时间:2022-09-05 04:11:52
为了提高局域网的上网质量,单位分别租用了电信和移动两路互联网出口,为了达到充分利用这两路互联网出口的目的,我们使用了一台三端口的硬件防火墙(型号为CISCO PIX520),从系统的软件升级到调试成功前后经历了一周左右的时间。经过一段时间的实践验证,该系统运行稳定,确实达到了流量分担和互为备份的功能,下面是具体的实现过程。
1 确定双互联网出口的实现方式
当我们做完PIX520硬件防火墙的软硬件升级后,根据实际情况。最终的互联网双出口的使用方案为:当用户访问电信的网站的时候走电信的出口(通过静态路由实现),访问其他的网站均走移动的出口(通过默认路由实现)。这样兼顾了效率和可行性。
2 PIX520硬件防火墙的软硬件升级和组网拓扑图
本次双互联网出口的实现关键设备为PIX520,有3个网络模块,即可以实现两进(接两路互联网出口)一出(连接内部局域网):升级了防火墙的软件版本至6.3,相关信息如下:
pixfirewall# show ver
Cisco PIX Firewall Version 6.3(5)
Cisco PIX Device Manager Version 3.0(4)
0:ethernet0: address is 00d0.b78f.2cfc.irq 11
1:ethernet1 : address is 00d0.b784.f820.irq 15
2:ethernet2: address is 0002.b326.ad25.irq 10
在这里要介绍一下PIX520防火墙的网络模块命名规则,第一块网卡名为e0,连接外网。第二块网卡名为e1,连接内网(这两个网络模块是系统自带的,名字和连接的网络不可修改)。以后新加的网络模块依次为e2、e3、e4等,可以视所连接的网络自行定义,本例中我们新增了一块连接电信网段的网络模块,命名为e2。
组网拓扑如图1所示:
3 具体配置步骤
如图1所示,PIX520防火墙的e0口连移动,e2口连电信,下面是具体的步骤:
(1)为网络模块命名
nameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif ethernet2 outside2 security0
定义了e0口为连移动的口,e2口为连电信的口,e1口为连内网的口。
(2)定义网口的lP地址
ip address outside 218.*.*.105 255.255.255.240
ip address outside2 222,*.*,93 255.255.255.224
address inside 192.168.201.1 255.255.255.0
连接移动的网卡的lP地址为218.*.*.105,连接电信的网卡的IP地址为222.*.*.93。连接内网的网卡的IP地址为192.168.2011。
(3)设置访问电信的网段走电信的口
route outside2 11.0.0.0 255.252.0.0 222.*.*.65 1
通过静态路由来实现,电信的网段有多个,这些静态路由也要相应地写多条,本例中只列举了其中一条。
(4)设置默认路由
route outside 0.0.0.0.0.0.0.0 218.*.*.97 1
这里要注意route后面跟的是e0网卡的名称。
(5)设置指向内部网络的路由
route inside 10.0.0.0 255.0.0.0 192,168.201,2 1
route inside 192.168.0.0 255.255.0.0 192.168.201.2 1
route inside 172.19.0.0 255.255.0.0 192.168.201.2 1
同理,内部局域网中有多个网段(通过在三层交换机上创建相应的VLAN),我们就要在PIX520防火墙上针对内部网段写多条路由。本例中我们列举了三条。
(6)配置动态NAT
①创建一个ACL,里面包含允许访问外部网络的网段
access-list acl_inside deny udp any any ea tftp
……(省略了多条不允许进行的网络访问规则)
access-list acl_nside permit io any any
这个名为acl_inside的ACL很重要,它描述了一些不允许访问的端口(主要是为了防止网络攻击),然后放开了其他的限制(即per-mit ip anyany)。
②在内网端口上应用这个ACL
access-group acl_inside ln interface inside
③分别在两个外网端口上应用这个ACL
access-group acl_inside in interface outside
access-group acl_inside in interface outside2
④执行动态NAT(PAT)
global(outside)1 interface
global(outside2)1 interface
nat(inside)1 0.0.0.0.0 0.0.0.0.0
我们在PIX520防火墙上采用PAT(端口映射)的NAT方式。
4 双互联网出口的测试
局域网用户可以通过tracert命令针对分别位于移动和电信运营商的网站进行测试。确实实现了访问电信的网段走电信的出口,其余的均走移动的出口的设计思路,而且我们还通过MRTG软件对防火墙的各个端口进行了流量监控,连接电信和移动的端口均有一定的流量,同时证明我们双互联网出口的实现是成功的。