加装防火墙前后的路由器配置
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
随着人们对网络知识的普及,企业或公司的网络安全性,就变得更加重要起来了。关于网络安全的最可靠方法是加装防火墙。
在这里我讲述一下关于加装防火墙前后的路由配置变化,因为在原先没有防火墙的情况下,路由既起到路由选择的作用,又起到网关的作用。当加装防火墙的后,局域网的网关就设为防火墙的局域网IP地址。要修改路由首先还是先看该网络的拓扑结构。在这里我所描述的是这样拓扑结构:
图1
一、先将进入路由器设置将原来的配置备份一份,虽然这一份备份以后不一定用的上,可是万一防火墙安装失败呢?
图2
下面为没有安装防火墙以前的路由器配置情况。
User Access Verification
Password: (键入TELNET密码,如果你是直接用CONSOLE口进入没有此项提示)Router>en
Password:
Router#show config (察看ROUTER配置情况命令)
Using 810 out of 7506 bytes
!
version 12.1
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname Router (ROUTER名字,这里为默认名字ROUTER)
!
enable secret 5 $1$FreK$4oQGtvDEF1jv8dh3NNXnN0.
enable password 123456789 (特权密码,当然这是加密的)
!
ip subnet-zero
!
interface Ethernet0 (配置局域网e0口)
ip address 192.168.1.1 255.255.255.0 (e0口在其局域网中对应的ip为
192.168.1.1
ip nat inside 255.255.255.0是表示为C类网络)
!
interface Ethernet1 (E1口没有激活,也没有配置)
no ip address
shutdown
!
interface Serial0
bandwidth 2048
ip address 211.97.213.41 255.255.255.252 (此为定义ROUTER外部接口的IP
ip nat outside 255.255.255.252表示此合法的INTERNET-IP)
encapsulation ppp
!
ip nat pool 165 211.97.213.41 211.97.213.46 netmask 255.255.255.248 (isp 给你分配的ip)
ip nat inside source list 1 pool 165 overload
ip classless
ip route 0.0.0.0 0.0.0.0 Serial0
no ip http server
!
access-list 1 permit 192.168.1.0 0.0.0.255
!
line con 0
transport input none
line vty 0 1
password 123456
login
!
end
Router#二、按照图1装上防火墙。
将从路由器到交换机上的线,改为先从路由器到防火墙,然后用防火墙的E0口接交换机。图3
进入路由器配置模式修改,将路由器的配置改为:
Using 942 out of 7506 bytes
!
version 12.1
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname router
!enable secret 5 $1$FreK$4oQGtvDEF1jv8dh3NNXnN0 enable password 123455676!
!
ip subnet-zero
!
crypto ipsec transform-set test esp-des esp-md5-hmac !
crypto map vpnmap 1 ipsec-isakmp
! Incomplete
set transform-set test
match address 100
interface Ethernet0
ip address 211.97.213.41 255.255.255.248 interface Ethernet1
no ip address
ip nat inside
no ip route-cache
no ip mroute-cache
shutdown
interface Serial0
description internet
bandwidth 2048
ip address 211.97.209.145 255.255.255.252 ip nat outside
encapsulation ppp
no ip route-cache
no ip mroute-cache
!
ip classless
ip route 0.0.0.0 0.0.0.0 Serial0
ip http server
!
route-map nonat permit 10
match ip address 110
!
line con 0
transport input none
line vty 0 4
password 123456
login
!
end