防火墙配置回程路由和上网策略(防火墙回程路由怎么配置)
早上接到客户要求:三层交换机需要增加一个网段,可是密码忘记了。
本来嘛,增加网段是个简单的事情,还准备马上派人过去,密码忘记就麻烦了,必须得重启才行,上班正忙着呢,只能等客户下班之后再开始干活了,不过,干咱们这行,这是常态,也早就习惯了。
机房环境还是不错的,走进去就觉得“温暖如春”,设备还不少,分成4个1.2米的机柜,塞得机房满满当当的。
核心交换机是一台华为的S5700-28C-SI,看上去有年头了。
技术员打开笔记本电脑,连接console线,趁着准备工作的间隙,我问客户:哪些端口需要划分到新的网段里面呢?
答曰:“只要随便划分一个未使用端口就,然后需要用来连接SDWAN设备。”
明白了,那就是还需要我们配合SDWAN设备上线,举手之劳,咱也乐意帮忙,赶紧开始干活,完事儿好早点回家。
一、交换机重新配置密码:
重启交换机,出现“Press Ctrl+B or Ctrl+E to enter BootROM/BootLoad menu ...”时,快速按下“Ctrl+B”,然后输入默认密码:Admin@huawei.com;
在BootROM/BootLoad主菜单下选择“Clear password for console user”清除Console口登录密码;
根据交换机的提示,在BootROM/BootLoad主菜单下选择“Boot with default mode”启动设备,系统启动完成后,此时通过Console口登录时不需要认证,赶紧先配置密码:
[HUAWEI] user-interface console 0
[HUAWEI-ui-console0] authentication-mode password
[HUAWEI-ui-console0] set authentication password cipher test@123
[HUAWEI-ui-console0] return
二、交换机增加网段:192.168.240.0/24
Vlan 240 //创建vlan
Interface vlanif 240 //配置vlan的接口IP
Ip address 192.168.240.1 24
interface GigabitEthernet0/0/19 //19口加入vlan
port link-type access
port default vlan 240
原来的静态路由是这样写的,把新增加的vlan直接包在里面了,那我就不用写了
ip route-static 192.168.0.0 255.255.0.0 192.168.0.1
三、防火墙的配置
第一步,肯定是需要增加一条回程路由,让防火墙能与新增加的网段通信;
登录防火墙,先看一眼当前路由表:display ip routing-table
看到一条192.168.0.0/16的静态路由,下一跳地址是192.168.0.254,呃……那我就不用写回程路由了;
第二步,应该是要配置NAT策略了,先看一下当前的策略吧;
没有任何限制地访问互联网,源地址是any,那当然是哪个网段都能上了,NAT策略也不用配置了;
第三步,就是配置与NAT策略相匹配的安全策略,我猜也不用配置了,因为安全策略与NAT策略是对应关系,所以理论上来说,又是不需要我修改的;
果不其然,都是“大策略”,涵盖范围非常广,不需要新增或者修改了。
四、配合接入SD-WAN设备
1、客户要求:SD-wan是负责连接到外地的4个网段:
192.168.11.0/24
192.168.21.0/24
192.168.22.0/24
192.168.120.0/24
2、进入核心交换机,添加4条静态路由
ip route-static 192.168.11.0 24 192.168.240.2
ip route-static 192.168.21.0 24 192.168.240.2
ip route-static 192.168.22.0 24 192.168.240.2
ip route-static 192.168.120.0 24 192.168.240.2
3、连接SD-wan设备:Wan口连接到核心交换机的19端口上,Lan口连接我们的笔记本电脑,准备配合测试,发现无法自动获取IP,但是这台设备,我们一无所知,只能询问设备提供方。
对方查询一番后,要求我们直接重置了事,哈哈;机房里没有牙签,找到一根软趴趴的扎线,颤抖着重置成功了,片刻后,笔记本电脑获取到IP地址,准备帮他们配置wan口,结果对方表示不用配置,发给我们代码,直接粘贴在浏览器地址栏中,就可以自动激活;
激活成功,然后呢?可以撤退下班了,忙活一个半小时,打完收工,回家吃饭还来得及,不算晚。
