网段的划分,A部门用一个27位的子网掩码,B部门和C部门都用26位的子网掩码,服务器用一个29位的子网掩码:
A部门:7.164.4.0/27 ,可用地址(7.164.4.1-30)
服务器:7.164.4.32/29, 可用地址 7.164.4.33-38
B部门:7.164.4.64/26,可用地址 7.164.4.65-126
C部门:7.164.4.128/26, 可用地址 7.164.4.129-190
建议防火墙假设在路由器和核心交换机中间做透明模式
路由器和核心交换机之间的互联地址,因为防火墙做透明模式,所以需要三个地址:
7.164.4.40/29,可用地址 7.164.4.41-46
现在剩余的网段:
7.164.4.48/28
7.164.4.192/26
网络上连口的地址为:7.164.1.18/30,那么网关地址必为:7.164.1.17
第二条的第一点:做个访问控制列表,源网段为C网段,目的网段为服务器网段,然后应用在服务器虚拟vlan接口的inbound方向
第三条:建议把服务器都接在核心上面,然后在接服务器上的那几个端口上做绑定
第四条的第二点,要做访问控制列表,然后应用在vty的inbound方向
第三点:在路由器上做映射
第四点:在防火墙上的trunst和untrunst之间做控制追问
华为的设备
另外,能推荐几本关于组网的书籍吗
组网的书籍我没有,不过华为官网上有,
限制C部门访问服务器段的配置
acl 3000
rule permit ip source 7.164.4.128 0.0.0.192 destination 7.164.4.32 8
traffic classifier c1
if-match acl 3000
traffic behavior b1
deny
traffic policy p1
classifier c1 behavior b1
vlan 600 (服务器vlan)
traffic-policy p1 inbound
以下这是华为做端口+IP+MAC的绑定配置
user-bind static ip-address x.x.x.x mac-address H-H-H interface G0/0/11
interface GigabitEthernet0/0/11
arp anti-attack check user-bind enable
ip source check user-bind enable
只允许某个地址远程的配置
acl number 2000
rule permit source x.x.x.x 0
user-interface vty 0 4
acl 2000 inbound
映射的配置
interface GigabitEthernet0/0/1 外网口
nat server protocol tcp global current-interface ftp inside x.x.x.x ftp (x.x.x.x为服务器地址)
回答受最大字数限制,请追问,我把防火墙的配置方法给你
防火墙配置
追答防火墙做透明模式:
接路由器的端口和接交换机的端口都配置成交换端口
如:interface GigabitEthernet0/0/1
switchport
然后接路由器的端口加到untrust区域,接交换机的端口加入到trust区域
如:firewall zone untrust 这里是把端口0加入到trunst区域
set priority 5
add interface GigabitEthernet0/0/0
最后给int vlan 1配置一个地址,即为防火墙管理地址,注意这个地址需要和路由器与交换机互联地址同一网段
限制服务器访问外网在防火墙上web方式做
防火墙里面有个“防火墙”--“转发策略”,新建trust到untrust,
进去之后,源地址新建一个服务器网段,目的地址选择any,服务选择any,时间选择all,动作选择deny
然后再新建一个trust到unstrust,源地址选any,目的地址选any,服务选any,时间选择all,动作选择deny
后面这个必须要做,要不然你的其他网段不能访问外网