Getting Started: Layer 3, NAT und DHCP
Resolution
Ich habe meine Firewall ausgepackt und Tat, was du mir erzählt, was nun?
In der vorherigen Tranche, immer gestartet—die Vorbereitung der Firewall, habe ich meine Firewall ausgepackt, jetzt was?, haben wir die ersten Schritte nach dem Auspacken Ihrer Firewall und immer in Betrieb. Diese Woche nehmen wir einen Blick auf wo man von hier aus gehen und Layer 3-Schnittstellen konfigurieren, ordnungsgemäße Weiterleitung einrichten und NAT aktivieren, damit die Firewall als ein Internet-Gateway fungieren kann.
Bevor wir loslegen, umreiße ich ein paar Dinge, die in Ihrem Netzwerk unterschiedlich, die Sie wollen sein können, beachten:
In den folgenden Beispielen mein ISP hat mir zugewiesen, die Internet IP-Subnetz des 198.51.100.0/28 die ich möchte beginnen mit auf das Sicherheitszertifikat Schnittstelle der Firewall anstelle des Routers. Um dies zu erreichen, wird NAT deaktiviert werden müssen und vielleicht einige andere Dinge geändert werden, um dies zu erreichen müssen. Da die Schritte hierzu variieren, abhängig von mehreren Faktoren ab, benötigen Sie möglicherweise einige Assitance von Ihrem ISP Ihren Router neu konfigurieren. Da es nicht unbedingt einer öffentlichen IP-Bereich verwenden, können Sie einfach den IP-Bereich nutzen Ihr ISP zur Verfügung gestellt.
Bitte beachten Sie diese Parameter für Ihr Netzwerk:
Meine Router-IP wird sein: 198.51.100.1
Meine Firewall IP werden: 198.51.100.2
Meine Firewall interne IP-Adresse werden: 10.0.0.1
Mein Client DHCP-Bereich werden: 10.0.0.50-10.0.0.250
1. Vorbereitung der Zonen
Um loszulegen, werden wir zunächst die Zonen neu konfigurieren, die wir derzeit für unsere virtuellen Draht verwenden, so dass wir die gleichen Zonen wiederverwenden können. Wenn Sie die Namen ändern möchten, können Sie machen neue Zonen oder benennen Sie einfach die vorhandenen.
- Navigieren Sie zu der Registerkarte "Netzwerk".
- Offenen Zonen aus dem linken Bereich.
- Fahren Sie mit Vertrauen Zone Objekte öffnen und ändern Sie den Typ, Layer3, klicken Sie auf "OK". Wiederholen Sie diesen Vorgang für die Unglaubwürdigkeit Zone.
Machen Sie sich keine Sorgen, wenn die Schnittstellen-Box nach dieser Änderung leer ist—wir werden das im nächsten Schritt beheben.
2. Vorbereitung der Schnittstellen
- Navigieren Sie zu der Registerkarte "Netzwerk".
- Offene Schnittstellen aus dem linken Bereich. Wir sehen unsere 2 VWire-Schnittstellen, die bereits mit dem Internet verbunden sind, aber fehlen derzeit Zonenkonfiguration, aufgrund der oben genannten Schritt.
- Zunächst ethernet1/1, die werden unsere externe oder Vertraulichkeit, Schnittstelle zu öffnen.
Ändern Sie auf der Schnittstellentyp Dropdown-Liste virtuelle Draht in Layer3.
Als nächstes setzen Sie den virtuellen Router auf Standard und die Sicherheits Zone, um zu trauen.
Als nächstes fügen wir eine IP-Adresse der Schnittstelle.
- Navigieren Sie zur Registerkarte IPv4.
- Klick Hinzufügen.
- Die externe IP-Adresse Ihres ISP zur Verfügung gestellt.
Klicken Sie auf "OK" und gehen Sie zu ethernet1/2. Setzen Sie die SchnittStelle auf Layer3, virtuellen Router auf Default und Security Zone, um zu Vertrauen.
Legen Sie in der Registerkarte "IPv4" die IP-Adresse der Schnittstelle zu 10.0.0.1/24 und öffnen Sie die Registerkarte "erweiterte".
In diesem Reiter gehen wir eine Management-Profil eingestellt, die uns erlauben wird, die Schnittstelle, die nützlich sein könnten wenn wir jemals brauchen, um interne Netzwerk Problembehandlung ping. Klicken Sie im Management-Profil-Dropdown auf den Link Management Profile :
Vorerst können wir nur Ping-Service auf der Oberfläche.
Durch Klicken auf "OK" auf die beiden Konfigurationsdialoge zur Schnittstellen-Seite zurückzukehren. Die Schnittstellen-Seite sollte jetzt wie folgt aussehen:
3. Konfigurieren von routing
Als nächstes müssen wir sicherstellen, dass die Firewall mit dem Internet herstellen, so dass es ein Standard-Gateway benötigen können.
- Navigieren Sie zu der Registerkarte "Netzwerk".
- Öffnen Sie die virtuelle Router aus dem linken Bereich.
- Öffnen Sie die Standardeinstellung VR (virtual Router).
Dieses holt oben die Konfiguration des virtuellen Routers verwenden wir für unsere neuen Layer-3-Schnittstellen werden wird. Es wird einen virtuellen Router bezeichnet, da die Firewall eine Einzelinstanz routing nicht beschäftigen, sondern kann mehrere, verschiedene Schnittstellen alle verpflichtet haben. Dies ermöglicht für routing Instanzen sich sehr voneinander unterscheiden, und Netzwerk-Trennung auf routing Ebene ermöglicht. Vorerst werde wir die stick haben wir:
Fügen Sie eine statische Route.
- Statische Routen im linken Fensterbereich zu öffnen.
- Klicken Sie auf hinzufügen, um eine neue Route zu beginnen.
Das Ziel setzen wir auf 0.0.0.0/0, die alle IP-Subnetze, die nicht mit der Firewall und Egress-Interface ethernet1/1 verbunden sind umfasst, da dies die externe Schnittstelle mit dem Internet-Router verbunden ist. Schließlich werden wir die Router IP-Adresse als nächster Hop gesetzt.
4. Konfigurieren von DHCP
Unser nächste Schritt wird sein, um einen DHCP-Server auf der Vertrauen-Schnittstelle zu ermöglichen, so dass jeder Benutzer eine Verbindung herstellen, ohne eine statisch konfigurierte IP-Adresse mit dem Netzwerk verbinden können.
- Navigieren Sie zu der Registerkarte "Netzwerk".
- Öffnen Sie im linken Fensterbereich DHCP.
- Klicken Sie auf hinzufügen, um eine neue DHCP-Server-Konfiguration zu starten.
Legen wir das Interface ethernet1/2 da dies das innere Schnittstelle. Um doppelte IP-Adressen im Netzwerk zu verhindern, falls jemand eine statische IP-Adress Konfiguration o seinen Arbeitsplatz eingestellt hat, können wir ping IP bei der Zuweisung neuer IP aktivieren. Diese Option sendet einen Ping an eine IP-Adresse kann einen Host zugewiesen werden. Für den Fall, dass der Ping-Befehl eine Antwort erhält, wird der DHCP-Server wählt eine andere IP zuweisen und wiederholt den Schritt. Setzen wir den Mietvertrag für 1 Tag und die IP-Pools zu '10.0.0.50-10.0.0.250', Benutzer mit 201 IP-Adressen bereitzustellen.
In der Registerkarte "Optionen" können wir konfigurieren, welche Standard-Gateway und DNS-Server die Clients erhalten, wenn Sie eine DHCP-Adresse anfordern. Wir müssen das Tor als 10.0.0.1 festlegen, wie diese es interne IP-Adresse der Firewall ist. Ich habe die DNS-Server sowie Googles 4.2.2.2 8.8.8.8 eingerichtet, aber Sie können Ihre eigenen ISP DNS-Server einstellen:
Klicken Sie auf "OK", um dieses Bit und gehen wir bis zum letzten Teil wo wir NAT konfigurieren
5. Konfiguration von NAT
Der letzte Teil dieses Setup ist Network Address Translation zu konfigurieren. Dadurch wird sichergestellt, dass alle internen Hosts mit dem Internet gehen externe IP-Adresse der Firewall als Energiequelle nutzen. Dies ist erforderlich, da die privaten Netzwerk -IP-Bereiche 10.0.0.0/8, 172.16.0.0/12 und 192.168.0.0/16 nicht im Internet geleitet werden und nur in einem privaten Netzwerk hinter einem NAT-fähigen Gateway verwendet werden können.
- Navigieren Sie zu der Registerkarte "Richtlinien".
- Öffnen Sie im linken Fensterbereich NAT.
- Klicken Sie auf hinzufügen, um eine neue NAT-Richtlinie erstellen.
Wir geben der NAT-Regel einen Namen zu identifizieren:
Als nächstes gehen wir zum Original-Paket -Tab, wo wir die Quell-und Zielzonen und die Ziel Schnittstelle einstellen.
- Klicken Sie auf hinzufügen, um eine neue Quelle Zone einfügen.
- Vertrauen-Zone aus der Dropdown-Liste auswählen.
- In die Zielzone wählen Sie in der Dropdown-Liste Vertraulichkeit.
- Stellen Sie für die Zielschnittstelle ethernet1/1 ein, dies ist die externe Schnittstelle.
- Lassen Sie alles andere als ist und fahren Sie mit der Registerkarte "übersetzt-Paket".
Schließlich werden wir aus dem ÜberSetzten Paket- Tab die ÜberSetzung der Quelladresse konfigurieren. Stellen Sie den Übersetzungs Typ auf Dynamic IP und Port , um sicherzustellen, dass mehrere interne Clients gleichzeitige ausgehende Verbindungen hinter einer IP-Adresse verbergen können.
Über die anderen Optionen—
- Dynamic IP ist praktisch, um eine Gruppe von IP-Adressen hinter einer anderen Gruppe von IP-Adressen von gleicher Größe zu verstecken. Dies kann passieren, wenn eine Verbindung mit eingerichtet ist ein sekundäres Netzwerk wo IP-Adressen kann sich überschneiden, oder wo weiterleiten an die LAN-Subnet ist nicht möglich.
- Statische IP-Adresse wird in der Regel festgelegt, wenn ein einzelner Host ausschließliche Verwendung einer NAT IP-Adresse haben.
Als Adress-Typ wählen wir die Interface-Adresse
und wählen Sie ethernet1/1
und wählen Sie die konfigurierte IP-Adresse.
Klicken Sie auf OK, um die NAT-Konfiguration abzuschließen.
6. Bereinigung und commit
Einen letzten Schritt, bevor wir fortfahren und diese Konfiguration zu begehen ist, die bisher verwendete virtuellen Draht-Objekt zu entfernen.
Navigieren Sie zu der Registerkarte "Netzwerk" und öffnen Sie virtuelle Drähte aus dem linken Bereich. Einmal dort, markieren Sie die Standard-VWire und klicken Sie auf löschen.
Wenn die Standard-VWire gelöscht wird, gehen Sie vor und begehen Sie die Konfiguration.
7. Aktualisieren Sie Client-IP und ARP
Wir haben nun erfolgreich die Firewall aus virtuellen Draht auf Layer 3 Bereitstellung geschaltet. Ein Vorbehalt zu bedenken ist, dass die Schnittstellen jetzt nicht mehr als Bump-in-The-Wire fungieren— thEY haben ihre eigene Mac-Adresse und einige Clients. Möglicherweise müssen die Router seinen ARP-Cache aktualisiert haben, bevor die Schnittstellen können erfolgreich mit der Firewall zu kommunizieren.
Auf einem Windows-Host kann dies erreicht werden durch eine Eingabeaufforderung als Administrator starten
und Ausführung um den ARP-Cache löschen "Arp -d" und "Ipconfig / renew" den neuen DHCP-Server eine DHCP-Lease erhalten.
C:\ > ARP-d
C:\ > ipconfig/renew
Windows IP Configuration
Ethernet Adapter lablan:
Verbindungs spezifisches DNS-Suffix. :
IP-Adresse. . . . . . . . . . . . : 10.0.0.50
Subnet Mask. . . . . . . . . . . : 255.255.255.0
Default Gateway. . . . . . . . . : 10.0.0.1
Ich hoffe, dass Ihnen dieser Artikel gefallen hat. Bitte zögern Sie nicht lassen Sie Anmerkungen unten!
Viele Grüße,
Tom Piens
Wenn Ihnen dieser Artikel gefallen hat, bitte nehmen Sie auch einen Blick auf die Follow-up-Artikel:
Ich habe meine Firewall ausgepackt und VLANs konfigurieren möchten – Unterschnittstellen
Ich habe meine Firewall ausgepackt, aber wo sind die Protokolle?