实验背景
客户购买1台NGAF,连接内网和DMZ区域,DMZ区域的服务器配置公网IP,要求以混合模式部署,服务器通过网桥模式正常转发业务数据,内网通过防火墙路由模式上公网。
实验拓扑
实验步骤
VPC
指定vpc主机ip为192.168.10.1,网关为 192.168.10.254
VPCS>ip 192.168.10.1255.255.255.0 192.168.10.254
VPCS>ip dns 114.114.114.114 指定 dns 服务器
L2-Switch
接入层交换机
Switch(config)#vlan 10
Switch(config-vlan)#exit
Switch(config)#interface e0/0
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 10
Switch(config-if)#exit
Switch(config)#interface e0/1
Switch(config-if)#switchport trunk encapsulation dot1q
Switch(config-if)#switchport mode trunk
L3-Switch
核心/汇聚层交换机
Switch(config)#vlan 10
Switch(config-vlan)#exit
Switch(config)#interface g0/0
Switch(config-if)#switchport trunk encapsulation dot1q
Switch(config-if)#switchport mode trunk
Switch(config-if)#exit
Switch(config)#ip routing 启动路由功能
Switch(config)#interface vlan10
Switch(config-if)#ip address 192.168.10.254 255.255.255.0
Switch(config-if)#no shutdown
Switch(config)#interface gO/1
Switch(config-if)#no switchport 改为三层接口
Switch(config-if)#no shutdown
Switch(config-if)#ip address 10.1.1.1 255.255.255.252
Switch(config)#ip route 0.0.0.0 0.0.0.0 10.1.1.2 配置上网的缺省路由,下一跳为防火墙接口 e0/1 IP
防火墙
接下来,在物理主机上,通过浏览器访问管理IP,使用图形化管理下一代防火墙
创建安全区域,下一代防火墙默认已创建多个安全区域,如需自定义区域,可以如图新建安全区域
配置e0/2接口:绑定安全区域为L2二层安全区域(网桥式)等
配置e0/1接口:绑定安全区域为trust三层安全区域(路由模式)、IP地址等
配置 e0/0接口:修改绑定安全区域为L2-untrust 二层安全区域(网桥模式)等:
注意:L2-untrunst 接口 e0/0 与 L2-dmz 接口 e0/2 成为网桥模式的进\出接口
注意:此时 e0/0 变为二层接口,之前的管理IP会被清除,需回到命令行配置 vswitchif1 接口,作为网桥的管理接口及新管理IP,与公网区域及服务器区属于同一子网(vswitchif1 同时也作为路由模式的 untrust 区域接口,与 E0/1 接口成为路由模式的进\出接口)
SG-6000# configure
SG-6000(config)# interface vswitchif1
SG-6000(config-if-vsw1)# zone untrust
SG-6000(config-if-vsw1)# ip address dhcp setroute
SG-6000(config-if-vsw1)# manage https
SG-6000(config-if-vsw1)# show interface
接下来,在物理主机上,通过浏览器访问新管理IP,使用图形化管理下一代防火墙
为路由模式,配置路由,包括回程路由和缺省路由(通过vswitchif1 接口 dhcp已经获得)
为路由模式,配置源 NAT策略(即动态 NAT),实现内网 VPC 上公网需求
为路由模式,配置安全策略即包过滤策略(默认拒绝区域间访问),配置策略
让内网网段可以访问公网,即e0/1区域访问 vswitchif1 区域,而 vswitchif1 区域与公网服务器区同为一个三层 untrust 区。
接下来测试内网 VPC 主机可以上公网
至此,在混合模式部署的防火墙中,实现内网通过路由模式上公网,接下来实现公网用户通过网桥模式与服务器区进行正常业务转发,此时公网与服务器仅通过一个网桥模式进行互联,故防火墙无需路由配置和 NAT 配置,仅需配置安全策略,允许 L2-untrust 区域访间 L2-dmz 区域
服务器
用路由器模拟一台开启 TCP 80 端口的 web 服务器:
Router(config)#interface g0/0
Router(config-if)#ip add 192.168.32.158 255.255.255.0配置为vswitchif1同网段IP
Router(config-if)#no shutdown
Router(config-if)#exit
Router(config)#no ip routing 关闭路由功能,模拟一台服务器主机
Router(config)#ip default-gateway 192.168.32.2 给主机配置默认网关,与防火墙中缺省路由的下一跳一样
Router(config)#ip name-server 114.114.114.114 给主机配置 dns服务
Router(config)#ip httpserver 开启80端口
为网桥模式,配置安全策略,让公网用户可以访问服务器区 web 服务
实验结果
在物理主机上,测试是否可以访问服务器web,如图
测试1
测试2