入门教程: 第 3 层、NAT 和 DHCP
Resolution
我打开我的防火墙,做你告诉我,现在是什么?
在上一篇文章中, 入门-准备防火墙, 我已经解压缩了我的防火墙, 现在怎么办?,我们描述了打开防火墙并将其启动并运行后的第一步. 这个星期,我们会看看在哪里从这里去和配置 3 层接口,设置正确的路由,并启用 NAT,所以防火墙可以作为互联网网关。
在我们开始之前,我将概述可能不同网络中要注意的几件事:
在下面的例子中,我的 ISP 分配我互联网 198.51.100.0/28,我想要开始使用而不是路由器防火墙的看接口上的 IP 子网。要实现这一目标,NAT 将需要被禁用和也许一些其他的东西需要改变,要做到这一点。如步骤做到这一点将会发生变化,取决于几个因素,您可能需要一些急难从您的 ISP 以重新配置您的路由器。由于它不是绝对需要使用公共的 IP 范围,你可以简单地继续使用您的 ISP 提供的 IP 范围。
请注意这些参数为您的网络:
我的路由器的 IP 将会是: 198.51.100.1
将我的防火墙 IP: 198.51.100.2
我的防火墙内部 IP 将: 10.0.0.1
我的客户的 DHCP 范围将是: 10.0.0.50-10.0.0.250
1。准备区
若要开始,我们首先会重新配置的区域,我们正在用我们虚拟线所以我们可以重用这些相同的区域。如果您希望更改的名称,你可以使新的区或简单地重命名现有的。
- 导航到网络选项卡。
- 从左窗格中的开放区。
- 进行公开的信任区对象和类型更改为 Layer3,然后单击确定。对于看区重复此操作。
如果此更改后 "接口" 框为空, 请不要担心--我们将在下一步中解决此问题.
2。准备的接口
- 导航到网络选项卡。
- 从左窗格中的开放接口。 我们会看到我们 2 的 VWire 接口已经连接到互联网,但目前缺少区域配置,因为上面的步骤。
- 首先打开 ethernet1/1,这将是我们的外部,或不信任,接口。
对接口类型下拉列表中,将更改为 Layer3 的虚拟线。
接下来, 将虚拟路由器设置为默认值, 并将安全区域设为不信任.
下一步我们会将 IP 地址添加到接口。
- 导航到 IPv4 选项卡。
- 单击 "添加"。
- 请输入您的 ISP 提供的外部 IP 地址。
单击确定并继续进行 ethernet1/2。将接口设置为 Layer3、虚拟路由器到默认值和安全区域以信任 .
在 IPv4 选项卡上,将该接口的 IP 地址设置为 10.0.0.1/24 并打开高级选项卡。
在此选项卡上,我们要设置管理配置文件,将使我们能够 ping 的接口,可能会派上用场如果我们需要对内部网络问题进行故障排除。在 "管理配置文件" 下拉列表中, 单击 "管理配置文件"链接:
现在,我们将只允许在接口上的坪服务。
通过对两个配置对话框中单击确定返回到接口页。接口页现在应该像这样:
3。配置路由
接下来,我们需要确保防火墙将能够访问互联网,因此,将需要一个默认网关。
- 导航到网络选项卡。
- 从左窗格中打开虚拟路由器。
- 打开默认 VR (虚拟路由器)。
这将弹出我们将使用我们新的层 3 接口的虚拟路由器的配置。它被称为一个虚拟的路由器,因为防火墙不会利用一个单一的路由实例,但可以有多个,所有绑定到不同的接口。这允许路由的情况非常不同于彼此,并使得路由一级网络隔离。现在,我们会坚持我们有的一个:
添加静态路由。
- 从左窗格中打开静态路由。
- 单击添加开始一条新的路线。
我们会将目标设置为 0.0.0.0/0,包含所有的 IP 子网,因为这是连接到互联网路由器的外部接口未连接到防火墙和 ethernet1/1 的外出接口。最后我们将作为下一跳路由器的 IP 地址。
4。配置 DHCP
我们下一步将以启用信任接口上的 DHCP 服务器,所以可以连接任何连接到网络的无静态配置的 IP 地址的用户。
- 导航到网络选项卡。
- 从左窗格中打开 DHCP。
- 单击添加以启动一个新的 DHCP 服务器配置。
我们会设置到 ethernet1/2 的接口,因为这是内部接口。要防止网络中存在重复的 ip 地址, 以防有人在工作站上设置了静态 ip 地址配置, 我们可以在分配新 IP 时启用 Ping ip . 此选项将 ping 命令发送到准备好分配主机的 IP 地址。如果 ping 收到答复,DHCP 服务器选择一个不同的 IP 来分配和重复该步骤。我们会到 1 天和到 '10.0.0.50-10.0.0.250' IP 池,为用户提供 201 IP 地址设置租约。
在选项选项卡,我们可以配置的默认网关和 DNS 服务器的客户端接收请求 DHCP 地址时。我们需要设置网关为 10.0.0.1,为此它的防火墙的内部 IP 地址。我已经将 DNS 服务器设置为谷歌的 4.2.2.2 和 8.8.8.8,但您可以设置您自己的 ISP 的 DNS 服务器:
单击确定来完成这一点,让我们移动到的最后一部分,我们在此配置 nat。
5。配置 NAT
此安装程序的最后一部分是配置网络地址转换。这将确保所有内部主机去互联网使用防火墙的外部 IP 地址作为源。这是专用网络IP 范围10.0 的要求. 0.0/8, 172.16.0. 0/12 和 192.168.0. 0/16 在 internet 上没有路由, 只能在启用 NAT 的网关后的专用网络上使用 。
- 导航到策略选项卡。
- 从左窗格中打开 NAT。
- 单击添加创建一个新的 NAT 策略。
我们会给 NAT 规则易于识别的名称:
接下来, 我们将转到 "原始数据包" 选项卡, 在这里我们将设置源和目标区域以及目标接口.
- 单击添加插入一个新的源区域。
- 从下拉列表中选择信任区域。
- 在目标区域中,选择不信任在下拉列表中。
- 对于目标接口,设置 ethernet1/1,因为这是外部接口。
- 离开一切如是并移至翻译包选项卡。
最后, 从 "翻译数据包" 选项卡中, 我们将配置源地址转换. 将转换类型设置为动态 IP 和端口, 以确保多个内部客户端可以在一个 IP 地址后面隐藏同时出站连接.
关于其他选项-
- 动态 IP可以方便地将一组 ip 地址隐藏在相同大小的另一组 ip 地址后面. 如果连接设置与二级网,IP 地址可能会重叠,或者在哪里对 LAN 子网的路由是不可能,就会出现此问题。
- 如果一台主机将有专用的 NAT IP 地址,通常设置静态 IP。
作为地址类型,我们将选择使用接口地址
并选择 ethernet1/1
并选择其已配置的 IP 地址。
单击确定完成 NAT 配置。
6。清理和提交
最后一步之前,我们去前面犯下这种配置是删除以前使用的虚拟线对象。
导航到网络选项卡,从左窗格中打开虚拟电线。一次,突出显示默认 VWire 并单击删除。
当删除了默认 VWire 时,勇往直前,提交配置。
7。刷新客户端 IP 和 ARP
我们已经成功地切换到层 3 部署虚拟线从防火墙。需要考虑的一个问题是, 现在的接口不再像线上的凹凸一样,它们有自己的 MAC 地址和一些客户端. 可能,路由器可能需要有其 ARP 缓存刷新之前与防火墙通信接口可以成功。
在 windows 主机上,这可以通过以管理员身份启动命令提示符
和执行 arp-d ',以清除 ARP 缓存和 ' ipconfig 续订 ',从新的 DHCP 服务器上获得 DHCP 租约。
c#: \n
ipconfig/续订
Windows IP 配置
以太网适配器 lablan:
特定于连接的 DNS 后缀. :
IP 地址. . . . . . . . . . . . : 10.0.0.50
子网掩码. . . . . . . . . . . : 255.255.255.0
默认网关. . . . . . . . . : 10.0.0。1
我希望你喜欢这篇文章。请随时离开下面任何评论 !
问候,
汤姆各地
如果你喜欢这篇文章,请也看看后续的文章: