04：防火墙部署策略路由、基于应用的策略路由、基于用户的策略路由、基于源地址的策略路由、基于多ISP的策略路由、双机热备 - CASE - 《网络运维与安全》

1 基于应用协议的策略路由
2 基于用户的策略路由
3 基于源地址的策略路由
4 基于多 ISP 的策略路由
5 部署防火墙双机热备

Top

基于应用协议的策略路由
基于用户的策略路由
基于源地址的策略路由
基于多 ISP 的策略路由
部署防火墙双机热备

1 基于应用协议的策略路由

1.1 问题

本例要求配置基于应用协议的策略路由

1）企业出口防火墙部署两条公网链路，ISP1 - 电信和 ISP2 - 联通

2）企业要求：社交娱乐类流量由 g1/0/0 发出，走 ISP1 - 电信

3）互联网访问、商务系统流量由 g1/0/1 发出，走 ISP2 - 联通

4）其他流量两条链路轮循使用

1.2 方案

部署基于应用协议的策略路由，如图 - 1 所示。

CASE - 图1

图 - 1

1.3 步骤

步骤一：配置接口地址，如图 - 2 所示。

CASE - 图2

图 - 2

步骤二：配置安全策略象，如图 - 3 所示。

CASE - 图3

图 - 3

步骤三：配置 IP-Link 探测，如图 - 4 所示。

CASE - 图4

图 - 4

步骤四：配置策略路由，如图 - 5 所示。

CASE - 图5

图 - 5

步骤五：配置 NAT 策略。

1）配置 NAT 源转换地址池，如图 - 6 所示。

CASE - 图6

图 - 6

2）配置 NAT 策略，如图 - 7 所示。

CASE - 图7

图 - 7

2 基于用户的策略路由

2.1 问题

本例要求配置基于用户的策略路由

1）企业出口防火墙部署两条公网链路，ISP1 - 电信和 ISP2 - 联通

2）企业要求：张三和财务部的流量由 g1/0/0 发出，走 ISP1 - 电信

3）企业要求：李四和信安部的流量由 g1/0/1 发出，走 ISP2 - 联通

2.2 方案

配置基于用户的策略路由，如图 - 8 所示。

CASE - 图8

图 - 8

2.3 步骤

第一步配置接口地址，第二步配置安全策略与上一实验相同，不在贴图。

步骤一：配置用户和用户组对象，如图 - 9 所示。

CASE - 图9

图 - 9

步骤二：配置 IP-Link 探测，如图 - 10 所示。

CASE - 图10

图 - 10

步骤三：配置策略路由，如图 - 11 所示。

CASE - 图11

图 - 11

步骤四：配置 NAT 策略，如图 - 12、图 - 13 所示。

CASE - 图12

图 - 12

CASE - 图13

图 - 13

3 基于源地址的策略路由

3.1 问题

本例要求配置基于源地址的策略路由

1）企业出口防火墙部署两条公网链路，ISP1 - 电信和 ISP2 - 联通

2）企业要求：192.168.20.0 网段的流量由 g1/0/0 发出，走 ISP1 - 电信

3）企业要求：192.168.30.0 网段的流量由 g1/0/1 发出，走 ISP2 - 联通

3.2 方案

配置基于源地址的策略路由，如图 - 14 所示。

图 - 14

3.3 步骤

步骤一：配置接口地址，如图 - 15 所示。

CASE - 图14

图 - 15

步骤二：配置地址组对象，如图 - 16 所示。

CASE - 图15

图 - 16

步骤三：配置安全策略，如图 - 17 所示。

CASE - 图16

图 - 17

步骤四：配置 IP-Link 探测，如图 - 18 所示。

CASE - 图17

图 - 18

步骤五：配置策略路由，如图 - 19 所示。

CASE - 图18

图 - 19

步骤六：配置 NAT 策略，如图 - 20、图 - 21 所示。

CASE - 图19

图 - 20

CASE - 图20

图 - 21

步骤七：验证结果，如图 - 22、图 - 23 所示。

CASE - 图21

图 - 22

CASE - 图22

图 - 23

4 基于多 ISP 的策略路由

4.1 问题

本例要求配置基于多的策 ISP 的策略路由

1）公司出口防火墙部署两条链路，ISP1 - 教育网和 ISP2 - 运营商

2）公司要求：学生网络中 PC 的流量由 g1/0/0 发出，走 ISP1 - 教育网

3）公司要求：教师网络中 PC 的流量由 g1/0/1 发出，走 ISP2 - 运营商

4.2 方案

配置基于多 ISP 的策略路由，如图 - 24 所示。

图 - 24

4.3 步骤

步骤一：新建安全区域，如图 - 25 所示。

CASE - 图23

图 - 25

步骤二：配置接口地址，如图 - 26 所示。

CASE - 图24

图 - 26

步骤三：配置安全策略，如图 - 27 所示。

CASE - 图25

图 - 27

步骤四：配置策略路由，如图 - 28 所示。

CASE - 图26

图 - 28

步骤五：配置 NAT 策略，如图 - 29、图 - 30 所示。

CASE - 图27

图 - 29

CASE - 图28

图 - 30

步骤六：验证结果，如图 - 31、图 - 32 所示。

CASE - 图29

图 - 31

CASE - 图30

图 - 32

5 部署防火墙双机热备

5.1 问题

本例要求配置防火墙双机热备

1）公司出口有两台边界防火墙分别位 FW1 和 FW2

2）FW1 连接 ISP1 - 电信、FW2 连接 ISP2 - 联通

3）公司要求：财务部流量走 FW1、信息安全部流量走 FW2

4）公司要求：当某一台边界设备出现故障后，或某一条链路出现故障后，流量能够自动切换，避免网络中断，实现网络的稳定性和可靠性.

5）公司要求：FW1 和 FW2 部署双机热备，实现负载均衡，共同承担流量转发

5.2 方案

配置防火墙双机热备，如图 - 33 所示。

图 - 33

5.3 步骤

步骤一：FW1 防火墙配置接口地址，如图 - 34 所示。

CASE - 图31

图 - 34

步骤二：FW1 防火墙配置安全策略，如图 - 35 所示。

CASE - 图32

图 - 35

步骤三：FW1 防火墙配置 NAT 策略，如图 - 36、图 - 37 所示。

CASE - 图33

图 - 36

CASE - 图34

图 - 37

步骤四：FW1 防火墙配置默认路由，如图 - 38 所示。

CASE - 图35

图 - 38

步骤五：FW1 防火墙配置 IP-Link 探测，如图 - 39 所示。

CASE - 图36

图 - 39

步骤六：FW1 防火墙配置双机热备，如图 - 40 所示。

CASE - 图37

图 - 40

步骤七：FW2 防火墙配置接口地址，如图 - 41 所示。

CASE - 图38

图 - 41

步骤八：FW2 防火墙配置安全策略，如图 - 42 所示。

CASE - 图39

图 - 42

步骤九：FW2 防火墙配置 NAT 策略，如图 - 43、图 - 44 所示。

CASE - 图40

图 - 43

CASE - 图41

图 - 44

步骤十：FW2 防火墙配置默认路由，如图 - 45 所示。

CASE - 图42

图 - 45

步骤十一：FW2 防火墙配置 IP-Link 探测，如图 - 46 所示。

CASE - 图43

图 - 46

步骤十二：FW2 防火墙配置双机热备，如图 - 47 所示。

CASE - 图44

图 - 47

步骤十三：验证结果，如图 - 48、图 - 49 所示。

CASE - 图45

图 - 48

CASE - 图46

图 - 49
https://tts.tmooc.cn/ttsPage/NTD/NTDTN202109/SECSOL/DAY04/CASE/01/index.html