2020 年全国职业院校技能大赛中职组“网络搭建与应用”赛项竞赛样卷
——防火墙IPsec建立分解
题目要求:
集团防火墙与广东办事处防火墙之间使用互联地址建立 IPSEC 隧道,集团防火墙侧使用 E0/3 侧接口地址,实现广东办事处营 销 业 务 终 端 172.40.11.100/32与 托 管 在 运 营 商 机 房172.40.254.254/32业务通过逻辑隧道进行转发
赛题拓扑:
根据题目要求,换另一句话讲就是:
FW-1的客户端:172.40.254.254/32
和
FW-2的客户端:172.40.11.100/32 相互访问的时候,通过ipsece隧道接口通讯
由此,就可以确定出了,ipsec 的两端客户端.
那么,就要知道他们所谓的“互联地址”到底是什么了.
回看题目:
从划红线部分可以知道,所谓的“互联”地址,就是RT-1和FW-2的互联地址也要发布到OSPF进程1中
配置方法:
RT-1:
1.创建ACL过滤列表
ip access-list standard fw2
permit 10.40.254.37 255.255.255.252
!
route-map fw2 10 permit
match ip address fw2
!
2.OSPF1中引入直连路由,应用过滤列表,避免引入其他无关路由
router ospf 1
redistribute connect route-map fw2
1.建立ipsec的源和目的,都一一具备了
2.建立IPsec前进行检查两端防火墙的“互联”地址,是否能够互通
完成后就可以进行以下操作了:
FW-1:
1.禁止广东办营销PC访问运营商PC的时候转换SNAT地址
2.配置IPsec对端信息
3.创建IPsec
4.配置隧道并绑定IPsec
5.配置路由
6.配置策略放行
防火墙FW_1中的地址簿已经创建以下信息:
广东办事处营销业务终端100:172.40.11.100/32
托管在运营商机房:172.40.254.254/32
1.禁止广东办营销PC访问运营商PC的时候转换SNAT地址
当经过SNAT转换地址之后,地址将会发生变化,对ipsec的建立会产生影响,所以需要配置SNAT不转换操作,避免地址改变。
2.配置IPsec对端信息
3.创建IPsec
4.配置隧道并绑定IPsec
5.配置路由
6.配置策略放行
同理的,我们FW-2上也配置相似的操作:
>与其他常见的ipsec相比,该题中的客户端仅变成了在SNAT转换口上
>其实,在FW-1的SNAT口上放行了ipsec部分的流量不转换地址,其他操作都与手册上的一致
FW-2:
1.配置IPsec对端信息
2.创建IPsec
3.配置隧道并绑定IPsec
4.配置路由
5.配置策略放行
1.配置IPsec对端信息
2.创建IPsec
3.配置隧道并绑定IPsec
4.配置路由
5.配置策略放行
最终结果验证:
在FW-2的营销业务客户端 (172.40.11.100 )进行测试:
在SW-1上,使用ping源充当(172.40.254.254)进行测试:
当访问都能够互通的时候,就可以在防火墙上查看对应的ipsec建立状态了
FW-1的ipsec建立情况
FW-2的ipsec建立情况
至此,配置完成,如有任何疑惑,可以直接私聊我进行讨论解决
——2021.04.27 20年国赛 防火墙ipsec分解
拓展分析:
当FW-1上配置完成禁止“172.40.11.100”访问“172.40.254.254”的时候,防火墙暂时放行any,测试双方是否可以互ping,从而判断链路之间是否存在故障,无误则可以继续进行ipsec的建立
【如果你需要更加细致的判断是否可以互ping,那么放行策略参考以下设置】
FW-1:
trust -> untrust #(当没有配置ipsec的时候营销pc只能通过trust区域)
172.40.11.100 ->172.40.254.254
untrust -> trust #(让运营商pc能够访问到营销pc)
172.40.254.254 172.40.11.100
FW-2:
trust -> dmz #(让营销pc能够访问运营商pc)
172.40.11.100 ->172.40.254.254
dmz -> trust #(让运营商pc能够访问到营销pc)
172.40.254.254 172.40.11.100
以上的策略,后期修改成ipsec的隧道所在区域之后就和答案一致了
当发现不能互Ping的时候怎么办呢?
1.检查路由表【查看是否有前往对应pc的路由】
2.使用tracert进行查看流量丢包的位置【确定丢包位置后缩小排错范围】
3.查看防火墙是否放行流量【大部分时候,都是策略放行错误导致流量被拦截】
853
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
