防火墙有问题连不上网(电脑防火墙问题上不了网)
一个客户的华为防火墙,用了十几年了。最近有点不正常。每个月总有几次断网,界面会自动下线,每次只能重启。但是防火墙重启需要很长时间,次数多了总是会影响办公。由于体制原因,申请采购需要很长时间,特别是在目前的情况下。
客户找我临时解决,我就做了一个迂回的举动,得到了客户的好评。呵呵,本着分享的精神,这件事不算私人。说白了,也很简单。
不允许现场拍照,也不允许截图或导出配置,只能用模拟器还原,特此说明。
原来的拓扑大致是这样的,就是光猫接在防火墙上面,核心交换机接在下面,我就简化一下,只要能达到目的就行。
防火墙是整个公司唯一的出口网关。出问题的时候当然都是没有网络的。大部分单位都是这样。毕竟防火墙出口不多。
我的招数是:把我们实验用的华为AR路由器借给他们,用华为防火墙组成VRRP。通常,互联网流量通过防火墙出去。如果防火墙接口再下去,会自动切换到路由器出去。当防火墙接口恢复时,流量将返回防火墙。
添加路由器后的拓扑图如下:
1.防火墙修改和配置接口Vlanif10
ip地址192.168.10.1 255.255.255.0
VRRP VRID 1虚拟IP 192.168.10.254主动//创建VRRP组1,指定虚拟IP,并将防火墙指定为主设备。
服务管理ping许可
#
接口Vlanif20 //vlan20配置相同。
ip地址192.168.20.1 255.255.255.0
vrrp vrid 2虚拟-ip 192.168.20.254活动
服务管理ping许可
#
其他配置没变,就不贴了,不是本文重点。
二、交换机修改配置接口GigabitEthernet0/0/4
端口链接型中继
端口中继允许通过vlan 10 20
找个接口,连接路由器,然后释放两个VLANs就行了。需要注意的是,G0/0/1接口原本是一个trunk接口,这两个VLANs也是放开的。原来的网关在防火墙上,但现在虚拟IP被用作网关,因此VLANs的IP地址池应该相应地修改:
ip池vlan10
网关列表192.168.10.254
网络192.168.10.0掩码255.255.255.0
排除ip地址192.168.10.1 192.168.10.10
排除的ip地址192.168.10.200 192.168.10.253
DNS-列出114.114.114.114
#
ip池vlan20
网关列表192.168.20.254
网络192.168.20.0掩码255.255.255.0
排除ip地址192.168.20.1 192.168.20.10
排除的ip地址192.168.20.200 192.168.20.253
DNS-列出114.114.114.114
其实更完善的方法是,在配置VRRP时,使用原来的网关IP作为VRRP的虚拟IP,而不是改变用户已经获取的网关IP,这样用户就不用再进行获取IP的操作了。
但是,我们是晚上配置的,所以真的无所谓。
三、路由器的配置:先配置PPPOE拨号上网,广茂支持多拨,所以防火墙和路由器同时连接广茂,同时拨号不会有问题;
拨号器规则
拨号器-规则1 ip许可
接口拨号器0
链路协议ppp
Chap用户BBB//宽带帐户
PPP密码密码b 123456//宽带密码
Ip地址PPP-协商//IP获取方法
拨号用户bbb //拨号用户
拨号器-组1 //将接口放入拨号组1
拨号捆绑1 //指定接口使用拨号捆绑。
接口千兆以太网0/0/0
PPPoE-客户端拨号捆绑号1//通过拨号捆绑将物理接口与拨号接口相关联
Ip路由-静态0.0.0.0 0.0拨号0//配置默认路由,出接口为宽带拨号连接。
Acl 3000//创建ACL以允许互联网访问。
规则5允许ip
接口拨号器0
nat出站3000 //出口与ACL3000绑定,允许用户上网。
接口Vlanif10
ip地址192.168.10.2 255.255.255.0
vrrp vrid 1虚拟ip 192.168.10.254
Vrrp vrid 1优先级80 //优先级默认为100,路由器是备份,应该小于100。
Vrpvrid1抢占模式定时器延迟10//抢占延迟为10秒
#
接口Vlanif20
ip地址192.168.20.2 255.255.255.0
vrrp vrid 2虚拟ip 192.168.20.254
vrrp vrid 2优先级80
vrrp vrid 2抢占模式定时器延迟10
#
以太网9/0/0//连接交换机的接口,允许两个VLAN通过。
端口链接型中继
端口中继允许通过vlan 10 20
四。测试防火墙的VRRP状态是主
路由器的VRRP状态是备份。
当前流量正在通过防火墙。
Int g1/0/3
Shutdown //关闭连接到交换机的防火墙的接口,模拟接口故障。
防火墙的VRRP状态切换到初始化。
路由器的VRRP状态被切换到主路由器。
此时测试上网流量,在路由器接口上捕获到数据包,说明上网流量已经切换到路由器。
Int g1/0/3
undshutdown//打开一个账户防火墙连接交换机的接口,模拟故障恢复。
防火墙VRRP已恢复到主状态,互联网流量也已恢复到防火墙。任务完成了。
页:
[1]