赞
踩
号主:老杨丨11年资深网络工程师,更多网工提升干货,请关注公众号:网络工程师俱乐部
下午好,我的网工朋友。
昨天和张总唠嗑,聊到了年前HCIE安全V3.0的发布,几个月了,还是有不少人在群里聊3.0的难度和之前的差别,比如说实操上增强了不少。顺手给你看看知识点啊。
看得头大,网络安全的知识点不要太多了。随随便便一个分支,就可以继续深入拓展学习。
如果你对具体要怎么学安全,学哪块,思路不清晰,加上老杨总,让他给你分析一波,欢迎交流讨论下网络安全现状和未来发展方向啊。
张总最近刚好讲到防火墙的知识点,所以今天就给你讲讲这块的知识点。
这篇文章是一次防火墙实验配置的全记录。从实验设想、实验脚本、实验展示到问题与反思的深度教学。
不得不说,他班上的小弟这作业完成得,堪称模板啊,给你展示一波。
今日文章阅读福利:《 思科防火墙系列产品白皮书 》
私信发送暗号“防火墙”,即可获取此份思科优质白皮书,提升你的技术水平。
某园区共有四个部门以及一台公共服务器,现有一台核心交换机以及一台内网防火墙,拓扑如下:
本实验用PC1A到PC4D模拟四个部门,server1模拟公共服务。
其中,PC1A以及PC2B处在同一区域,属于VRF A,PC3C以及PC4D处在同一区域,属于VRF B。内网防火墙使用虚拟防火墙技术,虚拟出两台防火墙。
其中vsysA虚拟防火墙分配给VRF A区域使用,vsysB虚拟防火墙分配给VRF B使用。
通过实验配置,应使得PC1A访问PC3C的路径为vrfA - sysA - SWpublic - vsysB - vrfB,PC2B访问PC4D的路径为vrfA - sysA - vsysB - vrfB,并且所有部门访问公共服务时都应该经过自己本区域的虚拟防火墙。
1. VRF配置
2.创建vlan及接口IP
3.配置物理接口
4.路由配置
1.Vlan及接口配置
2.虚拟防火墙分配资源
1.接口IP配置
2.区域配置
3.策略配置
4.路由配置1
5.路由配置2
此步骤应在物理防火墙上配置
ip route-static vpn-instance vsysA 192.168.40.0 255.255.255.0 vpn-instance vsysB
1.接口IP配置
2.区域配置
3.策略配置
4.路由配置1
5.路由配置2
ip route-static vpn-instance vsysB 192.168.20.0 255.255.255.0 vpn-instance vsysA
在设计实验所需的互联网段时,没有考虑全面,导致开始配置后出现部分路径没有网关,后又重新花时间设计网段。
在配置vsys时,两台虚拟防火墙之间通过物理防火墙写VRF路由之后,不通,排查无果后,翻看PPT,发现是由于虚拟接口未加入区域导致。
原创:老杨丨11年资深网络工程师,更多网工提升干货,请关注公众号:网络工程师俱乐部
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。