网络工程师成长日记389-防火墙

网络工程师成长日记389-防火墙
  
这是网络工程师成长日记的第389篇连载文章,记录网络工程师行业的点点滴滴,结交IT行业有缘之人

 


为了保证客户网络信息,本文删除所有配置的机密信息和IP地址(以X.X.X.X格式隐藏)等信息
 
在老大的安排下,我和另外两个同学去做工程,地点是商洛市某县纪律检查监督局,主要任务是负责Cisco ASA 5505设备的安装与调试。
这是我在公司所接的第一个工程,心里肯定紧张,而更紧张的还在后面。24号早上8:30,我们来到了公司。
本来王说的是调试PIX设备,可托付给我们的设备上,写着Cisco ASA 5505 Series的字样,突然傻眼了。


由于时间有限,王大概给我们讲解了这台ASA的使用方法,及一些重要配置的注意事项。
临行前叮嘱我们:完成任务后,如果客户还有什么要求,一定要耐心解决。如遇问题,随时联系。
10:30,我们到了西安火车站,买了车票。10:50,乘长途公交去往某。
在询问了司机师傅后,知道我们将有5小时的行程。
就这样,我们离开了西安,踏上了旅程。

网络工程师


在路上,为了解闷,上网乱搜了一些关于ASA的信息:ASA,Adaptive Security Appliance(适应性安全产品),是Cisco公司在2005年5月推出了一个新的产品。
接口近似PIX,但两者在性能方面有很大的差异。
即使是ASA最低的型号,其所提供的性能也比基础的PIX高得多。
说真的,当时心里很没底,因为就连PIX,我也只是懂一些基础配置,更何况是ASA呢。
熬过了这漫长的路程,下午4:30,我们终于到了某的汽车站。
由于是在商洛,所以比起西安,不论是环境还是经济,实在是没法比。
司机告诉我们:这里没有火车,想回西安只有坐公交。每天最晚一班是下午6点。
既然来了,就开始工作。
叫来了当地的联系人,在他的带领下,我们来到了第一个工作地----
一所小学兼医院的地方。
毕竟是来做技术的,所以我们没有问太多关于网络外的话题。




来到机房,换上鞋套,开始听客户的要求。
大致如下:
该单位,在电信拉了两条光纤,其中一条是正常上网的。另外一条是与其他几个单位来组成局域网的。
(感觉就像是VPN)目前网络是没什么故障,外网(就是他们所说的正常上网的光纤)是由联想的防火墙来防护。
现在他们有一台新购的PIX防火墙,想实现对内网(即他们所说的“局域网”)的保护。
听后,貌似很简单,并且另外一边的客户比较急,所以后来我们三个商量后,由我先去第二个工作地,也就是此行的真正目的----某县纪律检查监督局,装上我们所带来的ASA设备。
两地相距还比较远,我是搭乘摩的过去的。在证实身份后,我在纪检局值班人的带领下来到了他们的机房。
令我没有想到的是,这个当地很了不起的政府性单位的机房居然很简单,连刚才那个小学校的机房都比不上。
值班的人很客气,给我端来了水,还发烟(我不会抽烟),让我有点意外。
以为以前听说做工程时,就像是给人家打杂,净受气,刚才那个小学的人就不是很客气,所以现在有点受宠若惊的感觉。
(我们这次的身份是以西安一外包公司的技术工程师来此的,为了不必要的麻烦,我们都尽量的少说话,生怕让客户知道我们真实的身份)
这里的设备还算少:通过光纤转发器+D-LINK宽带路由,引来外网。
接着就是由五台不同型号的交换机进行网络扩展。除了客户机外,就只有两台服务器了。
了解这些就可以了,开工。(具体配置及过程详见配置篇)

网络工程师


当天那边(学校兼医院)顺利完成,而我这边没有顺利解决,最后一直弄到了10点多。
我们三个就只吃了早饭,到现在连水也没喝。并且看着问题没有解决,心里都很乱,而且头也晕晕的。没办法,只好第二天再弄。
晚上我们自己在路边找了个小摊,一人一碗面,喝了点酒。然后就回到给我们安排的旅馆。30一晚上,里面的条件真的是……
在房间里面,我们开始回想今天到底是哪里出错了,还联系了公司这边。最后,我们拟了2条方案,然后就睡了。
就这样,结束了10月25日,还是我妹的生日。
哎,本来还想着回家给她庆祝呢,没想到路程和工程是这么的不顺利。感觉网络工程师的出差工作真的是很累、很苦、很不讨好的工作。
记的那天晚上我想了很多,心里乱糟糟的……
第二天早上7:30醒来,连洗梳条件都没有,只能拿凉水冲冲。
最近西安天气已经变凉了,某这边更是冷,这凉水,是在是透心凉啊。(可惜不是雪碧)
早饭还是我们自己找了家小吃店,包子、稀饭、鸡蛋、咸菜,吃得比晚饭还好。
睡好、吃好,现在精神状态已经回来了。干劲儿也上来了,好,L’s GO!!!
经过4小时的努力,终于把问题解决了。
工程终于做好了!当时的心情真的是很High,客户也挺满意的。看着自己的劳动成果得到了肯定,心里也有了满足感。
激动的我们连午饭也不顾了,随便买了点小零食,乘着小中巴,向西安行驶。
那天(10月26日),刚好还是西安和某高速通路,本来是3小是就可以回来的。
结果最后出了点问题, 路是通了,但收费系统还没调整好,所以不让通行。哎,只能原路返回,又要忍受那5个小时的煎熬。
到达西安已经是6点,李经理接的我们。
当时天色也暗了,我们也就没有回公司,各自回家了。真的很累,在K600上,只想着回去好好的吃一顿,洗个澡,舒舒服服的睡个好觉。
记得王还打电话问候来着。
虽然这次没有用到多少所学的路由、交换知识,而且接触的还是从没见过的ASA防火墙,但却给我留下了宝贵的经验及回忆。
使我学到了很多东西,也使得我的理论知识再一次升级。
很感谢公司能给我这次提高能力的机会,谢谢在背后支持我们此行的、同学,以及和我同行的田工、张工,以后我会更努力的。






要对一个地方的网络进行调整或维护,首先要了解网络拓扑。
但是由于工作地点的人员不懂网络,所以我们没办法获取完整的网络拓扑图。
只能靠自己通过看连线,大概推断出拓扑情形。好在这里的网络设备比较少,只有一个机柜。
大概的拓扑情形是这样:通过光纤转发器+D-LINK宽带路由,引来外网。
接着就是由五台(记的不是很清楚,因为我们不是过来弄交换的)不同型号的交换机进行网络扩展。除了客户机外,就只有两台服务器了。
我们是兵分两路,所以我先来这里处理。
在我处理过程中,有个值班的人在旁边玩一台服务器。(玩QQ连机游戏。注意:这里有个悬念)
我将ASA接在D-LINK和交换机之间,安装就这么简单。下来就是配置。
该设备有8个以太网接口,先划分VLAN,将内网接口和外网接口分开。
其中Ethernet0/0属VLAN2,其余全划进VLAN1。交换机接VLAN1的接口,然后其他机子以VLAN1的IP地址为网关。




interface Vlan1
      nameif inside
      security-level 100
      ip address 192.168.0.254 255.255.255.0(内网地址)
    !
interface Vlan2
      nameif outside
      security-level 0
      ip address x.x.x.x 255.255.255.0(外网地址)


然后添加一条静态路由和两条ACL,保证内外网的互通性及安全性。




route outside 0.0.0.0 0.0.0.0 192.168.0.254 1 
access-list in-out extended permit ip 192.168.0.0 255.255.255.0 any 
access-list out-in extended permit ip any 192.168.0.0 255.255.255.0 
access-group out-in in interface outside
access-group in-out in interface inside


弄到这里,我感觉就OK了,可大麻烦来了。
我将自己的本连上一台交换,配上192.168.0.0/24的地址,上不了网。晕了,不知道问题出在那里。
Show run 后,仍然看不出来。
这时候,我发现旁边那个值班的人还是在玩QQ游戏。
我就问他:“刚才,您玩游戏有没有网络中断?”他回答;“没有啊,一直好着。”
纳闷了,先别说现在都上不去网,就单单我刚才配置ASA的时候,所有机子和D-LINK应该是无法连通的啊,怎么会没有断网呢?
这个问题我现在还是想不通。虽然我看了那台服务器,是代理服务器,但他应该也是接在一台交换上,然后连通D-LINK,才能上网啊。
毕竟这里只有一条光纤,而且还是接在D-LINK上。
想来想去,不明白。只好打电话给田工他们求救。他们说正在赶来的路上,到了再说。
然后我就想着,上网去查下资料。
于是摘下ASA,重新把交换和D-LINK连上,也就是将所有一切恢复到了初始状态。
天啊,这次竟然也没法上网了,而且连值班的师傅都断网了。
这下更让我慌了,刚才上不去网还能让我接受,毕竟自己不了解ASA,但现在怎么会上不去网了呢?
代理服务器的IP是192.168.0.250,也就是其他机子的网关。而他自己的网关是192.168.0.254,也就是D-LINK的地址。
他们那里的设备我可是一点都没更改设置。
冷静下来后,我开始慢慢找错。首先,我用本和代理服务器ping了下,是通的。
证明内部网络没问题。而所有的机子都ping不到D-LINK。所以我想到去看下它的配置。
那里的人看来真的是不管这些设备,D-LINK的用户、密码居然都是出厂设置----两个admin。
进去后,在里面的客户列表里面发现是空的。
难怪呢,其他机子要是通过它上网,都会自动记录在这个列表。于是我试着手动添加一个用户。
其实就是IP/MAC绑定,设置好了后,我的笔记本果然能上网了。不管怎么说,心里轻松了些。
但想不通为什么列表会空呢?无意间发现,D-LINK的地址池居然没有IP可分配,索性自己给它些地址。
果然,所有机子都能上网了。但还是不解,为什么我没有改这些设备的配置,恢复成初始后,居然上不了网?
正在思考期间,田工他们进来了。感觉就像是援兵到了,心里塌实了很多。
我简单的向他们叙述了这里的环境,张工便开始亲自动手了。
后来是添加了PAT之后,一切正常了。


ciscoasa# show xlate 
11 in use, 70 most used
PAT Global X.X.X.X(1051) Local 192.168.0.100(1794) 
PAT Global X.X.X.X(1050) Local 192.168.0.100(1792) 
PAT Global X.X.X.X(1049) Local 192.168.0.100(1788) 
PAT Global X.X.X.X(1048) Local 192.168.0.100(1787) 
PAT Global X.X.X.X(1045) Local 192.168.0.100(6009) 
PAT Global X.X.X.X(1038) Local 192.168.0.100(6002) 
PAT Global X.X.X.X(1037) Local 192.168.0.100(1642) 
PAT Global X.X.X.X(1033) Local 192.168.0.100(1702) 
PAT Global X.X.X.X(1029) Local 192.168.0.100(10000) 
PAT Global X.X.X.X(1028) Local 192.168.0.100(4008) 
PAT Global X.X.X.X(1026) Local 192.168.0.100(31946)


原来是内外网的IP转换出错了,哎,我可真是疏忽啊。
后来一个看似老板样子的人来了,我们向他说明了之后,询问是否还有其他要求。
他说。过两天电信局的人会将那个D-LINK拿走,所以希望我们不要通过D-LINK上网,用ASA来顶替它。
想着挺简单的,就是将D-LINK上的IP分给ASA就行了。
我们这样做了之后,试了下baidu,OK,正常。
于是再一次交差。那人也试了下baidu,恩,不错。
但那人点了下MP3的标签时,发现网页打不开了。
我们有点纳闷了,试了下其他网页,真的是除了baidu外,都打不开。更奇怪的是ping任何地址都是通的,这还真是见鬼了。
想来想去,实在是不解。打电话给了公司,向们请求支援。可问题依然没有解决,就连王也觉得不可思议。最后就因为这个问题一直纠缠着。
后来发现,所有电脑,一旦自己获取IP地址后,得到的是个错误的网关,可就算手动更改后,还是打不开网页。


后来,在多方指导下,才知道ASA里面的一条命令限制了TCP连接数,所以正常上网时,无法正常和目的服务器正常建立TCP连接,所以网页当然也就无法打开了。
而ping用的不是TCP协议,所以“逃出一劫”。既然如此,那么只要IP地址,网关正确就OK了。
这下上网的问题解决了,可有关IP分配的问题还是不清楚。可以确定的是充当DHCP角色的是另一个服务器----WEB服务器。因为只要它连上交换,所有机子获得的网关都是错的,并且是指向它自己的192.168.0.2;而断开它的连接,其他机子都无法获得到IP地址。但我发现该机并没有装DHCP服务组件,那么是如何实现IP的分配?在添加/删除里面也没有看到相关的第三方软件。哎,问题真是一个接一个啊。头真大了。
最后也算运气吧。那里的人说,低下还有一批机子,平常不能让他们上网,但偶尔也要让他们上下网,升级病毒、查查资料等。我们想了想,然后问他们以前是如何实现这个目的。他说是通过改IP的方式。
这可很是守得云开见月明啊。那现在不就是这样么,其他机子只要开机,获取到的都是错误的网关,肯定上不了网。只要改下网关就OK了。然后那人说,给留10个能上网的IP就够了。多了怕以后人都能上网了。Easy,在ASA上在多写个ACL不就行了。这样即使下面人知道了网关也无济于事。可要是低下人比上面的人早设置成那10个IP,那上面的人就上不了了啊。我们给他说明了这个问题后, 没想到他很明白的说:“这个我们知道,只要右下脚出现什么IP冲突,就证明是低下人弄的。”看来他们对这个改IP的方法很熟了。于是我们将固定的10个IP地址留给了他,让他日后自己在上面的机子上设置为静态IP。
OK,一切也就这样完成了。凑合算的上是个小圆满。
(注:所有的设备,除ASA外,都没有断过电,所以排除那种因为电源中断,导致配置紊乱的说法)






不过,就此次工程,我还是有些地方不懂。最近也没时间请教,有知道的还望说明下。
①为什么当我把ASA添加后,还没有配置成功,值班那人的机子(即代理服务器)却可以不受影响的玩着QQ游戏?
②红字部分。我没有更改他们那里的任何一台设备,仅仅将ASA连上后,调试了下,没成功,然后摘下,恢复成初始样子,但为什么会上不了网。也就是说为什么D-LINK里面的客户列表会是空的?(这时候的机子IP都是正常的。不管是手动还是自动获取)
③还是红字部分。一开始的时候(还没有弄ASA),我先将自己的本直接连在了他们的交换机上,所获得的IP是192.168.0.0/24(他们的内网IP),网关是192.168.0.250(代理服务器),上网等一切都正常。可最后去掉D-LINK后,最后调试好ASA,那台WEB服务器怎么就有了DHCP功能呢?也正如我说,该机上并没有相关的第三方软件,也没有安装DHCP组件。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值