中小型网络构建案例——防火墙的应用

阅读量：7066 次

发布时间：2019-06-28

本文共 8367 字，大约阅读时间需要 27 分钟。

今天带来一个中小型网络构建案例，在一个中型企业网络中，必不可少的一个设备就是防火墙，在昨天的文章中，已经简单给大家介绍了一下防火墙的概述与作用，如果大家还有什么疑问，可以在文章下方提问，小编一定使出我的九牛二虎之力，为您解决问题，废话就不多说了，接下来开始操作您就都懂了！！！

项目名称：

小型网络构建案例——防火墙的应用

项目拓扑：

中小型网络构建案例——防火墙的应用

项目需求：

1. vlan互通

2. 配置VRRP实现虚拟网关冗余备份

3. 内网PAT访问外网

4. 发布WEB服务器提供外网访问

地址规划：

中小型网络构建案例——防火墙的应用

端口链路模式规划：

中小型网络构建案例——防火墙的应用

涉及技术：

&Vlan：

指的是虚拟局域网，是一种2层技术。可以在交换机上实现广播域的隔离。从而可以减小数据广播风暴对交换网络的影响，降低了网络管理难度，同时可以实现网络规模的灵活扩展。

&Trunk与Access：

Trunk链路同一时刻可以支持多个 VLAN 的数据转发，数据携带 VLAN 标签（native vlan 除外）；

Access链路同一时刻只能传输一个 VLAN 的数据，发送和接收的数据，都没有标签；

&Vrrp：

指的是虚拟网关冗余协议，作用是在不同的网关设备之间形成虚拟网关IP地址，从而实现网关设备之间的备份冗余，增强网关的稳定性。

&Nat：

指的是网络地址转换；作用是实现内网私有IP地址与外网公有IP地址的转换，从而实现内网与外网的互通，同时还可以隐藏内部网络的结构，增强网络的安全性。

&默认路由：

是一种特殊的静态路由，指的是当路由表中与包的目的地址之间没有匹配的表项时，路由器能够做出选择。如果没有默认路由，那么目的地址在路由表中没有匹配表项的包将被丢弃。

实验思路及步骤：

一、根据上面提到的链路模式规划配置链路模式

具体操作：创建vlan，配置链路模式，将端口加入vlan

1. 交换机1配置命令如下：


    
     sysEnter system view, return user view with Ctrl+Z.[Huawei]sys sw1[sw1]vlan ba 10 20 100 12 22[sw1]int gi0/0/1 [sw1-GigabitEthernet0/0/1]port link-type trunk  [sw1-GigabitEthernet0/0/1]port trunk  allow-pass vlan all[sw1-GigabitEthernet0/0/1]int gi 0/0/2[sw1-GigabitEthernet0/0/2]port link-type  access    [sw1-GigabitEthernet0/0/2]port default vlan 12[sw1-GigabitEthernet0/0/2]int gi 0/0/3[sw1-GigabitEthernet0/0/3]port link-type trunk [sw1-GigabitEthernet0/0/3]port trunk  allow-pass vlan all[sw1-GigabitEthernet0/0/3]int gi 0/0/4[sw1-GigabitEthernet0/0/4]port link-type  access [sw1-GigabitEthernet0/0/4]port default vlan 100

验证：

2.交换机2配置命令如下：


    
     sysEnter system view, return user view with Ctrl+Z.[Huawei]sys sw2[sw2]vlan ba 10 20 100 12 22[sw2]int gi 0/0/1[sw2-GigabitEthernet0/0/1]port link-type  trunk [sw2-GigabitEthernet0/0/1]port trunk  allow-pass vlan all[sw2-GigabitEthernet0/0/1]int gi 0/0/2[sw2-GigabitEthernet0/0/2]port link-type  access[sw2-GigabitEthernet0/0/2]port default vlan 20[sw2-GigabitEthernet0/0/2]int gi 0/0/4  [sw2-GigabitEthernet0/0/4]port link-type  trunk [sw2-GigabitEthernet0/0/4]port trunk  allow-pass vlan all[sw2-GigabitEthernet0/0/4]int gi 0/0/3[sw2-GigabitEthernet0/0/3]port link-type access     [sw2-GigabitEthernet0/0/3]port default vlan 22

验证：

3.交换机3配置命令如下：


    
     sysEnter system view, return user view with Ctrl+Z.[Huawei]sys sw3[sw3]vlan batch 10 20 100 12 22[sw3]int e0/0/1 [sw3-Ethernet0/0/1]port link-type access [sw3-Ethernet0/0/1]port default vlan 10[sw3-Ethernet0/0/1]int e0/0/2   [sw3-Ethernet0/0/2]port link-type trunk     [sw3-Ethernet0/0/2]port trunk allow-pass vlan all[sw3-Ethernet0/0/2]int e0/0/3   [sw3-Ethernet0/0/3]port link-type trunk     [sw3-Ethernet0/0/3]port trunk  allow-pass vlan all

验证：

二、配置设备IP地址及服务

1.配置clent及server

Server1：

Server2：

Client1：

Client2：

Client3：

2.配置交换机ip地址及vrrp
交换机1配置命令如下：

[sw1]int vl 10[sw1-Vlanif10]undo shutdown [sw1-Vlanif10]ip address 192.168.10.253 255.255.255.0   [sw1-Vlanif10]vrrp vrid 10 virtual-ip 192.168.10.254    [sw1-Vlanif10]vrrp vrid 10 priority 150 [sw1-Vlanif10]vrrp vrid 10 track interface GigabitEthernet 0/0/2  reduced 100[sw1-Vlanif10]int vlan 20[sw1-Vlanif20]undo shutdown [sw1-Vlanif20]ip address 192.168.20.253 255.255.255.0[sw1-Vlanif20]vrrp vrid 20 virtual-ip 192.168.20.254 [sw1]ip route-static 0.0.0.0 0.0.0.0 192.168.12.2[sw1-Vlanif20]vrrp vrid 20 priority 150 [sw1-Vlanif20]vrrp vrid 20 track interface GigabitEthernet 0/0/2 reduced 100[sw1-Vlanif20]int vlan 100[sw1-Vlanif100]undo shutdown [sw1-Vlanif100]ip address 192.168.100.253 255.255.255.0  [sw1-Vlanif100]vrrp vrid 100 virtual-ip 192.168.100.254 [sw1-Vlanif100]vrrp vrid 100 priority 150[sw1-Vlanif100]vrrp vrid 100 track interface GigabitEthernet 0/0/2  reduced 100[sw1-Vlanif100]int vla 12[sw1-Vlanif12]undo shutdown [sw1-Vlanif12]ip address 192.168.12.1 255.255.255.0[sw1-Vlanif12]q

交换机2配置命令如下：


    
     sys[sw2]int vl 10[sw2-Vlanif10]undo shutdown [sw2-Vlanif10]ip address 192.168.10.252 255.255.255.0[sw2-Vlanif10]vrrp vrid 10 virtual-ip 192.168.10.254    [sw2-Vlanif10]vrrp vrid 10 track interface gi 0/0/3[sw2-Vlanif10]int vl 20[sw2-Vlanif20]undo shutdown [sw2-Vlanif20]ip address 192.168.20.252 255.255.255.0[sw2]ip route-static 0.0.0.0 0.0.0.0 192.168.22.2[sw2-Vlanif20]vrrp vrid 20 virtual-ip 192.168.20.254    [sw2-Vlanif20]vrrp vrid 20 track interface Gi 0/0/3[sw2-Vlanif20]int vl 100[sw2-Vlanif100]undo shutdown [sw2-Vlanif100]ip address 192.168.100.252 255.255.255.0[sw2-Vlanif100]vrrp vrid 100 virtual-ip 192.168.100.254 [sw2-Vlanif100]vrrp vrid 100 track interface Gi 0/0/3[sw2-Vlanif100]int vl 22[sw2-Vlanif22]undo shutdown [sw2-Vlanif22]ip address 192.168.22.1 255.255.255.0[sw2-Vlanif22]q

3.配置ASA防火墙

配置命令如下：

ciscoasa(config)# clear configure allciscoasa(config)# hostname ASAASA(config)# int g0ASA(config-if)# nameif inside1ASA(config-if)# security-level 100ASA(config-if)# ip address 192.168.12.2 255.255.255.0ASA(config-if)# no shutdwnASA(config-if)# int g1ASA(config-if)# nameif inside2ASA(config-if)# security-level 100ASA(config-if)# ip address 192.168.22.2 255.255.255.0ASA(config-if)# int g2ASA(config-if)# nameif outside ASA(config-if)# security-level 0ASA(config-if)# ip address 200.8.8.1 255.255.255.252ASA(config-if)# no shutdown

ASA(config-if)# q

4. 配置路由器

配置命令如下：


    
     sysEnter system view, return user view with Ctrl+Z.[Huawei]sysname Router[Router]int gi 0/0/0    [Router-GigabitEthernet0/0/0]undo shutdown Info: Interface GigabitEthernet0/0/0 is not shutdown.[Router-GigabitEthernet0/0/0]ip address 200.8.8.2 255.255.255.252[Router-GigabitEthernet0/0/0]int gi 0/0/1[Router-GigabitEthernet0/0/1]undo shutdown Info: Interface GigabitEthernet0/0/1 is not shutdown.[Router-GigabitEthernet0/0/1]ip address 200.9.9.254 255.255.255.0[Router-GigabitEthernet0/0/1]q-----

三、配置路由条目，由于此实验地址较少，这里配置静态路由就可以了

Sw1：

[sw1]ip route-static 0.0.0.0 0.0.0.0 192.168.12.2

查看路由表：

Sw2：

[sw2]ip route-static 0.0.0.0 0.0.0.0 192.168.22.2

查看路由表：

ASA防火墙：

ASA(config)# route inside1 192.168.10.0 255.255.255.0 192.168.12.1ASA(config)# route inside1 192.168.20.0 255.255.255.0 192.168.12.1ASA(config)# route inside1 192.168.100.0 255.255.255.0 192.168.12.1ASA(config)# route outside 0.0.0.0 0.0.0.0 200.8.8.2

这里我们用show route查看路由表：

Router：

[Router]ip route-static 119.1.1.0 255.255.255.0 200.8.8.1

查看路由表：

到这里，实验环境就算是搭建完成了

四、接下来配置内网NAT访问外网

1.首先开启server2的http服务，主要操作是：选择http服务，选择网页文件，开启http服务，如图所示：

2.其次配置NAT，模拟环境：公司现购买了119.1.1.0/29的公有地址，属于vlan10，vlan20，vlan100的各使用一个，这里我运用的是动态NAT，因为在实际工作中，每个vlan不可能只有一台主机，接下来我们配置一下：

ASA(config)# object network vlan10

ASA(config-network-object)# subnet 192.168.10.0 255.255.255.0ASA(config-network-object)# nat (inside1,outside) dynamic 119.1.1.1ASA(config-network-object)# qASA(config)# object network vlan20ASA(config-network-object)# subnet 192.168.20.0 255.255.255.0ASA(config-network-object)# nat (inside1,outside) dynamic 119.1.1.2ASA(config-network-object)# qASA(config)# object network vlan100 ASA(config-network-object)# subnet 192.168.100.0 255.255.255.0ASA(config-network-object)# nat (inside1,outside) dynamic 119.1.1.3ASA(config-network-object)# q

这里用show xlat 查看xlat表：

再通过抓包查看，是否转换成功（请看实验结果验证）

五、发布web服务器提供外网访问

因为外网属于outside区域，安全级别要比inside1安全级别低，如果外网想要访问内网web，必须通过制定ACL才能通过防火墙进行访问，前面我们已经做过NAT转换了，NAT既可以实现私有地址对公网地址的转换，也可以为外网提供WEB服务。

主要操作：

1.这里首先先开启server1的HTTP服务

2.配置NAT

主要操作：配置NAT，这里配置的是静态NAT 。

命令如下：

ASA(config)# object network gongwang ASA(config-network-object)# host 119.1.1.3ASA(config-network-object)# exitASA(config)# object network webASA(config-network-object)# host 192.168.100.1       ASA(config-network-object)# nat (inside1,outside) static gongwang service tcp 80 80ASA(config-network-object)# exit

3.配置ACL，允许外网流量通过防火墙对内网WEB服务器进行访问

命令如下：

ASA(config)# object network isp

ASA(config-network-object)# host 200.9.9.1

ASA(config-network-object)# exit

ASA(config)# access-list fangwen permit tcp object isp object web eq http

ASA(config)# access-group fangwen in interface outside

访问结果请看结果验证。