(防火墙区域+DHCP基于接口+DHCP中继+服务器区域+有线区域+无线区域)配置
一、适用场景:
1、普通企业级网络无冗余网络环境,防火墙作为边界安全设备,分trust(内部网络信任区域)、untrust(外部网络非信任区域)、dmz(非军事服务器区域)
2、dmz区域运行企业的专业服务器,本例以FTP与HTTPS服务器为访问目标,供trust中的有线用户、无线用户访问。
3、cloud云朵模拟外部网络,无线区域的STA与手机用户能访问cloud云朵外部网络。
4、使用无线AC控制器统一管理所有的无线AP接入点,下发wifi配置,管理信道、射频2.4Ghz与5Ghz、等。
二、拓扑图:
三、根据拓扑图初步规划
四、配置过程:
1、FW1:
System-view #进入系统视图
sysname FW1 #给防火墙命名
interface GigabitEthernet1/0/0 #进入G1/0/0接口视图
ip address 192.168.210.253 255.255.255.0 #给该接口配置一个ip地址,用于cloud与防火墙相连
service-manage all permit #开启该接口的所有服务,测试连通性时用
interface GigabitEthernet1/0/1 #进入G1/0/1的接口视图
ip address 172.16.101.1 255.255.255.0 #给该接口配置一个ip地址,用于防火墙与DMZ区域的交换机相连
service-manage all permit #开启该接口的所有服务,测试连通性时用
interface GigabitEthernet1/0/2 #进入G1/0/2的接口视图
ip address 172.16.102.1 255.255.255.0 #给该接口配置一个ip地址,用于防火墙与trust区域的路由器相连
service-manage all permit #开启该接口的所有服务,测试连通性时用
firewall zone trust #配置防火墙的trust区域
set priority 85 #区域的安全级别
add interface GigabitEthernet0/0/0 #加入G0/0/0接口到trust信任区域
add interface GigabitEthernet1/0/2 #加入G1/0/2接口到trust信任区域
firewall zone untrust #配置防火墙的untrust非信任区域
set priority 5 #区域的安全级别
add interface GigabitEthernet1/0/0 #加入G1/0/0接口到untrust非信任区域
firewall zone dmz #配置防火墙的dmz非军事区域
set priority 50 #区域的安全级别
add interface GigabitEthernet1/0/1 #加入G1/0/1接口到dmz非军事区域
ospf 1 router-id 2.2.2.2 #配置ospf路由指定router-id
area 0.0.0.0 #配置区域0(骨干区域)
network 172.16.101.0 0.0.0.255 #宣告172.16.101.0/24网段与自己相连
network 172.16.102.0 0.0.0.255 #宣告172.16.102.0/24网段与自己相连
network 192.168.210.0 0.0.0.255 #宣告192.168.210.0/24网段与自己相连
security-policy #配置防火墙的域间安全策略
rule name trust_untrust #指定安全策略名称
source-zone trust #源区域为trust信任区域
destination-zone untrust #目标区域为untrust非信任区
action permit #允许访问
rule name dmz_untrust #指定安全策略名称
source-zone dmz #源区域为dmz非军事区域
destination-zone untrust #目标区域为untrust非信任区
action permit #允许访问
rule name trust_dmz #指定安全策略名称
source-zone trust #源区域为trust信任区域
destination-zone dmz #目标区域为dmz非军事区域
action permit #允许访问
rule name dmz_trust #指定安全策略名称
source-zone dmz #源区域为dmz非军事区域
destination-zone trust #目标区域为trust信任区域
action permit #允许访问
2、LSW4:
System-view #进入系统视图
sysname LSW4 #给交换机命名
vlan batch 100 to 101 #创建vlan100用于server业务网络,vlan101用于连通防火墙
interface Vlanif100 #配置vlanif100接口
ip address 172.16.100.254 255.255.255.0 #给vlanif100接口配置ip地址,作为server网关ip地址
interface Vlanif101 #配置vlanif101接口
ip address 172.16.101.4 255.255.255.0 #给vlanif101接口配置ip地址,用于OSPF路由协议,连通防火墙
interface GigabitEthernet0/0/1 #进入G0/0/1接口视图
port link-type access #配置该接口工作模式为access
port default vlan 101 #允许接口透传vlan101
interface GigabitEthernet0/0/2 #进入G0/0/2接口视图
port link-type access #配置该接口工作模式为access
port default vlan 100 #允许接口透传vlan100
interface GigabitEthernet0/0/3 #进入G0/0/3接口视图
port link-type access #配置该接口工作模式为access
port default vlan 100 #允许接口透传vlan100
ospf 1 router-id 1.1.1.1 #配置OSPF路由
area 0.0.0.0 #区域0配置
network 172.16.100.0 0.0.0.255 #宣告172.16.100.0/24网段与自己相连
network 172.16.101.0 0.0.0.255 #宣告172.16.101.0/24网段与自己相连
3、AR1:
System-view #进入系统视图
sysname AR1 #配置路由器的名称
interface GigabitEthernet0/0/1 #进入G0/0/1接口视图
ip address 172.16.102.2 255.255.255.0 #配置该接口的ip地址,用于OSPF协议与防火墙相连
interface GigabitEthernet0/0/2 #进入G0/0/1接口视图
ip address 172.16.103.1 255.255.255.0 #配置该接口的ip地址,用于OSPF协议与LSW1交换机相连
ospf 1 router-id 3.3.3.3 #配置ospf路由指定router-id
area 0.0.0.0 #配置区域0
network 172.16.102.0 0.0.0.255 #宣告172.16.102.0/24网段与自己相连
network 172.16.103.0 0.0.0.255 #宣告172.16.103.0/24网段与自己相连
4、LSW1:
System-view #进入系统视图
sysname LSW1 #给交换机命名
vlan batch 103 105 to 107 #创建多vlan
dhcp enable #开启DHCP服务
interface Vlanif1 # 进入vlanif1接口视图
ip address 172.16.253.253 255.255.255.0 #配置vlan1的ip地址,用于OSPF路由协议,连通AC
interface Vlanif103 #进入vlanif103接口视图
ip address 172.16.103.2 255.255.255.0 #配置vlan103的ip地址,用于OSPF路由协议,连通AR1路由器
interface Vlanif105 #进入vlanif105接口视图
ip address 172.16.105.254 255.255.255.0 #配置vlan105的ip地址,当有线区域网关
dhcp select interface #开启基于接口模式的dhcp服务,使vlan105的access端口能获取到该网段的ip地址,即给有线区域自动分配ip地址
interface Vlanif106 #进入vlanif106接口视图
ip address 172.16.106.254 255.255.255.0 #配置vlan106的ip地址,当无线区域vlan106的网关
dhcp select relay #开启DHCP中继
dhcp relay server-ip 172.16.253.254 #指定DHCP中继的服务器ip地址,即地址池所在(给无线区域的vlan 106范围内的终端自动分配ip地址)
interface Vlanif107 #进入vlanif107接口视图
ip address 172.16.107.254 255.255.255.0 #配置vlan107的ip地址,当无线区域vlan107的网关
dhcp select relay #开启DHCP中继
dhcp relay server-ip 172.16.253.254 #指定DHCP中继的服务器ip地址,即地址池所在(给无线区域的vlan 107范围内的终端自动分配ip地址)
interface GigabitEthernet0/0/1 #进入G0/0/1接口视图
port link-type access #配置该接口工作模式为access
port default vlan 103 #允许接口透传vlan 103,用于OSPF协议与AR1路由器连通
interface GigabitEthernet0/0/3 #进入G0/0/3接口视图
port link-type trunk #配置该接口工作模式为trunk
port trunk allow-pass vlan 105 #允许接口透传vlan 105,即有线区域网段,与LSW2连通
interface GigabitEthernet0/0/4 #进入G0/0/4接口视图
port link-type trunk #配置该接口工作模式为trunk
port trunk allow-pass vlan 106 to 107 #允许接口透传vlan 106、vlan107,即有线区域网段,与LSW5连通
ospf 1 router-id 4.4.4.4 #配置OSPF路由协议
area 0.0.0.0 #区域0配置
network 172.16.103.0 0.0.0.255 #宣告172.16.103.0/24网段与自己相连
network 172.16.105.0 0.0.0.255 #宣告172.16.105.0/24网段与自己相连
network 172.16.106.0 0.0.0.255 #宣告172.16.106.0/24网段与自己相连
network 172.16.107.0 0.0.0.255 #宣告172.16.107.0/24网段与自己相连
network 172.16.253.0 0.0.0.255 #宣告172.16.253.0/24网段与自己相连
5、LSW2:
System-view #进入系统视图
sysname LSW2 #给交换机命名
vlan batch 105 #创建vlan 105
interface Ethernet0/0/1 #进入e0/0/1接口视图
port link-type access #配置该接口的工作模式为access
port default vlan 105 #允许该透传的vlan 105
interface Ethernet0/0/2 #进入e0/0/2接口视图
port link-type access #配置该接口的工作模式为access
port default vlan 105 #允许该透传的vlan 105
interface GigabitEthernet0/0/1 #进入G0/0/1接口视图
port link-type trunk #配置该接口的工作模式为trunk
port trunk allow-pass vlan 105 #允许该透传的vlan 105
6、AC1:
System-view #进入系统视图
sysname AC1 #给无线AC命名
dhcp enable #开启DHCP服务(给无线AP分配管理ip,给无线终端分配业务网络ip)
ip pool vlan106 #创建无线区域vlan 106的全局地址池
gateway-list 172.16.106.254 #指定网关地址(网关地址配置在LSW1上)
network 172.16.106.0 mask 255.255.255.0 #指定地址池的网段(终端可获取的ip范围)
excluded-ip-address 172.16.106.251 172.16.106.253 #排除地址范围
ip pool vlan107 #创建无线区域vlan 107的全局地址池
gateway-list 172.16.107.254 #指定网关地址(网关地址配置在LSW1上)
network 172.16.107.0 mask 255.255.255.0 #指定地址池的网段(终端可获取的ip范围)
excluded-ip-address 172.16.107.251 172.16.107.253 #排除地址范围
interface Vlanif1 #进入vlanif1接口视图
ip address 172.16.253.254 255.255.255.0 #配置该接口的ip地址
dhcp select interface #开启基于接口的dhcp服务
ospf 1 router-id 5.5.5.5 #配置OSPF路由协议
area 0.0.0.0 #配置区域0
network 172.16.253.0 0.0.0.255 #宣告172.16.253.0/24网段与自己相连
wlan #配置无线
security-profile name wlan106-2.4G #配置wlan106-2.4G安全模板
security wpa-wpa2 psk pass-phrase wlan1066 aes #指定安全名的wifi密码
security-profile name wlan106-5G #配置wlan106-5G安全模板
security wpa-wpa2 psk pass-phrase wlan1066 aes #指定安全名的wifi密码
security-profile name wlan107-2.4G #配置wlan107-2.4G安全模板
security wpa-wpa2 psk pass-phrase wlan1077 aes #指定安全名的wifi密码
security-profile name wlan107-5G #配置wlan107-5G安全模板
security wpa-wpa2 psk pass-phrase wlan1077 aes #指定安全名的wifi密码
ssid-profile name wlan106-2.4G #配置ssid模板wlan106-2.4G
ssid wlan106-2.4G #指定ssid名称wlan106-2.4G
ssid-profile name wlan106-5G #配置ssid模板wlan106-5G
ssid wlan106-5G #指定ssid名称wlan106-5G
ssid-profile name wlan107-2.4G #配置ssid模板wlan107-2.4G
ssid wlan107-2.4G #指定ssid名称wlan107-2.4G
ssid-profile name wlan107-5G #配置ssid模板wlan107-5G
ssid wlan107-5G #指定ssid名称wlan107-5G
vap-profile name wlan106-2.4G #创建配置模板wlan106-2.4G
service-vlan vlan-id 106 #绑定业务vlan 106
ssid-profile wlan106-2.4G #指定配置名称为wlan106-2.4
security-profile wlan106-2.4G #绑定安全模板wlan106-2.4G
vap-profile name wlan106-5G #创建配置模板wlan106-5G
service-vlan vlan-id 106 #绑定业务vlan 106
ssid-profile wlan106-5G #指定配置名称为wlan106-5G
security-profile wlan106-5G #绑定安全模板wlan106-5G
vap-profile name wlan107-2.4G #创建配置模板wlan107-2.4G
service-vlan vlan-id 107 #绑定业务vlan 107
ssid-profile wlan107-2.4G #指定配置名称为wlan107-2.4G
security-profile wlan107-2.4G #绑定安全模板wlan107-2.4G
vap-profile name wlan107-5G #创建配置模板wlan107-5G
service-vlan vlan-id 107 #绑定业务vlan 107
ssid-profile wlan107-5G #指定配置名称为wlan107-5G
security-profile wlan107-5G #绑定安全模板wlan107-5G
ap-group name wlan106 #创建ap组wlan106
ap-group name wlan107 #创建ap组wlan107
ap-id 106 type-id 60 ap-mac 00e0-fc97-5630 #根据MAC地址注册一个ap
ap-name wlan106 #给AP命名
ap-group wlan106 #将AP加入到组
radio 0 #配置射频0,即2.4Ghz
vap-profile wlan106-2.4G wlan 1 #调用配置文件wlan106-2.4G
channel 20mhz 6 #发射功率为20Mhz,信道为6
eirp 127 #配置天线等效各向同性辐射功率与近的频道不冲突
radio 1 #配置射频1,即5Ghz
vap-profile wlan106-5G wlan 1 #调用配置文件wlan106-5G
channel 40mhz-minus 40 #发射功率为40Mhz,信道为40
eirp 2 #配置天线等效各向同性辐射功率与近的频道不冲突
ap-id 107 type-id 60 ap-mac 00e0-fc96-2390 #根据MAC地址注册第二个ap
ap-name wlan107 #给AP命名
ap-group wlan107 #将AP加入到组
radio 0 #配置射频0,即2.4Ghz
vap-profile wlan107-2.4G wlan 1 #调用配置文件wlan107-2.4G
channel 20mhz 1 #发射功率为20Mhz,信道为6
eirp 1 #配置天线等效各向同性辐射功率与近的频道不冲突
radio 1 #配置射频1,即5Ghz
vap-profile wlan107-5G wlan 1 #调用配置文件wlan107-5G
channel 80mhz-plus 48 #发射功率为80Mhz,信道为48
eirp 126 #配置天线等效各向同性辐射功率与近的频道不冲突
capwap source interface vlanif 1 #配置AC的源接口为vlanif1
7、LSW5:
System-view #进入系统视图
sysname LSW5 #给交换机命名
vlan batch 106 to 107 #创建业务vlan 106和107
interface GigabitEthernet0/0/1 #配置G0/0/1接口
port link-type trunk #配置接口模式为trunk
port trunk allow-pass vlan 106 to 107 #允许透传的业务vlan是106 107管理vlan 1
interface GigabitEthernet0/0/2 #配置G0/0/1接口
port link-type trunk #配置接口模式为trunk
port trunk allow-pass vlan 106 #允许透传的业务vlan是106 管理vlan 1
interface GigabitEthernet0/0/3 #配置G0/0/1接口
port link-type trunk #配置接口模式为trunk
port trunk allow-pass vlan 107 #允许透传的业务vlan是107 管理vlan 1
8、Server1:
9、Cloud:用于物理PC机与ENSP模拟器之间的连接,本例采用GE千兆端口,创建internal链路时,端口选择GE,public链路选择虚拟网卡为vmware的一个虚拟网卡,双向通道选择入端口编号与出端口编号分别为1、2,增加后,如下图:
10、Client1:
11、PC1:从LSW1的DHCP服务基于接口模式的地址池获取ip地址
(1)设置PC1的ipv4配置为DHCP模式
(2)使用命令ipconfig /renew重新获取ip地址
12、AP1:查看AP1从管理vlanif1获取到的ip地址:
13、查看AP2从管理vlanif1获取到的ip地址:
14、查看STA1笔记本的情况:
(1)使用STA1笔记本的VAP选项卡,连接wlan106-2.4G这个wifi,根据状态,已连接上,如下图:
(2)使用ipconfig命令,查看笔记本电脑Sta1获取到的ip地址,在我们的规划中:
15、查看手机Cellphone1状态:
(1)使用手机Cellphone1的VAP选项卡,连接wlan107-5G这个wifi,根据状态,已连接上,如下图:
(2)使用命令查看手机获取到的ip地址,在我们的规划中:
五、结果验证:
(一)防火墙高级别区域访问低级别区域
1、trust区域的PC1访问dmz区域的server1,连通性正常
2、dmz区域的server2访问untrust区域的防火墙G1/0/0接口,连通性正常
(二)有线区域访问DMZ服务器
1、client1访问server1,数据显示正常
(1)server1配置,开启FTP服务,TCP的21号端口
(2)从client1中使用FTPclient客户端信息选项卡,填写server1的服务器ip地址,端口号,默认的用户名和密码,登录后,可以看到FTP服务器中的内容,如下图:
2、PC1自动获取ip地址后,访问DMZ服务器server2正常
(三)无线区域AP获取ip地址后,上线正常
1、AP2从vlanif1获取的ip地址(AP2经过LSW1进行DHCP的中继,跳到AC1的地址池获取AP的管理ip地址)
2、AP1从vlanif1获取的ip地址(AP1经过LSW1进行DHCP的中继,跳到AC1的地址池获取AP的管理ip地址)
3、从AC可以看到2个AP都已经上线
(四)无线区域wifi发射正常
1、AP1发射的wifi,通过该区域的手机可以看到wlan107-2.4G与wlan107-5G为名称的2个wifi信号
2、AP2发射的wifi,通过该区域的STA笔记本电脑,可以看到wlan106-2.4G与wlan106-5G的wifi信号
3、从AC上看发射的wifi
(五)无线区域STA与手机连接wifi正常后,获取ip正确
(六)trust中的无线区域STA访问dmz区域中的服务器正常
(七)trust中的无线区域访问防火墙untrust区域的接口G1/0/01连通性正常
本例中,防火墙主要对的区域划分(信任区trust+非信任区untrust+非军事区dmz),区域间的访问安全策略进行了配置,配置本例中允许业务所需要的区域间相互访问,默认拒绝所有端口与服务,提高网络整体的安全性。路由器主要对OSPF路由进行了配置。交换机主要完成了vlan的透传、基于接口的DHCP服务、三层接口的DHCP中继功能,给有线区域的终端自动分配ip地址。AC主要完成了给无线区域的AP自动分配管理ip地址,给无线终端自动分配业务ip地址,并将无线的wifi配置与射频下发给各AP,统一管理无线AP接入点。
至此本文结束,完成了常规的防火墙+路由器+交换机配置,并未涉及冗余的链路与冗余的设备。不足之处敬请批评指正。