网络规划设计,是网络最重要的部分,也是最应当花时间的部分。有哪些业务,如果满足这些业务需要,瓶颈在哪里,网络地址怎么划分的,接口怎么连,如果这些不去想好规划好,肯定会走很多弯路。好比烧一样小菜,找合适的网络设备是找主食材料,网络规划设计就像写菜谱,网络实施配置就是下锅炒菜,网络测试就是试吃味道,网络上线就是正式上桌。菜谱写的好,写的详细,就是初级厨师来做,也能依样画葫芦把菜做成,最多也就菜色差那么点。
1.1,IP网段规划
一般内网采用约定的私有地址,C类私有地址为192.168.0.0-192.168.0.255.255,C类网段以24为子网掩码划分,即掩码255.255.255.0。网络设备通常出厂初始就配有IP地址,以方便登陆及操作,一般最常用的为192.168.1.0/24网段。为了避免多设备默认这个网段冲突,建议可选其他网段规划为内网地址,255个C类网段可选。光猫网段不做更改,保留192.168.1.0/24,其他网段见下表。
1.1网段规划
1.1网段规划
1.2,IP地址分配
根据网段规划,对设备上配置的地址进行详细分配,有些网段开启DHCP,则自动分配。一个二层广播域只能有一个DHCP,否则会冲突。
地址分配
地址分配
1.3,物理连线
物理连线整理成表格,对实施和配置都会带来很大的方便。当然有条件,能打印网线标签,就更好。
连线表
连线表
1.4,网络拓扑
网络拓扑也是很重要的,更为直观清晰。
这里光猫没有使用桥接,还是使用默认的三层转发,同时把无线功能关闭了。主要懒的弄,光猫DMZ转发到防火墙外接口也能用所有服务。
AP1和AP2都是无线路由器,已关闭无线路由器的DHCP功能,连线到内网LAN口,这里当AP使用。
拓扑图
拓扑图
2,防火墙配置
按网络分层次,由底层到上层,一层物理层搞通,二层链路层协商成功,三层IP直连接口互相ping通,路由和策略添加完成,不同网段ping通,应用主机测试联通性,最后冗余切换测试等。2.1,接口internal(LAN)
这里internal即我们通常说的内网LAN,在别的防火墙也有称为trust或inside,反正大致是一个意思。网络--->接口--->internal
在需要的修改的接口上双击编辑,后面就不再重复怎么修改其他接口了。
2.1.1
2.1.1
IP改成192.168.9.254,掩码255.255.255.0,用最后一个地址网络的网关地址,存粹是工作习惯,如果大家习惯用第一个地址192.168.9.1也可以,但后面分配的DHCP需要排除这个地址。
内网接口上关闭不必要的服务,可保留https,http,ssh,ping。
DHCP同时需要更改地址,起始地址和终止地址,只要不冲突即可。这里1-99足够用了,这样100以上就可用于手动分配给固定的静态IP地址。
2.1.2
2.1.2
修改确认后,DHCP改变,PC需重新获取IP,可在命令行执行ipconfig /renew刷新,或直接拔网线重插。
2.1.3
2.1.3
2.2,接口WAN1
这里wan口有些防火墙也叫untrust或outside接口或区域网络--->接口--->wan1
地址模式改为自定义
IP改为192.168.1.250,掩码255.255.255.0。
外网接口上仅保留ping服务,如果想开http或ssh那就是给黑客送人头啊。
2.2
2.2
2.3,DNS
域名解析必须配置,可用运营商分配的,也可用自己熟悉的,这里用阿里的。如果需要也可启用DDNS,自己网上找找资料。DNS服务器:设定
首选DNS:223.6.6.6 //填自己熟悉稳定的DNS服务器
背选DNS:223.5.5.5 //填自己熟悉稳定的DNS服务器
本地域名: FG //此处随便输入名字
2.3
2.3
2.4,静态路由
默认路由即告知防火墙,默认数据往哪个接口扔出去,显然是网互联网出口,接口下一跳地址,就是光猫的内网IP 192.168.1.1。网络--->静态路由--->新建
2.4.1
2.4.1
动态网关:关闭
目的:子网
0.0.0.0/0.0.0.0
网关地址:192.168.1.1
接口:wan1
2.4
2.4
2.5,安全策略
防火墙与路由器最大不同就是需要配置安全策略,根据策略检查进出数据流,对未明示的允许的流量,则最后一条策略默认deny。如果感兴趣可以网上找下资料,大部分就是基于包状态的防火墙,有些新的墙也有基于应用特征的。
策略&对象--->IPv4策略
默认已经开启了2条策略,1,内到外接口流量,且做了地址转换NAT。2,其他任何跨接口流量deny。
如果仅上网,这2条策略已经够了。如果想控制更明细到单台设备,网上可以找点资料研究研究,这里就不详细说了。
2.5
2.5
附一张包状态防火墙的示意图,可大致看下对TCP流量协商的检查原理。
3,测试监控运维
3.1,测试
测试是检验的完成的唯一标准,防火墙上测试外网是否可达到,再测试笔记本是否可正常上网。
如果防火墙自己ping外网是好的,说明防火墙到光猫这一侧,配置没有问题。
直接ping百度网址,有返回包,可确认防火墙的路由和DNS解析配置正确。
3.1.1
3.1.1
笔记本测试网站访问,大功成功!
3.1.2
3.1.2
3.2,监控
接口流量监控
3.2.1
3.2.1
会话监控
3.2.2
3.2.2
访问监控
3.2.3
3.2.3
3.3,运维
配置备份、恢复
3.3.1
3.3.1
重启、关机
3.3.2
3.3.2
4,总结
疫情在单位值班两周了,自热饭方便面吃到吐了,无力吐槽。无聊拿台机器重新配置了下,这机器还是不错的,性能强,价格低,功能多除了科学上网外。值得买老是推软路由文章,应该走走网络硬件这条正规路了。后面大概写下SSL-VPN配置,这个对家用环境超有用,其他自带的DDNS之类网上教程很多,自己看看就能配了。渴了,喝口水去。
加载中,请稍侯......
网友评论