加装防火墙前后的路由器配置
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
在这里我讲述一下关于加装防火墙前后的路由配置变化,因为在原先没有防火墙的情况下,路由既起到路由选择的作用,又起到网关的作用。当加装防火墙的后,局域网的网关就设为防火墙的局域网IP 地址。要修改路由首先还是先看该网络的拓扑结构。在这里我所描述的是这样拓扑结构:
图1
一、先将进入路由器设置将原来的配置备份一份,虽然这一份备份以后不一定用的上,可是万一防火墙安装失败呢?
图2
下面为没有安装防火墙以前的路由器配置情况。
User Access Verification
Password:
(键入TELNET密码,如果你是直接用CONSOL口进入没有此项提示)
Router>en
Password:
Router#show config (察看ROUTER配置情况命令)
Using 810 out of 7506 bytes !version 12.1
service timestamps debug uptime
service timestamps log uptime
no service password-e ncryptio n !host name Router (ROUTER名字,这里为默认名字ROUTER)!enable secret 5
$1$FreK$4oQGtvDEF1jv8dh3NNXnN0.
no ip address
shutdown !interface Serial0
bandwidth 2048
ip address 211.97.213.41 255.255.255.252此为定义ROUTER外部接口的IP ip nat outside 255.255.255.252表示此合法的INTERNET-IP)
ip classless
ip route 0.0.0.0 0.0.0.0 Serial0
no ip http server !access-list 1 permit 192.168.1.0 0.0.0.255!line con 0
transport input none
line vty 0 1
password 123456
login !end
Router#
二、按照图 1 装上防火墙。
将从路由器到交换机上的线,改为先从路由器到防火墙,然后用防火墙的
E0 口接交换机。
图3
进入路由器配置模式修改,将路由器的配置改为:
Using 942 out of 7506 bytes !version 12.1
service timestamps debug uptime
service timestamps log uptime
service password-encryption !hostname router
!enable secret 5 $1$FreK$4oQGtvDEF1jv8dh3NNXnN0
set transform-set test
match address 100
ip address 211.97.213.41 255.255.255.248 no ip address
ip nat inside
no ip route-cache
no ip mroute-cache
shutdown !!
interface Serial0
bandwidth 2048
ip address 211.97.209.145 255.255.255.252 ip nat outside encapsulation ppp
no ip route-cache
no ip mroute-cache !ip classless
ip route 0.0.0.0 0.0.0.0 Serial0
ip http server !route-map nonat permit 10 match ip address 110!! line con 0
transport input none
line vty 0 4 password 123456 login !end
三、这时候,你可以配置你的防火墙了,以下是防火墙的配置情况:PIX Version 5.1
(2)
hostname imrac_pix
fixup protocol ftp 21
fixup protocol http 80
fixup protocol h323 1720
fixup protocol rsh 514
fixup protocol smtp 25
no names
access-list 100 permit ip 192.168.1.1 255.255.255.0 192.168.0.0
255.255.255.0access-list 100 permit ip 192.168.1.1 255.255.255.0 192.100.0.0 255.255.255.0pager lines 24
logging on
no logging timestamp
no logging standby
no logging console
no logging monitor
no logging buffered
no logging trap
logging facility 20
logging que 512
mtu outside 1500
mtu inside 1500