Introducción: Capa 3, NAT y DHCP
Resolution
¿Yo he desempaquetado mi firewall e hice lo que usted me dijo, ahora qué?
En la instalación anterior, Introducción—preparando el firewall, he desempaquetado mi firewall, ¿ahora qué?, describimos los primeros pasos después de desempaquetar el firewall y ponerlo en marcha. Esta semana, a echar un vistazo a dónde ir desde aquí y configurar las interfaces de capa 3, establecer la trayectoria correcta y habilitar NAT para que el firewall puede funcionar como un portal de internet.
Antes de empezar, lo describen algunas cosas que pueden ser diferentes en tu red que querrá tener en cuenta:
En los siguientes ejemplos, mi ISP ha asignado me internet subred IP de 198.51.100.0/28 cual quieres empezar a utilizar en la interfaz untrust de la firewall en vez de router. Para lograr esto, necesitará desactivar NAT y tal vez algunas cosas necesitan ser cambiadas para lograr esto. Como los pasos para lograr esto variará, dependiendo de varios factores, puede que necesite alguna asistencia desde su ISP para configurar su router. Ya que no es absolutamente necesario utilizar una gama IP pública, que puede que simplemente mantener utilizando el rango IP que su ISP proporcionado.
Tenga en cuenta estos parámetros de la red:
IP de mi router será: 198.51.100.1
Será mi firewall IP: 198.51.100.2
IP interna de mi firewall será: 10.0.0.1
Rango DHCP de mi cliente será: 10.0.0.50-10.0.0.250
1. Preparación de las zonas
Para empezar, primero a reconfigurar las zonas que actualmente estamos utilizando para nuestro alambre Virtual por lo que podemos reutilizar las mismas zonas. Si desea cambiar los nombres, puede hacer nuevas zonas o simplemente cambiar el nombre de los ya existentes.
- Desplácese hasta la ficha red.
- Abrir zonas del panel izquierdo.
- Proceder a abrir los objetos de la zona de confianza y cambiar el tipo a Layer3, luego haga clic en Aceptar. Repita esto para la zona untrust.
No se preocupe si la caja de interfaces está vacía después de este cambio, loarreglaremos en el siguiente paso.
2. Preparación de las interfaces
- Desplácese hasta la ficha red.
- Interfaces abiertos del panel izquierdo. Vamos a ver nuestras interfaces de VWire 2 que ya están conectados a internet, pero actualmente carecen de configuración de la zona, debido al paso anterior.
- Comience abriendo ethernet1/1, que será nuestro externo o untrust, interfaz.
En el menú desplegable de tipo de interfaz, cambiar alambre Virtual a nivel3.
A continuación, configure el enrutador virtual como predeterminado y la zona de seguridad para que no confíe.
A continuación vamos a añadir una dirección IP a la interfaz.
- Desplácese hasta la ficha IPv4.
- Haga clic en Agregar.
- Introduzca la dirección IP externa que se proporcionó el ISP.
Haga clic en aceptar y proceda a ethernet1/2. Establezca la interfaz en layer3, el enrutador virtual al valor predeterminado y la zona de seguridad en confianza.
En la pestaña IPv4, configurar la dirección IP de la interfaz a 10.0.0.1/24 y abra la ficha avanzadas.
En esta pestaña vamos a configurar un perfil de gestión que nos permitirá hacer ping a la interfaz, que podría ser de utilidad si alguna vez tenemos que solucionar problemas de red interna. En el menú desplegable Perfil de administración, haga clic en el vínculo Perfil de administración :
Por ahora, sólo vamos a permitir que el servicio de ping en la interfaz.
Volver a la página de interfaces haciendo clic en aceptar en los cuadros de diálogo de configuración de dos. La página de interfaces debe ahora este aspecto:
3. Configuración del enrutamiento
A continuación, tenemos que asegurar que el firewall sea capaz de llegar a la Internet, va a necesitar una puerta de enlace predeterminada.
- Desplácese hasta la ficha red.
- Abrir Routers virtuales desde el panel izquierdo.
- Abra el defecto VR (virtual router).
Esto hará que aparezca la configuración del router Virtual que utilizaremos para nuestras nuevas interfaces de capa 3. Se llama un router virtual porque el firewall no emplea una sola instancia de enrutamiento, pero puede tener varios, todo ligado a diferentes interfaces. Esto permite enrutamiento casos a ser muy diferentes entre sí y hace posible la segregación de la red a nivel de enrutamiento. Por ahora, nos ceñiremos al que tenemos:
Añadir una ruta estática.
- Abrir rutas estáticas desde el panel izquierdo.
- Haga clic en Agregar para iniciar una nueva ruta.
Instalaremos el destino a 0.0.0.0/0, que abarca todas las subredes IP que no están conectadas con el firewall y la interfaz de salida a ethernet1/1 ya que es la interfaz exterior conectada al router de internet. Por último instalaremos dirección IP del router como el siguiente salto.
4. Configuración de DHCP
Nuestro siguiente paso será activar a un servidor DHCP en la interfaz trust por lo que pueden conectarse los usuarios conectados a la red sin una dirección IP configurada estáticamente.
- Desplácese hasta la ficha red.
- Abrir DHCP desde el panel izquierdo.
- Haga clic en Agregar para iniciar una nueva configuración de servidor DHCP.
Instalaremos la interfaz ethernet1/2 ya que este es el interior interfaz. Para evitar la duplicación de direcciones IP en la red en caso de que alguien haya configurado una configuración de dirección IP estática o su estación de trabajo, podemos habilitar ping IP al asignar nueva IP. Esta opción envía un ping a una dirección IP lista para asignar un host. En caso de que el ping recibe una respuesta, el servidor DHCP elige una dirección IP diferente para asignar y repite el paso. Instalaremos el alquiler para 1 dia y las piscinas de IP a '10.0.0.50-10.0.0.250' a los usuarios con direcciones IP 201.
En la ficha Opciones, podemos configurar que puerta de enlace predeterminada y servidores DNS, los clientes reciben cuando soliciten una dirección DHCP. Tenemos que configurar la puerta de entrada como 10.0.0.1 como este de la dirección IP interna del firewall. Yo he marcado los servidores DNS de Google 4.2.2.2 y 8.8.8.8 pero puede configurar servidores DNS propias del ISP:
Haga clic en Aceptar para completar este bit y vamos a pasar a la última parte donde configuramos NAT.
5. Configuración de NAT
La última parte de esta configuración es configurar Network Address Translation. Esto hará que todos los hosts internos salen a internet utilizando la dirección IP externa del firewall como fuente. Esto se requiere ya que los intervalos de IP de red privados 10.0.0.0/8, 172.16.0.0/12 y 192.168.0.0/16 no se enrutan en Internet y sólo se pueden utilizar en una red privada detrás de un Gateway habilitado para NAT.
- Desplácese hasta la ficha directivas.
- Abrir NAT en el panel izquierdo.
- Haga clic en Agregar para crear una nueva política NAT.
Daremos la regla NAT un nombre fácil de identificar:
A continuación iremos a la pestaña de paquetes originales , donde estableceremos las zonas de origen y destino y la interfaz de destino.
- Haga clic en Agregar para introducir una nueva zona de la fuente.
- Seleccione la zona de confianza de la lista desplegable.
- En la zona de destino, elija untrust en el menú desplegable.
- Para la interfaz de destino, establezca ethernet1/1, ya que es la interfaz externa.
- Dejar todo como está y pasar a la pestaña de paquetes traducidos.
Por último, desde la pestaña de paquetes traducidos , vamos a configurar la traducción de la dirección de origen. Defina el tipo de traducción como IP y Puerto dinámicos para garantizar que varios clientes internos puedan realizar conexiones de salida simultáneas ocultas detrás de una dirección IP.
Acerca de las otrasopciones :
- La IP dinámica es útil para ocultar un grupo de direcciones IP detrás de otro grupo de direcciones IP de igual tamaño. Esto puede ocurrir si una conexión está configurada con una red secundaria donde direcciones IP puede superponerse, o donde la ruta a la subred de la LAN no es posible.
- IP estática generalmente se establece si un solo host tendrán uso exclusivo de una dirección IP NAT.
Como tipo de dirección, elegiremos utilizar la dirección de la interfaz
y seleccione ethernet1/1
y seleccione la dirección IP configurada.
Haga clic en Aceptar para completar la configuración de NAT.
6. Limpieza y commit
Un último paso antes de seguir adelante y de cometer esta configuración es quitar el objeto Virtual del alambre usado anteriormente.
Desplácese hasta la ficha de red y abrir Virtual los cables desde el panel izquierdo. Una vez allí, resalte el VWire por defecto y haga clic en eliminar.
Cuando se borra el VWire por defecto, seguir adelante y confirme la configuración.
7. Actualización de cliente IP y ARP
Tenemos ahora correctamente había conectado el cortafuegos de alambre virtual de implementación de la capa 3. Una advertencia a considerar es que ahora las interfaces ya no actúan como un Bump-in-the-Wire— THey tienen su propia dirección Mac y algunos clientes. Potencialmente, el router puede necesitar tener su caché de ARP refrescado antes de que el éxito de interfaces puede comunicarse con el servidor de seguridad.
En un host de windows, esto puede lograrse a partir de un símbolo del sistema como administrador
y ejecutar arp -d para borrar la caché de ARP y ' ipconfig / renovar ' para obtener un contrato de arrendamiento DHCP desde el servidor DHCP nuevo.
C:\ > ARP-d
C:\ > ipconfig/renew
Windows IP Configuration
Ethernet Adapter lablan:
sufijo DNS específico de la conexión. :
Dirección IP. . . . . . . . . . . . :
máscara de subred 10.0.0.50. . . . . . . . . . . : 255.255.255.0
Default Gateway. . . . . . . . . : 10.0.0.1
Espero que hayas disfrutado este artículo. Siéntase libre de dejar cualquier comentario abajo!
Saludos,
Tom Piens
Si has disfrutado de este artículo, por favor también tome un vistazo a los artículos en seguimiento:
Me has desempaquetado mi firewall y quiero configurar VLANs, subinterfaces
Yo he descomprimido mi firewall, pero ¿dónde están los registros?