400-618-8070

11alt" />
乾颐堂大学堂
Large School
技术文档
乾颐盾之深信服防火墙(三)—乾颐堂
发布时间:2016-07-11   浏览次数:   分享:

对于接入方式我们上次也说了,就是虚拟网线的接入方式,他把两个接口互相最为一个接口对,然后只要流量是经过这两个接口的直接发送到对端接口,不做路由和mac地址的查询。对于深信服的接入方式我们有透明模式、路由模式、混合模式、旁路模式、虚拟网线这么五种接入方式。如果我们的网络原先就已经设计并且是正常运行了,我现在买回来深信服的防火墙也不想改变原先的拓扑,那么我们需要选择什么样子的接入方式呢?

显然答案就是我们需要选择透明模式的接入了,深信服的防火墙在透明模式的接入上也是采用的Zone-based的模式,需要预先创建两个二层区域,然后把接口关联到区域上去。同时透明模式的接口只支持两种方式,一种是Access还有一种是Trunk模式。如果下面接的比较的单一,只是单纯的VLAN,还是推荐access,如果下面接入的流量比较的复杂,需要承载多个VLAN的话,我们还是推荐用Trunk模式。

 

第一部分:我们先来看下Access模式的接入方式。


下面我们简单的看下实验的过程,实验很简单,就是让R1和R2能够正常的通信,而且必须经过防火墙。看到我们拓扑图中演示的,上面和下面都是VLAN20。放行策略是从Inside到Outside的主动发起是可以的,但是从R2主动发起是不行的,主要还是测试telnet和PING。

一:在交换机和路由器上做好相应的桥接

SW1(config)#vlan 20

SW1(config-vlan)#name qytang-access-vlan

SW1(config)#interface range f0/2 , f0/4

SW1(config-if-range)#switchport mode access

SW1(config-if-range)#switchport access vlan 20  

SW1(config-if-range)#no shutdown

 

 

SW2(config)#vlan 20

SW2(config-vlan)#name qytang-access-vlan

SW2(config)#interface range f0/3 , f0/5

SW2(config-if-range)#switchport mode access

SW2(config-if-range)#switchport access vlan 20

SW2(config-if-range)#no shutdown

二:配置路由器R1和R2的接口和路由

R1(config)#interface f0/0

R1(config-if)#ip address 10.1.1.1 255.255.255.0

R1(config-if)#no shutdown

 

R2(config)#interface f0/1         

R2(config-if)#ip address 10.1.1.2 255.255.255.0

R2(config-if)#no shutdown

三:在防火墙上创建对应的二层zone

网络配置 > 接口/区域 > 区域 > 新增


四:桥接物理接口到对应的Zone,并且配置物理接口

网络配置 > 接口/区域 > 物理接口 


五:创建IP组,并且放行从R1到R2的策略

创建IP组

对象定义 > IP组 > 新增

放行相关的策略


内容安全 > 应用控制策略 > 新增


六:测试

由于放行了R1-R2的icmp和telnet流量,那么从R1发起的流量是可以正常通信的。

由于没有放行从R2-R1的流量,那么我们从R2到R1的测试应该是过不了的。


到现在为止,基于access接口的透明模式就完成了,由于设备是纯二层的,所以对于路由来说没有变化,而且我们同样可以基于防火墙做一些策略。


第二部分:基于Trunk的透明模式


可以看到的是这个拓扑和之前的Access的拓扑的变化并不大,我们需要做的就是在原来的上面进行相关的修改就可以了。现在我们在防火墙的两端都有两个VLAN,那么我们普通的ACCESS接口的接入方式就没有办法满足这个条件了,我们需要Trunk模式的接入。

 

一:修改SW1和SW2上的桥接

SW1(config)#vlan 10

SW1(config-vlan)#name qytang-trunk    

SW1(config)#interface fastEthernet 0/4

SW1(config-if)#switchport mo access

SW1(config-if)#switchport access vlan  10

SW1(config-if)#no shutdown

SW1(config-if)#end

SW1(config)#interface f0/5

SW1(config-if)#switchport mode access

SW1(config-if)#switchport access vlan 20

SW1(config-if)#no shutdown

SW1(config)#int f0/2

SW1(config-if)#switchport trunk encapsulation dot1q  

SW1(config-if)#switchport mode trunk

SW1(config-if)#switchport trunk allowed vlan 1,10,20

SW1(config-if)#no shutdown

 

SW2(config)#vlan 10

SW2(config-vlan)#name qytang-trunk

SW2(config-vlan)#exit

SW2(config)#interface f0/3

SW2(config-if)#switchport trunk encapsulation dot1q

SW2(config-if)#switchport mode trunk

SW2(config-if)#switchport trunk allowed vlan 1,10,20

SW2(config-if)#no shutdown


二:配置R1,R2和SW2的三层接口

SW2(config)#interface vlan 10

SW2(config-if)#ip address 10.1.1.100 255.255.255.0

SW2(config-if)#no shutdown

SW2(config)#interface vlan 20

SW2(config-if)#ip address 10.1.2.100 255.255.255.0

SW2(config-if)#no shutdown

 

R2(config)#int f0/1

R2(config-if)#shutdown

R2(config)#int f0/0

R2(config-if)#ip address 10.1.2.2 255.255.255.0

R2(config-if)#no shutdown


三:在防火墙上修改端口设置为TRUNK

网络配置 > 接口/区域 > 物理接口


四:为对应的网段创建IP组

对象定义 > IP组 > 新增


五:修改和添加对应的放行策略

我们这次是希望R1和R2都能正常访问对应的Outside的网关,也就是.100的地址。之前我们在Acces的时候放了R1-R2的10.1.1.0/24,和现在R1-SW2的10.1.1.0/24是一样的策略,不需要多余放行,我们这边只需要修改原来的策略,把网段加上10.1.2.0/24的网段就可以了。

内容安全 > 应用控制策略 


六:进行相关测试

先来测试VLAN10的,也就是10.1.1.0/24网段的。


再来测试下VLAN20的,也就是10.1.2.0/24这个网段的情况。

到现在为止,关于设备的透明接入模式的两种接入方法我们就说完了,大致可以看到的是,深信服的设备对于透明模式接入的方法还是比较的简单明了的,很方便的就可以进行相关的部署。



 ©2013-2014  乾颐堂网络工程师培训  版权所有  京ICP备14044984号-2 

 中国权威 Cisco (思科) CCNA CCNP CCIE 认证培训 企业定制培训

 咨询报名电话:400-618-8070   

CCNA论坛