强叔侃墙 双防火墙单Internet出口组网配置.docx

【防火墙技术案例1】强叔拍案惊奇双防火墙单Internet出口组网配置引言大家好，强叔又与大家见面了！最近一段时间，【防火墙技术连载贴】强叔侃墙系列正在火爆上映，引起了论坛小伙伴们的广泛热议。想必小伙伴们已经对防火墙有了一定的理解，而且已经迫不及待地开始实战配置防火墙了。在实战过程中，小伙伴们也许会发现理论和现实还是有一定差距的，而且也应该在挫折和失败中逐渐体会到了网络的博大精深。为了解决小伙伴们实战配置防火墙时遇到的各种问题和困惑，强叔诚意推出【防火墙技术案例】强叔拍案惊奇系列，专门为大家呈现防火墙实战案例和组网验证，为大家解决防火墙的实战问题。目前强叔准备先在拍案惊奇系列开放以下模块：路由交换、双机热备、安全策略、NAT、攻击防范和VPN。强叔会陆续丰富各个模块的内容，也欢迎论坛的各位朋友联系强叔提供经典实战案例。————————————华丽的分割线—————————————————————下面强叔首先给大家带来一篇防火墙双机热备的技术案例。【组网需求】客户购置了2台防火墙，但只租用了一条到ISP的链路。加入防火墙后，需要满足两个需求：1、内网办公区用户能够使用公网地址访问Internet 2、内网有一个FTP Server需要对公网提供服务另外，客户网络原本是通过一个三层交换机作为出口接入ISP，且不愿意在此处做出改变。我们按需求构建了一个拓扑示例，如下图所示（拓扑中的防火墙为USG5500 V300R001）。这个组网中，公网地址仍然在交换机上，防火墙对外网的接口上使用私网IP。? 【数据规划】设备名称接口IP地址VLAN ID备注LSW1 GE0/0/1 - 10 连接ISP GE0/0/2 - 20 连接FW1 GE0/0/3 - 20 连接FW2 Vlanif10 03/24 - - Vlanif20 /24 - - FW1 GE0/0/1 /24 - 连接LSW1 GE0/0/2 /24 - 连接LSW2 GE0/0/3 /24 - 心跳口GE0/0/4 /24 - 连接LSW3 FW2 GE0/0/1 /24 - 连接LSW1 GE0/0/2 /24 - 连接LSW2 GE0/0/3 /24 - 心跳口GE0/0/4 /24 - 连接LSW3 LSW2 GE0/0/2 - 10 连接办公区GE0/0/3 - 20 连接FW1 GE0/0/4 - 20 连接FW2 Vlanif10 /24 - - Vlanif20 /24 - - LSW3 GE0/0/2 - 10 连接服务器区GE0/0/3 - 20 连接FW1 GE0/0/4 - 20 连接FW2 Vlanif10 /24 - - Vlanif20 /24 - - ? 【配置要点】因为公网地址并不在防火墙上，所以本案例的难点在于作为出口网关的交换机上路由和Proxy ARP的配置。? 【配置步骤】1、配置交换机LSW1 # 创建VLAN 10和20 [LSW1]vlan batch 10 20 # 配置接口[LSW1]interfaceGigabitEthernet 0/0/1 [LSW1-GigabitEthernet0/0/1]port link-type access [LSW1-GigabitEthernet0/0/1]port default vlan 10 [LSW1-GigabitEthernet0/0/1]quit[LSW1]interfaceGigabitEthernet 0/0/2 [LSW1-GigabitEthernet0/0/2]port link-type access [LSW1-GigabitEthernet0/0/2]port default vlan 20 [LSW1-GigabitEthernet0/0/2]quit[LSW1]interfaceGigabitEthernet 0/0/3 [LSW1-GigabitEthernet0/0/3]port link-type access [LSW1-GigabitEthernet0/0/3]port default vlan 20 [LSW1-GigabitEthernet0/0/3]quit[LSW1]interfaceVlanif 10 [LSW1-Vlanif10]ip address 03 24 [LSW1-Vlanif20]quit[LSW1]interfaceVlanif 20 [LSW1-Vlanif20]ip address 24 #配置路由[LSW1]ip route-static 04 55 //*到办公区的路由，注意目的IP地址应该配置为NAT地址池地址，而不是私网地址*//[LSW1]ip route-static 05 55 //*到办公区的