【思唯网络学院】求职面试真题解析：汽车客运站防火墙设计（附标准答案）

今天给大家分享一个面试中的防火墙案例。

一个一等汽车客运站，因业务发展需要，需要和火车站和机场进行联网购票，请根据以下网络环境及需求设计该客户的外联网络结构：

1.客户现有设备清单

A.两台Cisco 2811路由器，每个2811配置2个100M以太网口和2块双端口以太网模块；

B.两台Cisco 2960交换机，每台2960配置24个100M电口；

C.两台Cisco ASA 5510防火墙，每台防火墙配置4个1000M电口。

2.网络需求

客户与火车站，机场之间要求提供7×24小时不间断服务。因此，客户与火车站，机场采用双线路（电信，联通各一条2M MSTP专线），其中电信为主线路，联通为备份链路。正常情况下通信走电信线路。

3.拓扑示意图

一名面试者，他的设计方案如下：

1.两台2811路由器中间用一条网线连接起来，两台防火墙也用一条网线连接起来，每台ASA 5510分别和2811路由器连接在一起。

2.两台2950交换机中间也用线连接起来，再分别和ASA 5510连接在一起。

3.2811，ASA 5510之间运行OSPF路由协议，NAT做在2811路由器上，再将2811上的静态路由和直连路由重分发到OSPF中。

方案有三个问题：

1.两台防火墙已经作为了独立的设备在运行，如果Cisco-2811-1和Cisco ASA 5510-1之间的链路断开了，那么内网主机和外联单位互访，流量原来只需要穿越一个防火墙，现在要穿越两个防火墙了，请问这个问题怎么办？

2.在路由器上把直连路由重分发进OSPF，这个操作会把外部网段也注入到内部网络，这已经不符合题目的要求了。

3.防火墙上跑OSPF？这个ASA 5510可是低端设备，跑路由协议会造成这个设备的性能下降，到时候成了通信瓶颈怎么处理？

那么，标准答案是什么？

1.首先，两台防火墙做Failover，考虑到业务实时性要求较高，Failover做成状态化的A/S模式。由于没有多余的设备了，所以暂时让防火墙担任内网主机的网关。

2.路由器连接防火墙的接口地址，做成HSRP，与防火墙形成三层互连。防火墙往外部写两条静态路由即可，目标网段分别是火车站售票服务器的地址和机场售票服务的地址，下一跳地址指向路由器的HSRP虚拟地址。

3.NAT做在防火墙上，火车站，机场服务器的地址做outside到inside的转换，内网主机的网段做inside到outside的动态转换。

下图是2811路由器与防火墙之间的详细地址规划和NAT信息

再看看两台2811针对外联单位，如何做到高可用性的配置

这样设计的话，就完全可以让流量优先走电信链路。为什么这么说呢？

因为2811-1上，写静态路由，把AD值设置为1，所以此时静态路由的优先级最高，流量到达2811-1上，就会按照静态路由来走。

2811-1和2811-2上配置了OSPF，又做了重分发静态进OSPF，所以当所以链路正常时，2811-2上可以通过OSPF学习到外联单位的路由，Cisco OSPF外部路由的AD值是110，高于2811-2上写的静态路由的优先级，所以即使流量到了2811-2，它也会优先走OSPF的路由而从2811-1上转发出去。如图所示：

//

防火墙网络设计规范

//

技术方面

首先，防火墙是一个安全设备，也是一个边界设备。

着重考虑它的两方面技术，一个就是安全策略，另一个就是做NAT。其他功能，比如各种协议的V(P)N，这个要按照实际情况做决定。

另外，有些防火墙也有反病毒，URL过滤，IPS/IDS的功能，需要按照客户的要求进行采购，但是不太提倡在防火墙上做太多的反病毒操作。

网络结构方面

1.分支机构，小型办公网出口防火墙部署结构（单墙二区域结构）

分支机构，小型办公网出口防火墙部署结构（单墙三区域结构）

3.分支机构，小型办公网出口防火墙部署结构（内外墙三区域结构）

在内外墙结构中，又有着三种情况：

A.内外墙都是路由模式，且都做NAT（PAT）

B.内外墙都是路由模式，内墙不做NAT，外墙做NAT

C.内墙透明模式，外墙路由模式

4.总部机构防火墙设计（独立防火墙设备）

5.数据中心防火墙结构设计

在这种结构下，一个需要特别注意的地方.就是用于和其他单位外联的区域，还有DMZ区域，连接核心的一侧为inside，连接汇聚设备的一侧为outside。另外，DMZ和外联单位，需要两层防火墙。

 

疫情期间不能出门，你做了哪些秘密训练？如何短时间成为同学口中的神秘网工大神？方案在这里！拥有多年网络项目经验，精通思科、华为、H3C、Juniper等主流厂商配置专业讲师倾情教授，本课程含概了网络基础入门课：CCNA+HCIA所有知识点，内容丰富全面，价格低！包含网工职业发展介绍、网络基础原理、路由交换基础知识以及广域网模块等必备技术，每天2小时，一周学会搭建小型局域网，适合0基础在校小白快速入行！更多详情可联系QQ：839898248，微信：Ciscolnfinity，名额有限，点击下方链接快来报名吧
↓↓↓↓↓↓
https://ke.qq.com/course/1406048tuin=50ba6ed6