过本机电脑web配置,如图,

ensp配置防火墙及OSPF_外网_07

防火墙配置:

ensp配置防火墙及OSPF_运维_08

#配置vlan,100和200是server,300是无线
vlan batch 100 200 300

#定义接口ip,也可以看成网关,可以通过页面配置
interface Vlanif100
 ip address 10.1.5.1 255.255.255.0
 alias vlan100
#
interface Vlanif200
 ip address 10.1.4.1 255.255.255.0
 alias vlan200

#此接口链接cloud,配置ip后和permit后,可以通过本机电脑web访问ensp里的防火墙
interface GigabitEthernet0/0/0
 undo shutdown
 ip binding vpn-instance default
 ip address 192.168.1.201 255.255.255.0
 alias GE0/METH
 service-manage http permit
 service-manage https permit
 service-manage ping permit
 service-manage ssh permit
 service-manage snmp permit
 service-manage telnet permit

#下面是防火墙web配置页面,网页直接输入ip地址即可,首先是定义各个接口的名称和对应的ip地址(图片可以ctrl+滚轮上滑放大查看)

先定义安全域

ensp配置防火墙及OSPF_服务器_09

ensp配置防火墙及OSPF_服务器_10

上图注意有个接口汇聚,链接server交换机要注意下

ensp配置防火墙及OSPF_ensp配置防火墙及OSPF_11

定义到达各个网络的路由

ensp配置防火墙及OSPF_ip地址_12

最后通过配置策略来控制访问通信

ensp配置防火墙及OSPF_服务器_13

测试结果:

ensp配置防火墙及OSPF_ip地址_14

trust  访问外网和dmz区域

ensp配置防火墙及OSPF_运维_15

ensp配置防火墙及OSPF_运维_16

guest(无线访问dmz和外网)

ensp配置防火墙及OSPF_服务器_17

外网访问dmz

ensp配置防火墙及OSPF_ip地址_18

外网不可访问内网

ensp配置防火墙及OSPF_ensp配置防火墙及OSPF_19

外网不可访问无线网

ensp配置防火墙及OSPF_ip地址_20

验证,如果让内网可以访问局域网,可以增加trust to guest 的策略,测试结果如下,第一、需要在trust区域内的交换机增加路由表到192.168.1.0网络的表项,第二、防火墙配置增加通过规则

ensp配置防火墙及OSPF_运维_21

ensp配置防火墙及OSPF_ensp配置防火墙及OSPF_22