sonicwall教程
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
2020/9/27
9
1.透明模式实现方法 2. 二层桥透明和ARP代理透明 2.SonicOS 标准版透明 3.SonicOS 增强版透明
2020/9/27
10
二层透明
设备工作在二层透明方式,设备本身不需要任何IP地址配置, 防火墙规则照常工作,检测数据流。如果需要,也可以配置 管理IP地址对设备进行管理。
SonicWALL
典型配置和问题诊断
目的: 1. 熟悉典型客户网络环境下防火墙的配置方法 2. 分析LOG及借助工具软件诊断并解决问题的方法
3. 参加培训的要求: 4. 掌握SonicWALL标准版和增强版的基本配置 5. 熟悉TCP/IP协议及基本网络通信协议
通过此次培训,使参加培训的工程师能够掌握典型客户的 防护墙配置,并在发生问题时及时解决问题。
ARP代理透明
设备工作在3层,设备的两个端口处于同一个网段,但两个端 口占用同一个IP地址,需要管理员指定哪些网络范围的IP地 址在设备的某一个端口,使设备能正确转发数据包到正确的 端口。
SonicWALL的UTM设备透明方式是ARP代理透明,需要在 WAN口和LAN口(或DMZ口)占用一个IP地址。
2020/9/27
16
SonicOS 标准版
防火墙DMZ口和WAN口透明
(TZ170 OPT口默认相当于DMZ口) DMZ口可以工作在透明模式或NAT模式
2020/9/27
17
2020/9/27
18
2020/9/27
2020/9/27
1
典型配置案例: 1、PRO5060 在高校的应用,双WAN和策略路由 2、标准版和增强版的透明模式 3、静态ARP的应用,第二个网段 4、带宽管理,TCP Session数管理
故障诊断: 1. 点到点VPN 隧道故障建立,一、二阶段协商参数 2. VPN隧道 TCP 超时时间的设置 3. GVC NAT 穿越, 何时需要分配IP地址 4. 防火墙不能升级签名的诊断步骤 5. ARP 表更新,IP和MAC绑定,上游路由器ARP表不刷新问题 6. Ethereal 软件的使用,诊断问题。 7. ViewPoint配置及绑定到其它的网卡地址时如何更正
正确2020的/9/27默认路由,以尽量降低数据流量产生的费用.
5
CERNET
R 1 X 2 IP : 1 0 .1 0 .1 0 .2 5 3 /3 0
R 1 IP: 10.10.10.254/30
IN T ER N ET :
XI IP: 211.214.169.6
Biblioteka BaiduR2
255.255.255.224 R 2 IP : 211.214.169.2
2020/9/27
11
SonicOS 标准版 防火墙LAN口和WAN口透明
2020/9/27
12
2020/9/27
13
2020/9/27
14
2020/9/27
15
注:透明模式并不意味着所有的业务端 口都“透明”,必须设置必要的防火 墙规则以允许WAN到LAN或WAN 到DMZ服务器的访问。
本例主要讲解南校区的网络配置。其中PRO 5060 LAN口连接一台
华为的三层交换机S8505,DMZ连接一组服务器,为教育网提供服
务。所有到服务器的流量都走教育网出口。S8505 三层交换机下连
接4个私有IP的网段,7个公有IP网段。 4个私有网段只通过电信出口
访问Internet, NAT到一个公有IP的地址池,7个公有IP网段只通过
2020/9/27
2
PRO5060 双WAN链路应用和策略路由
2020/9/27
3
PRO5060 在高校的典型应用,双WAN链路+策略路由 2如020/条9/27 件允许,还可以配置OSPF路由两个校园出口互为备份4
学校一共有两个校区,东校区通过一台防火墙经电信出口上 Internet,南校区有两个出口,一个是经电信出口接入Internet, 另一个出口接入教育网。两个校区之间由专线把两个三层交换机连 通,如果在三层交换和两台防火墙上启动OSPF路由协议,两台防火 墙设备可以互为对方的备份,一台防火墙宕机,所有到互联网的出 口流量可以经过专线由另外一个校园网的防火墙访问Internet。
DN S: 202.67.222.240
202.67.222.250
X2 W AN
X1 W AN
S 5060c
192.168.1.1/30
X0 LAN
X3 DMZ
219.247.99.60 255.255.255.192
DMZ
192.168.1.2/30 三层交换机
IN T ER N ET : 192.168.10.0 / 24 192.168.20.0 / 24 192.168.30.0 / 24 192.168.40.0 / 24
教育网出口访问教育网和互联网。本例的策略路由相对简单。
注:有些高校教育网包月不计流量, 有些高校只针对指定的教育网服务
器不计流量,其它到教育网的访问要按流量收费,所以策略路由的配置
要视客户具体需求进行调整,是按照源IP地址设置策略路由还是按目
的地址设置策略路由,在教育网访问按流量收费的时候一定注意设置
2020/9/27
CERNET: 219.247.100.0 / 24 219.247.101.0 / 24 219.247.102.0 / 24
219.247.103.0 / 24 219.247.104.0 / 24 219.247.105.0 / 24 219.247.106.0 / 24
南校区网络配置, 为确保客户网络安全, 图 中 所 用 的 IP地 址 均 为 假 定 的 IP地 址 配置应以客户实际网络 环境为准
6
2020/9/27
静态路由 策略路由 默认路由
7
2020/9/27
公有IP路由出去 私有IP NAT到公有IP地址池
8
PRO5060 可以修改默认的WAN口,这将影响默认 的路由,使没有明确指定策略路由的访问均走默认 路由。 错误的默认路由设置可能造成不必要的计 费损失,因为有些高校只针对特定的教育网服务器 不按流量计费,到其它教育网的服务器按流量计费, 还有的高校教育网和电信出口一样包月,不按流量 计费,针对客户不同的具体需求,配置相应的策略 路由并选择正确的默认路由。