防火墙路由模式和NAT配置

应用场景：

在网络的边界，如出口区域，在内网和外网之间增加防火墙设备，采用路由模式对局域网的整网进行保护。路由模式一般不单独使用，一般会有以下功能的配合，如在内外网之间配置灵活的安全策略，或者是进行NAT内网地址转换。

功能原理：

简介

∙路由模式指的是交换机和防火墙卡之间采用互为下一跳指路由的方式通信

优点

∙能够支持三层网络设备的多种功能，NAT、动态路由、策略路由、VRRP等

∙能够通过VRRP多组的方式实现多张防火墙卡的冗余和负载分担

缺点

∙不能转发IPv6和组播包

∙部署到已实施网络中需要重新改动原有地址和路由规划

一、组网要求

1、在网络出口位置部署防火墙卡，插在核心交换机的3号槽位，通过防火墙卡区分内外网，

外网接口有两个ISP出口；

2、在防火墙上做NAT配置，内网用户上外网使用私有地址段；

二、组网拓扑

三、配置要点

要点1，配置防火墙

∙创建互联的三层接口，并指定IP地址

∙配置动态路由或静态路由

∙创建作为NAT Outside的VLAN接口并指定IP

∙配置NAT转换关系

∙配置NAT日志

要点2，配置交换机

∙创建连接NAT Outside线路的VLAN并指定物理接口

∙创建互联到防火墙的三层接口

∙通过互联到防火墙的三层接口配置动态路由或静态路由

四、配置步骤

注意：

步骤一、将交换机按照客户的业务需要配置完成，并将防火墙卡和交换机联通,并对防火墙卡进行初始化配置。

1）配置防火墙模块与PC的连通性：

配置防火墙卡和交换机互联端口，可以用于防火墙的管理。

Firewall>enable ------>进入特权模式

Firewall#configure terminal ------>进入全局配置模式

Firewall(config)#interface vlan 4000 ------>进入vlan 4000接口

FW1(config-if-Vlan 4000)#ip address 10.0.0.1 255.255.255.252------>为vlan 4000接口上互联IP地址

Firewall(config-if)#exit ------>退回到全局配置模式

Firewall(config)#firewall default-policy-permit ------>10.3（4b5）系列版本的命令ip session acl-filter-default-permit ，10.3（4b6）命令变更为 firewall default-policy-permit 防火墙接口下没有应用ACL时或配置的ACL在最后没有Permit any则默认会丢弃所有包，配置以下命令可修改为默认转发所有包

2）防火墙配置路由模式，交换机与防火墙联通配置。

交换机与防火墙卡是通过设备内部的两个万兆口互联，在插入防火墙模块后，交换机在FW所在槽位生成两个万兆端口，以下以防火墙卡接在核心交换机6槽。

在交换机上配置将交换机与防火墙互联的接口进行聚合，并设置为trunk模式，设定允许VLAN。以6槽位的一个防火墙卡为例:

Ruijie>enable ------>进入特权模式

Ruijie#configure terminal ------>进入全局配置模式

Ruijie(config)#vlan 4094 ------>配置一个冗余的VLAN Ruijie(config)#interface range tenGigabitEthernet 6/1,6/2 ------>配置交换机于防火墙互联的万兆6/1，6/2端口

Ruijie(config-if-range)#port-group 2 ------>配置互联端口为聚合口，

聚合口端口号为2

Ruijie(config-if-range)#interface aggregateport 2 ------>进入聚合口配置模式

Ruijie(config-if-AggregatePort 2)#switchport mode trunk ------>配置聚合口的属性为trunk模式；

Ruijie(config-if-AggregatePort 2)#switchport trunk native vlan 4094 ------>将防火墙与交换机互联端口的native vlan设置为非管理VLAN，由于防火墙通过VLANtag来进行桥接互联，如果从交换机发给防火墙的报文不带tag将会被丢弃，所以为了保证管理VLAN 和防火墙的胡同，必须设置管理vlan为非native vlan；

Ruijie(config-if-AggregatePort 2)#end ------>退出到特权模式

Ruijie#configure terminal

Ruijie(config)#vlan 4000 ------>进入创建交换机和防火墙互联vlan 4000

Ruijie(config)#interface vlan 4000 ------>进入vlan 4000接口

Ruijie(config-vlan)#exit

Ruijie(config-if)#ip address 10.0.0.2 255.255.255.252 ------>为交换机vlan 4000接口上设置管理ip

Ruijie(config-if-Vlan 4000)# ip ospf network point-to-point

Ruijie#write ------>确认配置正确，保存配置

此时核心交换机可以ping通防火墙互联地址。

3）在交换机上配置其他的接口信息，以及OSFP能够和防火墙进行动态路由学习。

Ruijie(config)#router ospf 1 ------->配置交换机和防火墙之间的路由协议

Ruijie(config-router)# network 10.0.0.0 0.0.0.3 area 0

Ruijie(config-router)# redistribute connected metric-type 1 subnets

Ruijie(config-router)# redistribute static metric-type 1 subnets

Ruijie(config-router)# end

Ruijie#write

4）按照防火墙卡的基本配置，进行防火墙的初始化配置，确保防火墙能够正常的远程管理及默认参数优化。

详细参考：典型功能配置--防火墙基础配置--基础配置脚本

命令脚本（以下命令脚本，对黄色背景的区域根据需要进行修订）：

config terminal

hostname FW

enable service web-server http

enable service web-server https