累计通过IE学员人数:自2011年起累计2100人 当年358人 当月32人
咨询热线:0571-86959638、0551-67222133咨询QQ:839898248,VX:swiers2011

今天给大家分享一个面试中的防火墙案例。

一个一等汽车客运站,因业务发展需要,需要和火车站和机场进行联网购票,请根据以下网络环境及需求设计该客户的外联网络结构:

1.客户现有设备清单

A.两台Cisco 2811路由器,每个2811配置2个100M以太网口和2块双端口以太网模块;

B.两台Cisco 2960交换机,每台2960配置24个100M电口;

C.两台Cisco ASA 5510防火墙,每台防火墙配置4个1000M电口。

2.网络需求

客户与火车站,机场之间要求提供7×24小时不间断服务。因此,客户与火车站,机场采用双线路(电信,联通各一条2M MSTP专线),其中电信为主线路,联通为备份链路。正常情况下通信走电信线路。

3.拓扑示意图

求职面试真题解析:汽车客运站防火墙设计(附标准答案)

一名面试者,他的设计方案如下:

求职面试真题解析:汽车客运站防火墙设计(附标准答案)

1.两台2811路由器中间用一条网线连接起来,两台防火墙也用一条网线连接起来,每台ASA 5510分别和2811路由器连接在一起。

2.两台2950交换机中间也用线连接起来,再分别和ASA 5510连接在一起。

3.2811,ASA 5510之间运行OSPF路由协议,NAT做在2811路由器上,再将2811上的静态路由和直连路由重分发到OSPF中。

求职面试真题解析:汽车客运站防火墙设计(附标准答案)

方案有三个问题:

1.两台防火墙已经作为了独立的设备在运行,如果Cisco-2811-1和Cisco ASA 5510-1之间的链路断开了,那么内网主机和外联单位互访,流量原来只需要穿越一个防火墙,现在要穿越两个防火墙了,请问这个问题怎么办?

2.在路由器上把直连路由重分发进OSPF,这个操作会把外部网段也注入到内部网络,这已经不符合题目的要求了。

3.防火墙上跑OSPF?这个ASA 5510可是低端设备,跑路由协议会造成这个设备的性能下降,到时候成了通信瓶颈怎么处理?

那么,标准答案是什么?

1.首先,两台防火墙做Failover,考虑到业务实时性要求较高,Failover做成状态化的A/S模式。由于没有多余的设备了,所以暂时让防火墙担任内网主机的网关。

2.路由器连接防火墙的接口地址,做成HSRP,与防火墙形成三层互连。防火墙往外部写两条静态路由即可,目标网段分别是火车站售票服务器的地址和机场售票服务的地址,下一跳地址指向路由器的HSRP虚拟地址。

3.NAT做在防火墙上,火车站,机场服务器的地址做outside到inside的转换,内网主机的网段做inside到outside的动态转换。

下图是2811路由器与防火墙之间的详细地址规划和NAT信息

求职面试真题解析:汽车客运站防火墙设计(附标准答案)

再看看两台2811针对外联单位,如何做到高可用性的配置

求职面试真题解析:汽车客运站防火墙设计(附标准答案)

这样设计的话,就完全可以让流量优先走电信链路。为什么这么说呢?

因为2811-1上,写静态路由,把AD值设置为1,所以此时静态路由的优先级最高,流量到达2811-1上,就会按照静态路由来走。

2811-1和2811-2上配置了OSPF,又做了重分发静态进OSPF,所以当所以链路正常时,2811-2上可以通过OSPF学习到外联单位的路由,Cisco OSPF外部路由的AD值是110,高于2811-2上写的静态路由的优先级,所以即使流量到了2811-2,它也会优先走OSPF的路由而从2811-1上转发出去。如图所示:

求职面试真题解析:汽车客运站防火墙设计(附标准答案)

//

防火墙网络设计规范

//

技术方面

首先,防火墙是一个安全设备,也是一个边界设备。

着重考虑它的两方面技术,一个就是安全策略,另一个就是做NAT。其他功能,比如各种协议的V(P)N,这个要按照实际情况做决定。

另外,有些防火墙也有反病毒,URL过滤,IPS/IDS的功能,需要按照客户的要求进行采购,但是不太提倡在防火墙上做太多的反病毒操作。

网络结构方面

1.分支机构,小型办公网出口防火墙部署结构(单墙二区域结构)

求职面试真题解析:汽车客运站防火墙设计(附标准答案)

分支机构,小型办公网出口防火墙部署结构(单墙三区域结构)

求职面试真题解析:汽车客运站防火墙设计(附标准答案)

3.分支机构,小型办公网出口防火墙部署结构(内外墙三区域结构)

求职面试真题解析:汽车客运站防火墙设计(附标准答案)

在内外墙结构中,又有着三种情况:

A.内外墙都是路由模式,且都做NAT(PAT)

求职面试真题解析:汽车客运站防火墙设计(附标准答案)

B.内外墙都是路由模式,内墙不做NAT,外墙做NAT

求职面试真题解析:汽车客运站防火墙设计(附标准答案)

C.内墙透明模式,外墙路由模式

求职面试真题解析:汽车客运站防火墙设计(附标准答案)

4.总部机构防火墙设计(独立防火墙设备)

求职面试真题解析:汽车客运站防火墙设计(附标准答案)

5.数据中心防火墙结构设计

求职面试真题解析:汽车客运站防火墙设计(附标准答案)

在这种结构下,一个需要特别注意的地方.就是用于和其他单位外联的区域,还有DMZ区域,连接核心的一侧为inside,连接汇聚设备的一侧为outside。另外,DMZ和外联单位,需要两层防火墙。

 

疫情期间不能出门,你做了哪些秘密训练?如何短时间成为同学口中的神秘网工大神?方案在这里!拥有多年网络项目经验,精通思科、华为、H3C、Juniper等主流厂商配置专业讲师倾情教授,本课程含概了网络基础入门课:CCNA+HCIA所有知识点,内容丰富全面,价格低!包含网工职业发展介绍、网络基础原理、路由交换基础知识以及广域网模块等必备技术,每天2小时,一周学会搭建小型局域网,适合0基础在校小白快速入行!更多详情可联系QQ:839898248,微信:Ciscolnfinity,名额有限,点击下方链接快来报名吧
↓↓↓↓↓↓
https://ke.qq.com/course/1406048tuin=50ba6ed6

Copyright © 2011-2024 思唯网络课堂(合肥) Swiers All Rights Reserved. | 浙ICP备17056685号