课程门户-章节详情

网络安全设备配置与管理

陈嘉奇

1 前导
- 1.1 课程概述
- 1.2 所需软件
2 网络安全概述
- 2.1 章节导读
- 2.2 网络安全法
- 2.3 TCP/IP协议基础
- 2.4 常见网络攻击方式
- 2.5 练一练
3 防火墙基础技术
- 3.1 章节导读
- 3.2 了解防火墙的基本知识
- 3.3 防火墙基础配置
- 3.4 项目实训
- 3.5 练一练
4 防火墙安全策略及应用
- 4.1 章节导读
- 4.2 包过滤技术基础
- 4.3 防火墙的转发策略
- 4.4 项目实训
- 4.5 练一练
5 防火墙网络地址转换
- 5.1 章节导读
- 5.2 源NAT技术
- 5.3 项目实训1
- 5.4 服务器映射NAT及目的NAT技术
- 5.5 项目实训2
- 5.6 双向NAT技术
- 5.7 项目实训3
- 5.8 练一练
6 防火墙双机热备技术
- 6.1 章节导读
- 6.2 双机热备技术原理
- 6.3 双机热备基本组网及配置
- 6.4 双机热备NAT配置
- 6.5 双机热备和IP-link联动
- 6.6 项目实训
- 6.7 练一练
7 防火墙VPN应用
- 7.1 章节导读
- 7.2 VPN技术基础
- 7.3 GRE VPN
- 7.4 项目实训1
- 7.5 IPSec VPN
- 7.6 项目实训2
- 7.7 练一练
8 防火墙混合模式策略
- 8.1 章节导读
- 8.2 病毒及其防范方法
- 8.3 防火墙UTM基础配置
- 8.4 终端安全策略部署
- 8.5 练一练
9 思政大课堂
- 9.1 中国发展成就
- 9.2 疾风知劲草中国经济坚定前行
- 9.3 全国一体化在线政务服务平台建设
- 9.4 中国成功研制“九章二号”量子计算原型机
- 9.5 构建人类命运共同体
10 期末考核
- 10.1 大作业提交

双机热备NAT配置

双机热备NAT配置 - 防火墙6000

拓扑图：

FW1（不含接口IP地址配置）:

安全区域配置

firewall zone trust

add interface GigabitEthernet1/0/1

firewall zone untrust

add interface GigabitEthernet1/0/2

firewall zone dmz

add interface GigabitEthernet1/0/6

安全策略

security-policy

rule name Trust_Untrust_all_permit

source-zone trust untrust

destination-zone untrust trust

service icmp

action permit

rule name heart_line_permit

source-zone local dmz

destination-zone dmz local

action permit

VRRP/VGMP配置

interface GigabitEthernet1/0/1

vrrp vrid 1 virtual-ip 10.1.1.254 active

vrrp virtual-mac enable

interface GigabitEthernet1/0/2

vrrp vrid 2 virtual-ip 20.1.1.254 active

vrrp virtual-mac enable

HRP配置

hrp enable

hrp interface GigabitEthernet1/0/6 remote 100.1.1.2

hrp mirror session enable

hrp preempt

创建NAT 地址池

nat address-group outip 0

mode no-pat global

vrrp 2 //vrrp vrid 2（该地址池分配给VRRP虚拟路由器标识2使用）

section 0 20.1.1.10 20.1.1.20

NAT策略

nat-policy

rule name vrrp2

source-zone trust

destination-zone untrust

action nat address-group outip

FW2（关键配置）

VRRP/VGMP配置

interface GigabitEthernet1/0/1

vrrp vrid 1 virtual-ip 10.1.1.254 standby

vrrp virtual-mac enable

interface GigabitEthernet1/0/2

vrrp vrid 2 virtual-ip 20.1.1.254 standby

vrrp virtual-mac enable

HRP配置

hrp enable

hrp interface GigabitEthernet1/0/6 remote 100.1.1.1

hrp mirror session enable

hrp preempt

业务信息查询

FW1:

display vrrp brief

Total:2 Master:2 Backup:0 Non-active:0

VRID State Interface Type Virtual IP

----------------------------------------------------------------

1 Master GE1/0/1 Vgmp 10.1.1.254

2 Master GE1/0/2 Vgmp 20.1.1.254

display vrrp

GigabitEthernet1/0/1 | Virtual Router 1

State : Master

Virtual IP : 10.1.1.254

Master IP : 10.1.1.101

PriorityRun : 120

PriorityConfig : 100

MasterPriority : 120

Preempt : YES Delay Time : 0 s

TimerRun : 60 s

TimerConfig : 60 s

Auth type : NONE

Virtual MAC : 0000-5e00-0101

Check TTL : YES

Config type : vgmp-vrrp

Backup-forward : disabled

Create time : 2020-07-04 07:26:11

Last change time : 2020-07-04 07:55:30

GigabitEthernet1/0/2 | Virtual Router 2

State : Master

Virtual IP : 20.1.1.254

Master IP : 20.1.1.101

PriorityRun : 120

PriorityConfig : 100

MasterPriority : 120

Preempt : YES Delay Time : 0 s

TimerRun : 60 s

TimerConfig : 60 s

Auth type : NONE

Virtual MAC : 0000-5e00-0102

Check TTL : YES

Config type : vgmp-vrrp

Backup-forward : disabled

Create time : 2020-07-04 07:26:11

Last change time : 2020-07-04 07:55:31

FW2:

display vrrp brief

Total:2 Master:0 Backup:2 Non-active:0

VRID State Interface Type Virtual IP

----------------------------------------------------------------

1 Backup GE1/0/1 Vgmp 10.1.1.254

2 Backup GE1/0/2 Vgmp 20.1.1.254

display vrrp

GigabitEthernet1/0/1 | Virtual Router 1

State : Backup

Virtual IP : 10.1.1.254

Master IP : 10.1.1.101

PriorityRun : 120

PriorityConfig : 100

MasterPriority : 120

Preempt : YES Delay Time : 0 s

TimerRun : 60 s

TimerConfig : 60 s

Auth type : NONE

Virtual MAC : 0000-5e00-0101

Check TTL : YES

Config type : vgmp-vrrp

Backup-forward : disabled

Create time : 2020-07-04 07:26:51

Last change time : 2020-07-04 07:55:31

GigabitEthernet1/0/2 | Virtual Router 2

State : Backup

Virtual IP : 20.1.1.254

Master IP : 20.1.1.101

PriorityRun : 120

PriorityConfig : 100

MasterPriority : 120

Preempt : YES Delay Time : 0 s

TimerRun : 60 s

TimerConfig : 60 s

Auth type : NONE

Virtual MAC : 0000-5e00-0102

Check TTL : YES

Config type : vgmp-vrrp

Backup-forward : disabled

Create time : 2020-07-04 07:26:52

Last change time : 2020-07-04 07:55:31

双机热备功能测试：

FW1上接口GigabitEthernet1/0/1主备切换测试

FW1由master切换至slave

FW1由slave切换至master

PC1 ping -t 测试

Wireshark抓包：

网络故障后，主备切换和NAT转换地址业务正常

双机热备NAT配置 - 防火墙5500

拓扑图：

FW3（不含接口IP地址配置）:

安全区域配置

firewall zone trust

add interface GigabitEthernet0/0/1

firewall zone untrust

add interface GigabitEthernet0/0/2

firewall zone dmz

add interface GigabitEthernet0/0/6

安全策略

policy interzone trust untrust inbound

firewall default packet-filter is permit

policy interzone trust untrust outbound

firewall default packet-filter is permit

policy interzone local trust inbound

firewall default packet-filter is permit

policy interzone local trust outbound

firewall default packet-filter is permit

VRRP/VGMP配置

interface GigabitEthernet1/0/1

vrrp vrid 1 virtual-ip 10.2.1.254 master

vrrp virtual-mac enable

interface GigabitEthernet1/0/2

vrrp vrid 2 virtual-ip 20.2.1.254 master

vrrp virtual-mac enable

HRP配置

hrp enable

hrp interface GigabitEthernet1/0/6

hrp mirror session enable

hrp preempt

创建NAT 地址池

防火墙5500不能指定VRRP VRID

nat address-group 1 20.2.1.10 20.2.1.20 vrrp master

NAT 策略

nat-policy interzone trust untrust outbound

policy 0

action source-nat

address-group 1 no-pat

FW4（关键配置）

VRRP/VGMP配置

interface GigabitEthernet1/0/1

vrrp vrid 1 virtual-ip 10.2.1.254 slave

vrrp virtual-mac enable

interface GigabitEthernet1/0/2

vrrp vrid 2 virtual-ip 20.21.254 slave

vrrp virtual-mac enable

HRP配置

hrp enable

hrp interface GigabitEthernet1/0/6 remote 100.2.1.1

hrp mirror session enable

hrp preempt

图片预览