一般来说,出口网关只有一个,要么是路由器,要么是防火墙,甚至是家庭路由器,但有些单位还是有非常充足的预算。事实并非如此。除了防火墙和路由器,还专门安装了一个行为管理器。
有的朋友会说,如果有行为管理的需求,至少可以省一个路由器,但实际上在一些应用场景下,还需要部署额外的路由器。
一、设备清单:我深信安全智能路由器SDW-R-b 1100d;
二、配置思路:考虑到后期可能会有很多不同的互联需求和设备授权,将路由器作为出口网关设备;
3.初步配置流程:1。路由器的基本配置。
配置和IP地址
将其配置为网关模式,并设置代理互联网SNAT。
2.防火墙的基本配置
配置接口的IP地址,设置相应的安全区域:局域网L3-trust-A,互联网L3-Trust-A;
配置默认路由:0 . 0 . 0 . 0 0 . 0 10 . 1 . 1 . 1
配置静态路由(局域网回程路由):192 . 168 . 0 . 0 255 . 255 . 0 . 0 20.1.1.2
配置地址转换(代理上网):源L3-trust-A,目的L3-Untrust-A;
安全策略(应用控制策略):源L3-trust-A,目的L3-Untrust-A,允许所有服务;
3.在线行为管理器的基本配置。
互联网行为管理器配置为桥接模式,默认为0”2端口为桥接,1端口为管理端口;
4.核心交换机的基本配置
配置几个VLAN的IP地址池
ip dhcp池VLAN11
网络192.168.11.0 255.255.255.0
dns服务器114.114.114.114 211.136.192.6
默认-路由器192.168.11.1
ip dhcp池VLAN12
网络192.168.12.0 255.255.255.0
dns服务器114.114.114.114 211.136.192.6
默认-路由器192.168.12.1
ip dhcp池VLAN100
网络192.168.100.0 255.255.252.0
dns服务器114.114.114.114 211.136.192.6
默认-路由器192.168.100.1
ip dhcp池VLAN200
网络192.168.200.0 255.255.252.0
dns服务器114.114.114.114 211.136.192.6
默认-路由器192.168.200.1
配置SVI
界面VLAN 10
ip地址10.252.252.2 255.255.255.0
VLAN 11号接口
ip地址192.168.11.1 255.255.255.0
界面VLAN 12
ip地址192.168.12.1 255.255.255.0
界面VLAN 100
ip地址192.168.100.1 255.255.252.0
接口VLAN 200
ip地址192.168.200.1 255.255.252.0
接口千兆以太网端口0/2//2是三层端口,配置了IP,与防火墙在同一个网段。
没有交换机端口
ip地址20.1.1.2 255 . 255 . 255 . 0
IP路由0.0.0.0.0.0千兆以太网0/2 20.1.1.1//Default路由,下一跳是防火墙IP。
5.无线交流控制器的基本配置
接口VLAN 200
ip地址192.168.200.2 255.255.255.0
接口千兆以太网端口0/1//1连接到核心交换机。
交换机端口接入vlan 200
WLAN-配置1 xxxxxxxx//wifi信号名称
ssid代码gbk
隧道本地
AP-组默认
接口映射1 200 ap-wlan-id 1
ap-config all //AP和终端都在VLAN200中。
接入点虚拟局域网200
Wlansec 1 //设置WIFI密码
启用安全性rsn
安全rsn密码aes启用
启用安全性rsn akm psk
安全性rsn akm psk设置密钥ascii xxxxxxxxx
启用安全wpa
启用安全wpa密码aes
启用安全性wpa akm psk
安全wpa akm psk set-key ascii xxxxxxxxx
鄂公网安备 42010302002470号
