本文主要是介绍ensp防火墙控制案例(防火墙控制无线,内网,dmz,外网,cloud云),希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
实验目的:分割四个网络,内网,外网,dmz区域,无线网络guest,cloud(配置防火墙web版本)
内网 可以访问 外网,dmz
外网 可以访问dmz
无线网路 可以访问dmz 和外网
拓扑图如下
出错点:私有ip分配的范围,开始用公网ip了,怎么也ping不同,后来改成私网ip就正常了,ap收敛时间比较长,多等待一些。
防火墙:配置cloud同一网络,通过web端开配置防火墙,permit或deny策略,到各个网络的路由表也需要配置
区域划分:trust ,untrust,dmz,guest
下面是具体的配置信息按照区域分割
设备pc1,server1和server2的ip直接配置就可以了,这里略过了
trust区域
#定义vlan2和3,下联设备接口和上联防火墙接口的vlan
lsw1>vlan batch 2 to 3
#定义vlan2接口的ip地址,二层交换通过mac地址转发,三层通过ip转发
lsw1>interface Vlanif2
ip address 10.1.1.1 255.255.255.0
lsw1>interface Vlanif3
ip address 10.1.2.1 255.255.255.0
#定义上下接口的类型和允许通过的vlan信息
interface GigabitEthernet0/0/1
port link-type access
port default vlan 3
#
interface GigabitEthernet0/0/2
port link-type access
port default vlan 2
#三层通过ip转发,所以设置到达各个网络的路由表,可以定义一个默认路由0.0.0.0 0.0.0.0 10.1.2.101
ip route-static 10.1.3.0 255.255.255.0 10.1.2.101
ip route-static 10.1.4.0 255.255.255.0 10.1.2.101
ip route-static 10.1.5.0 255.255.255.0 10.1.2.101
ip route-static 100.1.1.1 255.255.255.255 10.1.2.101
untrust区域:
#设置接口的ip地址,链接防火墙
interface GigabitEthernet0/0/0
ip address 10.1.3.1 255.255.255.0
#配置环路地址,模拟外网
interface LoopBack0
ip address 100.1.1.1 255.255.255.255
#静态路由,感觉用第一个就可以了
ip route-static 0.0.0.0 0.0.0.0 10.1.3.101
ip route-static 10.1.1.0 255.255.255.0 10.1.3.101
ip route-static 10.1.2.0 255.255.255.0 10.1.3.101
dmz区域:
server1和2ip地址设置,这个略过了,主要看lsw2交换机配置
#定义两台服务器的vlan
vlan batch 100 200
#设置级联信息,优点提高速率和稳定性
interface Eth-Trunk1
port link-type trunk
port trunk allow-pass vlan 2 to 4094
#级联端口1
interface GigabitEthernet0/0/1
eth-trunk 1
#级联端口2
interface GigabitEthernet0/0/2
eth-trunk 1
#链接server1接口信息
interface GigabitEthernet0/0/3
port link-type access
port default vlan 100
#链接server1接口信息
interface GigabitEthernet0/0/4
port link-type access
port default vlan 200
guest区域
主要配置ac1和lsw5即可,无线配置内容有点多,具体如下
lsw5配置:
# 101和ac通信,102和ap通信,192无线的vlan,300链接防火墙的vlan
vlan batch 101 to 102 192 300
#启动自动获取ip,在vlan192和vlan102里面分别设置,即ap自动获取ip,无线链接自动获取ip
dhcp enable
#无线ap设备的地址池,option这个不晓得啥意思,以后看到在解释
ip pool ap
gateway-list 172.16.102.103
network 172.16.102.0 mask 255.255.255.0
option 43 sub-option 2 ip-address 172.16.101.101
#无线链接设备的地址池
ip pool toguest
gateway-list 192.168.1.1
network 192.168.1.0 mask 255.255.255.0
#各个vlan的ip地址
interface Vlanif101
ip address 172.16.101.102 255.255.255.0
#各个vlan的ip地址,ap设备自动获取ip,对应上面地址池
interface Vlanif102
ip address 172.16.102.103 255.255.255.0
dhcp select global
#各个vlan的ip地址 ,无线链接的设备自动获取ip,对应上面地址池
interface Vlanif192
ip address 192.168.1.1 255.255.255.0
dhcp select global
#各个vlan的ip地址
interface Vlanif300
ip address 10.1.6.102 255.255.255.0
#链接防火墙接口信息
interface GigabitEthernet0/0/1
port link-type access
port default vlan 300
#链接ac接口信息
interface GigabitEthernet0/0/2
port link-type trunk
port trunk allow-pass vlan 2 to 4094
#链接ap接口信息,pvid是为了数据包丢掉vlan标识,trunk接口如果数据包vlan和pvid相同,则丢掉vlan标识
interface GigabitEthernet0/0/3
port link-type trunk
port trunk pvid vlan 102
port trunk allow-pass vlan 2 to 4094
#静态路由表,可以分别配置到达各个网络的路由表项
ip route-static 0.0.0.0 0.0.0.0 10.1.6.101
ac1配置信息:需要和交换机,ap设备互通才可以
#定义相关vlan
vlan batch 101 to 102 192
#定义接口ip,和交换机通信
interface Vlanif101
ip address 172.16.101.101 255.255.255.0
#设置接口信息
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 2 to 4094
#配置到达ap管理地址的路由表信息,ac控制ap,如果通信不成功肯定是不行的
ip route-static 172.16.102.0 255.255.255.0 172.16.101.102
#配置隧道源接口信息,此处是ac的ip的vlan接口ip名
capwap source interface vlanif101
#接下来都是在wlan视图下配置
wlan
#配置无线密码之前需要定义一个模块,然后才可以配置密码,具体可以参考下无线ap的模型图
security-profile name sec1
security wpa-wpa2 psk pass-phrase 12345678 aes
#无线网络模块名称和无线网络名称
ssid-profile name ssid1
ssid free1
#配置射频信息,将刚刚模块加入到里面,并配置业务vlan,这里是ap发射无线信号的vlan
vap-profile name vap1
service-vlan vlan-id 192
ssid-profile ssid1
security-profile sec1
#设置ap组,域,参数CN,并进行绑定
ap-group name ag1
regulatory-domain-profile domain1
#发射2.4和5G信号配置
vap-profile vap1 wlan 1 radio all
#设置绑定mac地址方式,加入到组,设置ap名称
ap-id 0 ap-mac 00e0-fc6b-53c0
ap-name ap1
ap-group ag1
最后一步啦,防火墙配置:
先配置cloud,然后通过本机电脑web配置,如图,
防火墙配置:
#配置vlan,100和200是server,300是无线
vlan batch 100 200 300
#定义接口ip,也可以看成网关,可以通过页面配置
interface Vlanif100
ip address 10.1.5.1 255.255.255.0
alias vlan100
#
interface Vlanif200
ip address 10.1.4.1 255.255.255.0
alias vlan200
#此接口链接cloud,配置ip后和permit后,可以通过本机电脑web访问ensp里的防火墙
interface GigabitEthernet0/0/0
undo shutdown
ip binding vpn-instance default
ip address 192.168.1.201 255.255.255.0
alias GE0/METH
service-manage http permit
service-manage https permit
service-manage ping permit
service-manage ssh permit
service-manage snmp permit
service-manage telnet permit
#下面是防火墙web配置页面,网页直接输入ip地址即可,首先是定义各个接口的名称和对应的ip地址(图片可以ctrl+滚轮上滑放大查看)
先定义安全域
上图注意有个接口汇聚,链接server交换机要注意下
定义到达各个网络的路由
最后通过配置策略来控制访问通信
测试结果:
trust 访问外网和dmz区域
guest(无线访问dmz和外网)
外网访问dmz
外网不可访问内网
外网不可访问无线网
验证,如果让内网可以访问局域网,可以增加trust to guest 的策略,测试结果如下,第一、需要在trust区域内的交换机增加路由表到192.168.1.0网络的表项,第二、防火墙配置增加通过规则
这篇关于ensp防火墙控制案例(防火墙控制无线,内网,dmz,外网,cloud云)的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!
