eNSP下模拟企业网双机热备应用及实现部署方案及其原理

**

1.详细描述防火墙安全策略匹配原则和流程？

**
答：
匹配原则：
首包流程，做安全策略过滤，建立新会话列表—>未命中会话列表执行首包流程—>命中会话列表执行后续包流程
【首包流程做安全策略匹配，后续包（已通过会话包检查的）流程不做安全匹配（满足会话表要求）】
匹配流程：
1）匹配条件：
流量进防火墙，匹配源安全区域，目的安全区域，源地址，目的地址，用户，服务，应用，时间段等
第一条不满足，匹配第二个条，如果还不满足，继续，如果都不满足，禁止
匹配到某一条
服务：源端口号，目的端 口号
2）动作：允许（permit），禁止(deny)
3）配置文件：
匹配到文件某条过滤没通过的，pass掉，数据同样被丢弃
只有配置文件每一条都通过，才到达对端
2.总结源NAT地址池转换方式？
答：
1）不带端口转换的地址池方式
一对一的ip地址的转换，端口不进行转换（只针对ip转换）。NAT地址池中可以包含多个公网地址。
2）带端口转换的地址池方式
将不同的内部地址映射到同一公有地址的不同端口上，转换时同时转换地址和端口，即可实现多个私网地址共用一个或多个公网地址的需求。实现多对一地址转换。NAT地址池中可以包含一个或多个公网地址。
3.总结为什么要有域间双向NAT，如何实现的？
答：为简化配置服务器至公网的路由，可在NAT Server基础上，增加源NAT配置。
当配置NAT Server时，服务器需要配置到公网地址的路由才可正常发送回应报文。如果要简化配置，避免配置到公网地址的路由，则可以对外网用户的源IP地址也进行转换，转换后的源IP地址与服务器的私网地址在同一网段。这样内部服务器会缺省将回应报文发给网关，即设备本身，由设备来转发回应报文。
实现：NAT Server+源NAT
内网服务器dmz区域；外网intnet用户untrust区域
1）外网用户访问内网服务器时，目的地址是防火墙对外公网地址
防火墙进行地址转化，将目的地址变为内网服务器地址
2）内网服务器回复外网时，由于没有公网路由，需要先添加地址
4.防火墙双机热备实验
实验要求如下：
创建两个VRRP备份组，trust区域vrid为1，untrust区域vrid为2，防火墙之间启用HRP备份，IP地址规划如下：

配置命令（粘贴命令）
**

1.配置ip地址

**

FW1
[FW1]interface g1/0/0
[FW1-GigabitEthernet1/0/0]ip address 10.1.2.1 24
[FW1-GigabitEthernet1/0/0]interface g1/0/1
[FW1-GigabitEthernet1/0/1]ip address 40.1.1.1 24
FW3
[FW3]interface g1/0/0
[FW3-GigabitEthernet1/0/0]ip address 10.1.2.2 24
[FW3-GigabitEthernet1/0/0]interface g1/0/1
[FW3-GigabitEthernet1/0/1]ip address 40.1.1.2 24
**

2.将接口划分到相应安全区域

**
FW1
[FW1]firewall zone trust      //防火墙的安全区域
[FW1-zone-trust]add int g1/0/0   //将端口加入到安全区域
[FW1]firewall zone untrust
[FW1-zone-untrust]add int g1/0/1
FW3
[FW3]firewall zone trust 
[FW3-zone-trust]add int g1/0/0
[FW3]firewall zone untrust
[FW3-zone-untrust]add int g1/0/1
**

3.配置安全区域，允许所有策略放行any

**

FW1
[FW1]security-policy
[FW1-policy-security]rule name 1
[FW1-policy-security-rule-1]source-zone any
[FW1-policy-security-rule-1]destination-zone any
[FW1-policy-security-rule-1]action permit
FW3
[FW3]security-policy
[FW3-policy-security]rule name 1
[FW3-policy-security-rule-1]source-zone any
[FW3-policy-security-rule-1]destination-zone any
[FW3-policy-security-rule-1]action permit
**

4.创建VRRP备份组

VRRP协议是一种选择协议，它可以把一个虚拟路由器的责任动态分配到局域网上的 VRRP 路由器中的一台。控制虚拟路由器 IP 地址的 VRRP 路由器称为主路由器，它负责转发数据包到这些虚拟 IP 地址。一旦主路由器不可用，这种选择过程就提供了动态的故障转移机制，这就允许虚拟路由器的 IP 地址可以作为终端主机的默认第一跳路由器。是一种LAN接入设备备份协议。一个局域网络内的所有主机都设置缺省网关，这样主机发出的目的地址不在本网段的报文将被通过缺省网关发往三层交换机，从而实现了主机和外部网络的通信。

**

左trust
[FW1-GigabitEthernet1/0/0]vrrp vrid 1 virtual-ip 10.1.2.3 24 active
[FW3-GigabitEthernet1/0/0]vrrp vrid 1 virtual-ip 10.1.2.3 24 standby
右untrust
[FW1-GigabitEthernet1/0/1]vrrp vrid 2 virtual-ip 40.1.1.3 24 active
[FW3-GigabitEthernet1/0/1]vrrp vrid 2 virtual-ip 40.1.2.3 24 standby 
**

5.配置HRP

**

**1)配置ip地址：**  
[FW1]interface g1/0/2
[FW1-GigabitEthernet1/0/2]ip address 30.1.1.1 24
[FW3]interface g1/0/2
[FW3-GigabitEthernet1/0/2]ip address 30.1.1.2 24
**2)加入dmz区域：**   //非军事化区域 留给防火墙
[FW1]firewall zone dmz 
[FW1-zone-dmz]add int g1/0/2
[FW3]firewall zone dmz 
[FW3-zone-dmz]add int g1/0/2

3)配置心跳接口：

[FW1]hrp interface g1/0/2 remote 30.1.1.2
[FW3] hrp interface g1/0/2 remote 30.1.1.1

6.打开防火墙ping功能：

[FW1]interface g1/0/0 
[FW1-GigabitEthernet1/0/0]service-manage ping permit  
 [FW1]interface g1/0/1 
[FW1-GigabitEthernet1/0/1]service-manage ping permit  
[FW1]interface g1/0/2 
[FW1-GigabitEthernet1/0/2]service-manage ping permit  

7.开启HRP备份功能：

[FW1]hrp enable
[FW3]hrp enable

查看VRRP状态信息（截图）

FW3

查看hrp信息
FW1

FW3

查看会话表项（截图）
FW1

FW3

pc1成功ping到pc2

同样pc2同样ping到pc1

正因为PC2是能访问到PC1的。现实情况外部网络不允许访问企业内部网络。