Erste Schritte – Layer 3, NAT und DHCP
26941
Created On 09/25/18 19:05 PM - Last Modified 06/05/23 09:17 AM
Resolution
In der vorherigen Tranche der Getting Started Video-Tutorials, zeigte ich Ihnen, wie Sie die Management-Schnittstelle einrichten, Lizenzen vorbereiten, Updates herunterladen und eine erste Sicherheitsrichtlinie auf ihrer brandneuen Firewall erstellen. In dieser Rate werde ich Ihnen zeigen, wie man Layer 3-Schnittstellen konfiguriert, sicherstellt, dass ausgehende Verbindungen für die Netzwerkadressen-Übersetzung oder NAT gesetzt sind, und Ihnen hilft, einen DHCP-Server zu erstellen, damit Clients automatisch eine IP-Adresse in Ihrem lokalen Netzwerk zugewiesen werden.
Wenn Sie das erste Tutorial-Video noch nicht gesehen haben, nehmen Sie sich bitte einen Moment Zeit und checken Sie es aus und fahren Sie mit diesem Video fort.
Werfen wir einen Blick auf das, was wir haben und was wir erreichen wollen:
- Router IP: 198.51.100.1
- Firewall IP: 198.51.100.2
- Firewall interne IP: 10.0.0.1
- Kunden-DHCP-Bereich: 10.0.0.50-10.0.0.250
Jetzt können wir das gleiche mit den Schnittstellen tun: Öffnen Sie die Eigenschaften auf Ethernet1/1, und ändern Sie Ihren Typ auf Ebene 3.
Sie werden sehen, dass ' Virtual Wire ' jetzt durch ' Virtual Router ' ersetzt wurde. Setzen wir das auf "Default" für jetzt. Ich werde ein bisschen mehr darüber erklären, nachdem wir dort sind. Stellen Sie die Zone auf ' Untrust ' und bewegen Sie sich auf die Registerkarte IPv4.
hier konfigurieren wir die IP-Adresse und das Subnetz dieser Schnittstelle. Ich werde meine externe IP-Adresse hier, mit a/28 Subnet, in den Weg legen.
Klicken Sie auf OK und bewegen Sie sich auf Interface Ethernet1/2, setzen Sie den virtuellen Router auf Standard, die Zone zu vertrauen, bewegen Sie sich auf IPv4 und setzen Sie die Schnittstelle auf IP-Adresse 10.0.0.1/24.
Als nächstes gehen wir zum Advanced Tab und erstellen ein neues Management Profil.
Ein Management-Profil ermöglicht es, bestimmte Dienste auf einer physischen Schnittstelle zur Verfügung zu stellen, einschließlich der Management-Funktionalität, falls Sie dies benötigen. Aber im Moment werden wir nur ' Ping ' aktivieren, so dass wir die Schnittstelle aus dem lokalen Netzwerk Ping und die Konnektivität testen können. Click OK.
Wir gehen jetzt zum virtuellen Router oder VR. Es wird ein virtueller Router genannt, weil wir mehrere VRS konfigurieren können, die jeweils ihre eigene Routing-Tabelle halten können, ohne sich gegenseitig zu stören. Die Konfiguration mehrerer Router mit separaten Routing-Tabellen ermöglicht es Ihnen, die Schnittstellen zu trennen, indem Sie Sie an verschiedene virtuelle Router anhängen.
Wir werden uns vorerst an die Standardeinstellung halten, die Eigenschaften öffnen und zu den statischen Routen gehen.
Sie müssen eine Standard-Route hinzufügen, die es ermöglicht, den ausgehenden Traffic auf den Upstream-Router zu leiten. Klicken Sie auf Hinzufügen, um eine neue Route zu erstellen, eine Beschreibung zu setzen und das Ziel auf 0.0.0.0/0 zu setzen.
Die Schnittstelle wird Ethernet1/1 sein, da dies die Egress-Schnittstelle zum Internet ist. Der nächste Hop wird die IP-Adresse Ihres Routers sein — in meinem Fall wird dies 198.51.100.1 sein.
Als nächstes werden wir DHCP einrichten. Klicken Sie auf Hinzufügen und setzen Sie die Schnittstelle auf etherner1/2, das ist das lokale Netzwerk. Wir werden ' ping IP bei der Zuweisung neuer IP ' aktivieren, da dies eine ICMP-Echo-Anfrage aussendet, bevor eine IP-Adresse aus dem IP-Pool zugewiesen wird. Das anfängliche Ping verhindert überlappende IPS im Netzwerk, falls eine statische IP-Adresse bereits einem anderen Arbeitsplatz zugeordnet wurde. Wir werden das Timeout auf 24 Stunden einstellen und einen IP-Pool für 10.0.0.50 bis. 250 erstellen. Wie Sie sehen können, können Sie hier ganz einfach Reservierungen erstellen, falls Sie eine bestimmte IP für einen bestimmten Host reservieren möchten, wie zum Beispiel einen Management-Laptop.
In der erweiterten Registerkarte können Sie das Standard-Gateway konfigurieren, das Ihre Clients erhalten, in meinem Fall ist das die Firewalls 10.0.0.12, Subnet mask 255.255.255.0. Ich habe keinen internen DNS-Server, also werde ich 4.2.2.2 und 8.8.8.8 setzen, aber wenn Sie ein Microsoft oder BIND DNS intern eingerichtet haben, setzen Sie hier seine IP-Adresse, zusammen mit allen gewinnen oder anderen Service-IP-Adressen, die Sie benötigen könnten. Bei Bedarf können Sie auch einige benutzerdefinierte DHCP-Optionen hinzufügen.
Als nächstes werden wir die Übersetzung von Netzwerkadressen vorbereiten.
Sie müssen zuerst eine neue Regel erstellen. Sie müssen ihm einen Namen geben und unter dem Reiter "Original-Paket" die Quell Zone, die Zielzone und die Ziel Schnittstelle einstellen. Im übersetzten Paket werden wir die Quell Übersetzung auf Dynamic IP und Port setzen, da wir nicht unbedingt eine eins-zu-eins-Übersetzung benötigen und wir den Adress-Typ einstellen werden, um einfach Interface Ethernet1/1 und seine IP für die Übersetzung zu verwenden. Wenn Sie möchten, können Sie hier eine andere IP-Adresse festlegen, wenn Ihr ISP Ihnen ein größeres Subnetz auf Ihrer Internetverbindung zur Verfügung gestellt hat.
Eine letzte Sache steht uns im Weg, bevor wir fertig werden können. — Wir müssen noch den vorläufig konfigurierten virtuellen Draht entfernen — einfach das Standard-vWire-Objekt markieren und auf Löschen klicken.
Gehen Sie nun vor und verpflichten Sie diese Konfiguration.
Auf den Clients möchten Sie den ARP-Cache löschen, da Sie sich zuvor mit einem anderen Routing-Gerät verbunden haben, und den DHCP-Leasing aktualisieren.
Ich hoffe, Sie haben dieses Video genossen. Bitte hinterlassen Sie einen Kommentar und schauen Sie sich unsere anderen Episoden in der Getting Started Serie an.