sonicwall教程

X2 WAN S 5060c 192.168.1.1/30 192.168.1.2/30 三层交换机
X1 WAN X3 DMZ 219.247.99.60 255.255.255.192 DMZ
X0 LAN
INTERNET: 192.168.10.0 / 24 192.168.20.0 / 24 192.168.30.0 / 24 192.168.40.0 / 24
CERNET X2 IP:10.10.10.253/30 R1 IP: 10.10.10.254/30
R1
R2
INTERNET: XI IP:211.214.169.6 255.255.255.224 R2 IP:211.214.169.2 DNS:202.67.222.240 202.67.222.250
2010-6-23 1
典型配置案例: 1,PRO5060 在高校的应用,双WAN和策略路由 2,标准版和增强版的透明模式 3,静态ARP的应用,第二个网段 4,带宽管理,TCP Session数管理 故障诊断: 1. 点到点VPN 隧道故障建立,一,二阶段协商参数 2. VPN隧道 TCP 超时时间的设置 3. GVC NAT 穿越, 何时需要分配IP地址 4. 防火墙不能升级签名的诊断步骤 5. ARP 表更新,IP和MAC绑定,上游路由器ARP表不刷新问题 6. Ethereal 软件的使用,诊断问题. 7. ViewPoint配置及绑定到其它的网卡地址时如何更正
2010-6-23
17
2010-6-23
ห้องสมุดไป่ตู้
18
2010-6-23
19
2010-6-23
20
SonicOS 增强版 透明模式配置
任意端口和WAN口之间都可以配置成透明模式, 任意端口和WAN口之间都可以配置成透明模式,需 WAN口之间都可以配置成透明模式 要指定透明范围以使防火墙能正确转发数据包到 正确的端口
2010-6-23 28
Network-〉ARP
Network-〉Routing
配置静态ARP和静态路由,在一个端口支持第 二个网段,视访问需求可在Firewall->Access Rules里添加允许到第二个网段的访问规则
2010-6-23 29
带宽管理和TCP Session 数限 制
2010-6-23
2010-6-23
9
1.透明模式实现方法 1.透明模式实现方法 二层桥透明和ARP ARP代理透明 二层桥透明和ARP代理透明 2.SonicOS 标准版透明 3.SonicOS 增强版透明
2010-6-23
10
二层透明
设备工作在二层透明方式,设备本身不需要任何IP地址配置, 设备工作在二层透明方式,设备本身不需要任何IP地址配置, IP地址配置 防火墙规则照常工作,检测数据流.如果需要, 防火墙规则照常工作,检测数据流.如果需要,也可以配 置管理IP地址对设备进行管理. IP地址对设备进行管理 置管理IP地址对设备进行管理.
2010-6-23 27
SonicOS增强版一个端口支持多个网段 采用静态ARP,配置过程与标准版采用静态 ARP支持第二个网段完全相同,不过注意 静态路由的配置是在策略路由的界面配 置的.详见下页. 注:在一个物理端口如LAN上设置两个网 段,则两个网段之间由防火墙路由,访 问规则不影响两个网段的通信,但是 LAN到DMZ第二个网段的通信可由防火 墙规则控制.
2010-6-23
2
PRO5060 WAN链路应用和策略路由 双WAN链路应用和策略路由
2010-6-23
3
在高校的典型应用, WAN链路 链路+ PRO5060 在高校的典型应用,双WAN链路+策略路由 4 如条件允许,还可以配置OSPF OSPF路由两个校园出口互为备份 如条件允许,还可以配置OSPF路由两个校园出口互为备份
30
必须在WAN口 设置进出的 带宽参数, 否则在防火 墙的规则里 不会出现带 宽管理的界 面
2010-6-23 31
2010-6-23
32
2010-6-23
33
2010-6-23
34
故障诊断
2010-6-23
35
点到点VPN 隧道故障建立,一,二阶段协商参数
PRO4060 VPN Policy
2010-6-23
44
GVC NAT 穿越, 何时需要分配IP地址 当服务器的默认网关指向另外一个路由器,通过专线联接互联网, 而不指向SonicWALL防火墙设备时,一定要分配IP地址给GVC, 以免除路由问题.
由于各个网络设备厂家的NAT设备在对IPSec VPN的支持不尽相同,有些支 持IPSec Pass Through, 有些不支持.经过不支持IPSec Pass Through的 NAT设备建立IPSec VPN隧道,必须采用NAT穿越技术.SonicWALL GVC自动 检测沿途设备是否支持IPSec, 如果需要,自动启动NAT穿越,但是有些设 备的IPSec pass throug不稳定,有些支持IPSec的NAT设备反而不能正确处 理NAT穿越数据,需要在SonicWALL GVC上禁止NAT穿越参数.
40
PRO4060 Log PAYLOAD_MALFORMED 表示共享密钥不匹配,网络故障导致VPN隧道 断开,如果隧道两端VPN设备采用的DPD不是 一个标准,重新协商时也可能出现此错误
2010-6-23
41
TCP 超时时间的设置,TCP Setting和防火墙规则设置
此参数只影响新创建的防火墙规则,修改此参数之前 创建的规则的TCP 超时参数不受此参数影响.
6
静态路由 策略路由
2010-6-23
默认路由
7
公有IP路由出去 公有 路由出去
私有IP 到公有IP地址池 私有 NAT到公有 地址池 到公有
2010-6-23
8
可以修改默认的WAN WAN口 PRO5060 可以修改默认的WAN口,这将影响默认 的路由,使没有明确指定策略路由的访问均走默认 的路由, 路由. 路由. 错误的默认路由设置可能造成不必要的计 费损失, 费损失,因为有些高校只针对特定的教育网服务器 不按流量计费,到其它教育网的服务器按流量计费, 不按流量计费,到其它教育网的服务器按流量计费, 还有的高校教育网和电信出口一样包月, 还有的高校教育网和电信出口一样包月,不按流量 计费,针对客户不同的具体需求,配置相应的策略 计费,针对客户不同的具体需求, 路由并选择正确的默认路由. 路由并选择正确的默认路由.
2010-6-23
CERNET: 219.247.100.0 / 24 219.247.101.0 / 24 219.247.102.0 / 24 219.247.103.0 / 24 219.247.104.0 / 24 219.247.105.0 / 24 219.247.106.0 / 24
南校区网络配置, 为确保客户网络安全, 图中所用的IP地址均为 假定的IP地址 配置应以客户实际网络 环境为准
SonicWALL
典型配置和问题诊断
目的: 1. 熟悉典型客户网络环境下防火墙的配置方法 2. 分析LOG及借助工具软件诊断并解决问题的方法 参加培训的要求: 掌握SonicWALL标准版和增强版的基本配置 熟悉TCP/IP协议及基本网络通信协议
通过此次培训,使参加培训的工程师能够掌握典型客户的 防护墙配置,并在发生问题时及时解决问题.
2010-6-23
16
SonicOS 标准版 防火墙DMZ口和WAN口透明 防火墙DMZ口和WAN口透明 DMZ口和WAN
OPT口默认相当于DMZ口 口默认相当于DMZ (TZ170 OPT口默认相当于DMZ口) DMZ口可以工作在透明模式或NAT模式 DMZ口可以工作在透明模式或NAT模式 口可以工作在透明模式或NAT
2010-6-23
学校一共有两个校区,东校区通过一台防火墙经电信出口上 Internet,南校区有两个出口,一个是经电信出口接入Internet, 另一个出口接入教育网.两个校区之间由专线把两个三层交换机连 通,如果在三层交换和两台防火墙上启动OSPF路由协议,两台防火 墙设备可以互为对方的备份,一台防火墙宕机,所有到互联网的出 口流量可以经过专线由另外一个校园网的防火墙访问Internet. 本例主要讲解南校区的网络配置.其中PRO 5060 LAN口连接一台华 为的三层交换机S8505,DMZ连接一组服务器,为教育网提供服务. 所有到服务器的流量都走教育网出口.S8505 三层交换机下连接4个 私有IP的网段,7个公有IP网段. 4个私有网段只通过电信出口访问 Internet, NAT到一个公有IP的地址池,7个公有IP网段只通过教育 网出口访问教育网和互联网.本例的策略路由相对简单. 注:有些高校教育网包月不计流量, 有些高校只针对指定的教育网服 务器不计流量,其它到教育网的访问要按流量收费,所以策略路由的 配置要视客户具体需求进行调整,是按照源IP地址设置策略路由还是 按目的地址设置策略路由,在教育网访问按流量收费的时候一定注意 设置正确的默认路由,以尽量降低数据流量产生的费用. 2010-6-23 5
ARP代理透明 ARP代理透明
设备工作在3 设备工作在3层,设备的两个端口处于同一个网段,但两个端 设备的两个端口处于同一个网段, 口占用同一个IP地址,需要管理员指定哪些网络范围的IP IP地址 口占用同一个IP地址,需要管理员指定哪些网络范围的IP 地址在设备的某一个端口, 地址在设备的某一个端口,使设备能正确转发数据包到正 确的端口. 确的端口. SonicWALL的UTM设备透明方式是ARP代理透明,需要在WAN口 SonicWALL的UTM设备透明方式是ARP代理透明,需要在WAN口 设备透明方式是ARP代理透明 WAN LAN口 DMZ口 占用一个IP地址. IP地址 和LAN口(或DMZ口)占用一个IP地址.
2010-6-23
36
TZ150W VPN Policy,故意设置与对端不同
2010-6-23
37
NO_PROPOSAL_CHOSEN 是指参数不匹配
2010-6-23
38
NO_PROPOSAL_CHOSEN 是指参数不匹配
2010-6-23
39
PRO4060 Shared Secret
2010-6-23
2010-6-23
25
方法一
增加第二个网关,支持第二个网段 LAN Primary IP:192.168.168.168/24 Second Subnet:192.168.10.0/24
2010-6-23
26
Network-〉ARP
Network-〉Routing
方法二
配置静态ARP和静态路由,在一个端口支持第 二个网段,视访问需求可在Firewall->Access Rules里添加允许到第二个网段的访问规则
2010-6-23
42
有些应用如Oracle客户端,ERP系统等通过VPN隧道访问 服务器,默认的TCP超时时间一定要修改,否则这些系 统可能会产生问题,如有的ERP系统在有中间设备断开 TCP连接后,会延迟30分钟才允许客户端再次建立连接
2010-6-23
43
有些应用如Oracle客户端,ERP系统等通过VPN隧道访问 服务器,默认的TCP超时时间一定要修改,否则这些系 统可能会产生问题,如有的ERP系统在有中间设备断开 TCP连接后,会延迟30分钟才允许客户端再次建立连接
2010-6-23 11
SonicOS 标准版 防火墙LAN口和WAN口透明 防火墙LAN口和WAN口透明 LAN口和WAN
2010-6-23
12
2010-6-23
13
2010-6-23
14
2010-6-23
15
注:透明模式并不意味着所有的业务端 口都"透明" 口都"透明",必须设置必要的防火 墙规则以允许WAN LAN或WAN到DMZ服 WAN到 墙规则以允许WAN到LAN或WAN到DMZ服 务器的访问. 务器的访问.
2010-6-23
21
2010-6-23
22
2010-6-23
23
2010-6-23
24
SonicOS标准版一个端口支持多个网段的两种方式 LAN Primary IP: 192.168.168.168/24 在Network-〉Settings LAN Interface 配置界面加入 第二个网关192.168.10.1/24 采用静态ARP,在一个端口增加第二个IP