1、实验5 SecPath防火墙虚拟防火墙实验指导实验5 SecPath防火墙虚拟防火墙实验指导5.1 实验内容与目标完成本实验,您应该能够: 了解虚拟防火墙的基本原理 掌握虚拟防火墙的基本配置5.2 实验组网图图5-1实验组网实验组网图5-1: SecPath F1000-E防火墙的GE0/2和GE0/3工作在路由模式,IP地址分别是20.0.0.1/24和30.0.0.1/24,GE0/2属于虚拟防火墙VF_1,GE0/3属于虚拟防火墙VF_2,GE0/1保持在Root防火墙不变,S5500交换机G1/0/1和防火墙相连,服务器属于VLAN 100,IP地址100.0.0.2,网关在S5500
2、交换机上,防火墙配置虚拟防火墙功能,将PC1和PC2的业务隔离开,但是又都能访问服务器。图5-2实验组网实验组网图5-2: SecPath F1000-E防火墙的GE0/2和GE0/3工作在路由模式, IP地址分别是20.0.0.1/24和30.0.0.1/24,GE0/1工作在二层模式,通过VLAN虚接口和交换机互联,GE0/2和Vlan-interface20属于虚拟防火墙VF_1,GE0/3和Vlan-interface30属于虚拟防火墙VF_2,服务器属于VLAN 100,IP地址100.0.0.2,网关在S5500交换机上,防火墙配置虚拟防火墙功能,VF_1运行OSPF路由协议和交换
3、机互通,VF_2配置静态路由,将PC1和PC2的业务以及路由隔离开,同时又能访问服务器。5.3 背景需求虚拟设备就是将一个物理防火墙划分为多个逻辑防火墙来使用,防火墙部署在用户或者服务器前端,通过虚拟防火墙功能把不同用户或者不同业务隔离开来。5.4 实验设备和器材本实验所需之主要设备器材如表5-1所示。表5-1实验设备和器材名称和型号版本数量描述SecPath F1000-ECMW F3169P071S5500CMW R22081PCWindows XP SP22服务器Windows Server1可以用普通PC模拟第5类UTP以太网连接线-25.5 实验过程实验任务一:基本网络配置步骤一:交
4、换机基本配置交换机命令行配置如下: #vlan 10#vlan 100#interface Vlan-interface10 ip address 10.0.0.2 255.255.255.0#interface Vlan-interface100 ip address 100.0.0.1 255.255.255.0#interface GigabitEthernet1/0/1 port access vlan 10#interface GigabitEthernet1/0/2 port access vlan 100# ip route-static 0.0.0.0 0.0.0.0 10.0
5、.0.1#步骤二:防火墙接口地址和路由配置防火墙命令行配置如下: #interface GigabitEthernet0/1 port link-mode route ip address 10.0.0.1 255.255.255.0#interface GigabitEthernet0/2 port link-mode route ip address 192.168.2.1 255.255.255.0#interface GigabitEthernet0/3 port link-mode route ip address 192.168.3.1 255.255.255.0# ip rout
6、e-static 0.0.0.0 0.0.0.0 10.0.0.2#实验任务二:虚拟防火墙基本配置步骤一:创建虚拟设备进入防火墙WEB管理界面后,单击“设备管理 虚拟设备管理虚拟设备配置”。 单击“新建”按钮创建两个虚拟设备。步骤二:给虚拟防火墙分配接口和VLAN进入Root防火墙WEB管理界面,单击“设备管理 虚拟设备管理接口成员”页面,把GE0/2分配给VF_1防火墙,GE0/3分配给VF_2防火墙,其它接口保持不变,仍然属于Root防火墙。进入Root防火墙WEB管理界面,单击“设备管理 虚拟设备管理VLAN成员”页面,把VLAN 20分给虚拟防火墙VF_1,VLAN 30分给虚拟防火墙
7、VF_2。步骤三:登录虚拟防火墙进入防火墙WEB管理界面,单击“设备管理 虚拟设备管理虚拟设备选择”。 选中“VF_1” 实验任务三:同一虚拟防火墙域间策略配置步骤一:创建安全区域新建的虚拟设备没有缺省的安全区域,全部需要手工配置。进入防火墙WEB管理界面后,单击“防火墙 安全区域”,单击“新建”按钮,创建安全区域。再创建Untrust区域:步骤二:接口加入安全区域进入防火墙WEB管理界面,单击“设备管理安全域”,编辑安全区域,把GE0/2加入VF_1_Trust区域。 同样的方法把GE0/1加入VF_1_Untrust区域。步骤三:配置同一虚拟防火墙的域间策略进入“防火墙安全策略域间策略”页
8、面,单击“新建”按钮创建VF_1_Untrust到VF_1_Trust区域的域间策略。步骤四:查看实验结果在PC1上可以ping通Server:C:Documents and Settingsz07119ping 100.0.0.2Pinging 100.0.0.2 with 32 bytes of data:Reply from 100.0.0.2: bytes=32 time=12ms TTL=126Reply from 100.0.0.2: bytes=32 time1ms TTL=126Reply from 100.0.0.2: bytes=32 time1ms TTL=126Repl
9、y from 100.0.0.2: bytes=32 timeping 192.168.2.2Pinging 192.168.2.2 with 32 bytes of data:Reply from 192.168.2.2: bytes=32 time=17ms TTL=126Reply from 192.168.2.2: bytes=32 time1ms TTL=126Reply from 192.168.2.2: bytes=32 time1ms TTL=126Reply from 192.168.2.2: bytes=32 time 安全区域”页面,编辑安全区域,共享属性设置成YES。步
10、骤三:配置域间策略如果需要限制VF_2到VF_1共享区域的访问,可以配置域间策略实现。进入VF_2防火墙web管理页面,在“防火墙 安全策略 域间策略”页面,配置VF_2_Trust到VF_1_Untrust区域的域间策略禁止PC2访问Server。步骤四:查看实验结果1. VF_1的VF_1_Trust区域没有配置共享区域,所以PC2不能ping通PC1:C:Documents and Settingsz07119ping 192.168.2.2Pinging 192.168.2.2 with 32 bytes of data:Request timed out.Request timed
11、out.Request timed out.Request timed out.Ping statistics for 192.168.2.2:Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),2. VF_1的VF_1_Untrust被设置成共享区域,所以PC2可以ping通Server:C:Documents and Settingsz07119ping 100.0.0.2Pinging 100.0.0.2 with 32 bytes of data:Reply from 100.0.0.2: bytes=32 time=19ms T
12、TL=126Reply from 100.0.0.2: bytes=32 time1ms TTL=126Reply from 100.0.0.2: bytes=32 time1ms TTL=126Reply from 100.0.0.2: bytes=32 timeping 100.0.0.2Pinging 100.0.0.2 with 32 bytes of data:Request timed out.Request timed out.Request timed out.Request timed out.Ping statistics for 100.0.0.2: Packets: S
13、ent = 4, Received = 0, Lost = 4 (100% loss),实验任务五:虚拟防火墙和VPN多实例配置前面的实验各个虚拟防火墙在安全层面实现了虚拟化,一台设备被虚拟成两台,但是这两台设备共享一个全局的路由表,通过和VPN多实例的配合可以实现不同虚拟防火墙之间路由的隔离,达到真正意义上的虚拟防火墙。本实验在防火墙上创建两个虚拟防火墙,VF_1运行OSPF路由,VF_2配置静态路由和对端互联实验组网如图6-2所示步骤一:交换机配置网络拓扑不变,防火墙和交换机通VLAN虚接口实现三层互联,具体配置如下:#vlan 20#vlan 30#vlan 100#interface
14、Vlan-interface20 ip address 20.0.0.2 255.255.255.0#interface Vlan-interface30 ip address 30.0.0.2 255.255.255.0#interface Vlan-interface100 ip address 100.0.0.1 255.255.255.0#interface GigabitEthernet1/0/1 port link-mode bridge port link-type trunk port trunk permit vlan 1 20 30#interface GigabitEth
15、ernet1/0/2 port link-mode bridge port access vlan 100#ospf 1 area 0.0.0.0 network 20.0.0.0 0.0.0.255 network 100.0.0.0 0.0.0.255# ip route-static 192.168.3.0 255.255.255.0 30.0.0.1#步骤二:防火墙命令行配置#ip vpn-instance VF_1 route-distinguisher 100:1#ip vpn-instance VF_2 route-distinguisher 200:1#vlan 20 #vla
16、n 30#interface Vlan-interface20 ip binding vpn-instance VF_1 ip address 20.0.0.1 255.255.255.0#interface Vlan-interface30 ip binding vpn-instance VF_2 ip address 30.0.0.1 255.255.255.0#interface GigabitEthernet0/2 port link-mode route ip binding vpn-instance VF_1 ip address 192.168.2.1 255.255.255.0
17、#interface GigabitEthernet0/3 port link-mode route ip binding vpn-instance VF_2 ip address 192.168.3.1 255.255.255.0#interface GigabitEthernet0/1 port link-mode bridge port link-type trunk port trunk permit vlan 1 20 30#ospf 1 vpn-instance VF_1 area 0.0.0.0 network 192.168.2.0 0.0.0.255 network 20.0
18、.0.0 0.0.0.255# ip route-static vpn-instance VF_2 100.0.0.0 255.255.255.0 30.0.0.2#步骤三:防火墙WEB页面配置进入防火墙WEB管理界面后,单击“设备管理 虚拟设备管理虚拟设备配置”。 单击“新建”按钮创建两个虚拟设备。进入Root防火墙WEB管理界面,单击“设备管理 虚拟设备管理接口成员”页面,把GE0/2、VLAN20以及Vlan-interface20分配给VF_1防火墙,GE0/3、VLAN30以及Vlan-interface30分配给VF_2防火墙,其它接口保持不变,仍然属于Root防火墙。进入防火墙W
19、EB管理界面,单击“设备管理 虚拟设备管理虚拟设备选择”。 选中“VF_1” 单击“防火墙 安全区域”,单击“新建”按钮,创建安全区域。再创建Untrust区域:把GE0/2加入VF_1_Trust区域,Vlan-interface20和GE0/1的VLAN20加入VF_1_Untrust区域。进入VF_1虚拟防火墙web页面,单击“防火墙安全策略域间策略”,单击“新建”按钮创建VF_1_Untrust到VF_1_Trust区域的域间策略。同样的方式,进入VF_2虚拟防火墙,创建VF_2_Trust区域和VF_2_Untrust区域,然后把GE0/3加入VF_2_Trust区域,Vlan-in
20、terface30和GE0/1的VLAN30加入VF_2_Untrust区域。然后再创建VF_2_Utrust到VF_2_Trust的域间策略。步骤四:查看实验结果1. 配置完成VF_1以及OSPF以后,VF_1能学到100.0.0.0/24的路由,S5500能学到192.168.2.0/24的路由,PC1可以ping通Server,但是Server ping不通PC1。FW-1dis ip routing-table vpn-instance VF_1Routing Tables: VF_1 Destinations : 7 Routes : 7Destination/Mask Proto
21、Pre Cost NextHop Interface20.0.0.0/24 Direct 0 0 20.0.0.1 Vlan2020.0.0.1/32 Direct 0 0 127.0.0.1 InLoop0100.0.0.0/24 OSPF 10 2 20.0.0.2 Vlan20127.0.0.0/8 Direct 0 0 127.0.0.1 InLoop0127.0.0.1/32 Direct 0 0 127.0.0.1 InLoop0192.168.2.0/24 Direct 0 0 192.168.2.1 GE0/2192.168.2.1/32 Direct 0 0 127.0.0.
22、1 InLoop0S5500display ip routing-table Routing Tables: Public Destinations : 10 Routes : 10Destination/Mask Proto Pre Cost NextHop Interface20.0.0.0/24 Direct 0 0 20.0.0.2 Vlan2020.0.0.2/32 Direct 0 0 127.0.0.1 InLoop030.0.0.0/24 Direct 0 0 30.0.0.2 Vlan3030.0.0.2/32 Direct 0 0 127.0.0.1 InLoop0100.
23、0.0.0/24 Direct 0 0 100.0.0.1 Vlan100100.0.0.1/32 Direct 0 0 127.0.0.1 InLoop0127.0.0.0/8 Direct 0 0 127.0.0.1 InLoop0127.0.0.1/32 Direct 0 0 127.0.0.1 InLoop0192.168.2.0/24 OSPF 10 2 20.0.0.1 Vlan20192.168.3.0/24 Static 60 0 30.0.0.1 Vlan30C:Documents and Settingsz07119ping 100.0.0.2Pinging 100.0.0
24、.2 with 32 bytes of data:Reply from 100.0.0.2: bytes=32 time=21ms TTL=126Reply from 100.0.0.2: bytes=32 time=1ms TTL=126Reply from 100.0.0.2: bytes=32 timeping 192.168.2.2Pinging 192.168.2.2 with 32 bytes of data:Request timed out.Request timed out.Request timed out.Request timed out.Ping statistics
25、 for 192.168.2.2: Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),2. 配置VF_1_Untrust到VF_1_Trust的域间策略以后,Server能ping通PC1。C:Documents and Settingszhaiyunboping 192.168.2.2Pinging 192.168.2.2 with 32 bytes of data:Reply from 192.168.2.2: bytes=32 time=30ms TTL=126Reply from 192.168.2.2: bytes=32 ti
26、me=1ms TTL=126Reply from 192.168.2.2: bytes=32 time1ms TTL=126Reply from 192.168.2.2: bytes=32 time1ms TTL=126Ping statistics for 192.168.2.2: Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),Approximate round trip times in milli-seconds: Minimum = 0ms, Maximum = 30ms, Average = 7ms3. 配置完VF_2以及静态路由的配置后,PC2能ping通Server,但是Server不能ping通PC2FW-1display ip routing-table vpn-instance VF_2Routing Tables: VF_2 Destinations : 7 Routes : 7Destination/Mask Proto P