前言
这套课程竟然以解决实际工作需求为主的,那当然少不了实战了,之前一直没涉及到实战的内容,主要是就算是一个小型办公也离不开最简单的安全策略配置、NAT配置,但这2个内容就已经讲解了14篇内容,但是这14篇内容已经把这几个方面讲解的非常通透了,对于实际中不管是规划、配置、排错都有很大的帮助,接下来就是博主以工作中常见的场景为案例讲解下部署与容易遇到的问题。
特别说明:实战的内容跟细节比较多,文章部分就只给出重点方向以及配置部分,不然篇幅太长了,视频讲解会以真机或者模拟器的WEB进行演示,加上细节部分讲解。(之前WEB只是点到为止,没有详细的演示过整个流程,之前有购买过无线课程的朋友,建议我加上一些WEB的操作,便于工作中配置,所以这里对于购买了学习视频的案例部分就以WEB演示,整个流程,包括命令行、细节与注意地方。)
案例一:防火墙三种互联网对接上网方式(小型办公网)
关于三种互联网对接方式其实在第10篇已经详细讲解过了,不过综合安全策略与NAT是没有的,所有这里来讲解下在综合部署需要注意哪些。
第一种方式:采用自动向导方式配置,以及注意的地方(内容太多,文章部分就只给出命令行参考)
代码语言:javascript复制#
dhcp enable
#
interface
GigabitEthernet1/0/0
undo shutdown
ip address 192.168.100.254 255.255.255.0
dhcp select interface
dhcp server ip-range 192.168.100.10
192.168.100.254
dhcp server dns-list 192.168.100.254
#
interface
GigabitEthernet1/0/2
pppoe-client dial-bundle-number 1
undo shutdown
#
interface Dialer0
link-protocol ppp
ppp chap user 1
ppp chap password cipher
%$%$C<*#Te|B7R1;idR&4-3&=X<<%$%$
ppp pap local-user 1 password cipher
%$%$~nm=3p>[xKZ(ld!N:q"EP%d$%$%$
ppp ipcp dns admit-any
ip address ppp-negotiate
dialer user 1
dialer bundle 1
#
ip route-static 0.0.0.0
0.0.0.0 Dialer0
#
firewall zone trust
set priority 85
add interface GigabitEthernet0/0/0
add interface GigabitEthernet1/0/0
#
firewall zone untrust
set priority 5
add interface Dialer0
add interface GigabitEthernet1/0/2
#
security-policy
default action permit
#
nat-policy
rule name GuideNat1609136826341
egress-interface Dialer0
action source-nat easy-ip
PS:这些都是向导模式生成的,会有一定的问题,建议优化下
注意事项与优化
(1)DNS建议改成运营商分配或者是公有,不建议用防火墙的(向导模式自动分配防火墙的),可以手动修改下
(2)拨号口的MTU向导没有修改,默认为1500,建议修改成1480以及以下
(3)TCP的MSS(可选),如果遇到网页打开慢或者打不开建议修改到1400或者以上
(4)安全策略会向导是把默认策略改成了permit,如果客户那边有一定的要求的话,建议改成deny,手动配置安全策略。
第二种方式:采用正常配置模式的步骤与思路
(1)确定接口,哪个口接外网 哪个口接内网,根据实际的情况外网对接方式(用PPPOE、DHCP、还是静态IP)根据不同的方式注意下是否需要写默认路由,然后内网口配置一个网关(尽量不要用192.168.0.0/192.168.1.0/31.0这些网段)
(2)配置内网DHCP、安全策略、NAT策略
(3)外网对接方式不一样,注意的细节不一样,比如拨号 要调整下MTU跟MSS,DHCP的话注意内网配置网段跟猫在的网段不要冲突。
容易忽略以及出现的问题总结
(1)外网对接这一块,如果是DHCP方式对接(内网建议不要使用192.168.0.0/1.0/31.0这些),可以使用10.X.X.X或者172.16开头以及192.168.100往后,避免跟外网分配的网段冲突
(2)外网对接如果是PPPOE或者是固定IP,一定要写默认路由,这个是容易被忽略,如果是PPPOE拨号,注意修改下MTU跟MSS
(3)内网DHCP服务器配置的时候,注意网关 以及分配范围(是否需要保留一些地址给打印机跟服务器)以及DNS
(4)安全策略这一块只要注意源目区域跟源地址即可
(5)NAT策略这一块建议配置使用源目区域,不要使用接口形式
排错的思路
如果内外网都配置好,安全策略以及NAT策略也配置好后,客户端上不了网
(1)从内外网检测,查看内外网是否配置正常,正常的情况下,可以建立一个安全策略 从Local到any,然后在诊断里面ping外网,看外网是否通,先确保外网线路没有问题。如果外网通,那么说明线路没问题,如果外网不通,则检查线路。
(2)当检测外网没问题后,检查内网的客户端的IP、网关、掩码、DNS是否正确,并且ping防火墙是否通(防火墙记得开ping功能),通的情况下说明内网到防火墙之间的链路是没有问题的,接下来从会话表下手。
(3)可以长ping对方,然后看防火墙的会话表是否有该主机的会话,没有则检测安全策略是否正确,如果有的话,查看会话表的内容是否正常(从是否转换了源地址,以及匹配了哪个安全策略。正反向数据包是否有统计观察)
(4)如果没有发现源地址,可以从NAT策略下手排查。
(5)整个里面容易出现的点 外网对接的时候默认路由忘记写,其次就是NAT跟安全策略这块。