强叔侃墙 双防火墙单Internet出口组网配置

【防火墙技术案例1】强叔拍案惊奇双防火墙单Internet出

口组网配置

引言

大家好，强叔又与大家见面了！最近一段时间，【防火墙技术连载贴】强叔侃墙系列正在火爆上映，引起了论坛小伙伴们的广泛热议。想必小伙伴们已经对防火墙有了一定的理解，而且已经迫不及待地开始实战配置防火墙了。

在实战过程中，小伙伴们也许会发现理论和现实还是有一定差距的，而且也应该在挫折和失败中逐渐体会到了网络的博大精深。

为了解决小伙伴们实战配置防火墙时遇到的各种问题和困惑，强叔诚意推出【防火墙技术案例】强叔拍案惊奇系列，专门为大家呈现防火墙实战案例和组网验证，为大家解决防火墙的实战问题。

目前强叔准备先在拍案惊奇系列开放以下模块：路由交换、双机热备、安全策略、NAT、攻击防范和VPN。强叔会陆续丰富各个模块的内容，也欢迎论坛的各位朋友联系强叔提供经典实战案例。

————————————华丽的分割线—————————————————————下面强叔首先给大家带来一篇防火墙双机热备的技术案例。

【组网需求】

客户购置了2台防火墙，但只租用了一条到ISP的链路。加入防火墙后，需要满足两个需求：

1、内网办公区用户能够使用公网地址访问Internet

2、内网有一个FTP Server需要对公网提供服务

另外，客户网络原本是通过一个三层交换机作为出口接入ISP，且不愿意在此处做出改变。我们按需求构建了一个拓扑示例，如下图所示（拓扑中的防火墙为USG5500 V300R001）。这个组网中，公网地址仍然在交换机上，防火墙对外网的接口上使用私网IP。

【配置要点】

因为公网地址并不在防火墙上，所以本案例的难点在于作为出口网关的交换机上路由和Proxy ARP的配置。

【配置步骤】

1、配置交换机LSW1

# 创建VLAN 10和20

[LSW1]vlan batch 10 20

# 配置接口

[LSW1]interface GigabitEthernet 0/0/1

[LSW1-GigabitEthernet0/0/1]port link-type access

[LSW1-GigabitEthernet0/0/1]port default vlan 10

[LSW1-GigabitEthernet0/0/1]quit

[LSW1]interface GigabitEthernet 0/0/2

[LSW1-GigabitEthernet0/0/2]port link-type access

[LSW1-GigabitEthernet0/0/2]port default vlan 20

[LSW1-GigabitEthernet0/0/2]quit

[LSW1]interface GigabitEthernet 0/0/3

[LSW1-GigabitEthernet0/0/3]port link-type access

[LSW1-GigabitEthernet0/0/3]port default vlan 20

[LSW1-GigabitEthernet0/0/3]quit

[LSW1]interface Vlanif 10

[LSW1-Vlanif10]ip address 202.2.2.103 24

[LSW1-Vlanif20]quit

[LSW1]interface Vlanif 20

[LSW1-Vlanif20]ip address 10.10.10.4 24

#配置路由

[LSW1]ip route-static 202.2.2.104 255.255.255.255 10.10.10.1

//*到办公区的路由，注意目的IP地址应该配置为NAT地址池地址，而不是私网地址*//

[LSW1]ip route-static 202.2.2.105 255.255.255.255 10.10.10.1

//*到办公区的路由，注意目的IP地址应该配置为NAT地址池地址，而不是私网地址*//

[LSW1]ip route-static 202.2.2.106 255.255.255.255 10.10.10.1

//*到服务器区的路由，注意目的IP地址应该配置为服务器的公网地址，而不是私网地址*//

[LSW1]ip route-static 0.0.0.0 0.0.0.0 202.2.2.1

#配置Proxy ARP

[LSW1]interface vlanif 10

[LSW1-Vlanif10]arp-proxy enable

[LSW1-Vlanif10]quit

[LSW1]interface vlanif 20

[LSW1-Vlanif20]arp-proxy enable

2、配置防火墙

# 配置FW1接口IP地址及VRRP，加入安全区域

[FW1]interface GigabitEthernet 0/0/1

[FW1-GigabitEthernet0/0/1]ip address 10.10.10.2 24

[FW1-GigabitEthernet0/0/1]vrrp vrid 1 virtual-ip 10.10.10.1 24 master [FW1-GigabitEthernet0/0/1]quit

[FW1]firewall zone untrust

[FW1-zone-untrust]add interface g 0/0/1

[FW1-zone-untrust]quit

[FW1]interface GigabitEthernet 0/0/2

[FW1-GigabitEthernet0/0/2]ip address 172.16.100.2 24

[FW1-GigabitEthernet0/0/2]vrrp vrid 2 virtual-ip 172.16.100.1 24 master [FW1-GigabitEthernet0/0/2]quit

[FW1]firewall zone trust

[FW1-zone-trust]add interface GigabitEthernet 0/0/2

[FW1-zone-trust]quit

[FW1]interface GigabitEthernet 0/0/3

[FW1-GigabitEthernet0/0/3]ip address 192.168.1.1 24

[FW1-GigabitEthernet0/0/3]quit

[FW1]firewall zone name heartbeat //*为心跳口新建一个安全区域*//

[FW1-zone-heartbeat]set priority 90

[FW1-zone-heartbeat]add interface GigabitEthernet 0/0/3

[FW1-zone-heartbeat]quit

[FW1]interface GigabitEthernet 0/0/4

[FW1-GigabitEthernet0/0/4]ip address 172.16.99.2 24

[FW1-GigabitEthernet0/0/4]vrrp vrid 4 virtual-ip 172.16.99.1 24 master [FW1-GigabitEthernet0/0/4]quit

[FW1]firewall zone dmz

[FW1-zone-dmz]add interface GigabitEthernet 0/0/4

[FW1-zone-dmz]quit

#配置路由

[FW1]ip route-static 172.16.2.0 255.255.255.0 172.16.100.4

[FW1]ip route-static 172.16.3.0 255.255.255.0 172.16.99.4

[FW1]ip route-static 0.0.0.0 0.0.0.0 10.10.10.4

# 配置FW2接口IP地址及VRRP，加入安全区域

[FW2]interface GigabitEthernet 0/0/1

[FW2-GigabitEthernet0/0/1]ip address 10.10.10.3 24