24/12/231SonicWALL典型配置和问题诊断目的:1.熟悉典型客户网络环境下防火墙的配置方法2.分析LOG及借助工具软件诊断并解决问题的方法参加培训的要求:掌握SonicWALL标准版和增强版的基本配置熟悉TCP/IP协议及基本网络通信协议通过此次培训,使参加培训的工程师能够掌握典型客户的防护墙配置,并在发生问题时及时解决问题。24/12/232典型配置案例:1、PRO5060在高校的应用,双WAN和策略路由2、标准版和增强版的透明模式3、静态ARP的应用,第二个网段4、带宽管理,TCPSession数管理故障诊断:1.点到点VPN隧道故障建立,一、二阶段协商参数2.VPN隧道TCP超时时间的设置3.GVCNAT穿越,何时需要分配IP地址4.防火墙不能升级签名的诊断步骤5.ARP表更新,IP和MAC绑定,上游路由器ARP表不刷新问题6.Ethereal软件的使用,诊断问题。7.ViewPoint配置及绑定到其它的网卡地址时如何更正24/12/233PRO5060双WAN链路应用和策略路由24/12/234PRO5060在高校的典型应用,双WAN链路+策略路由如条件允许,还可以配置OSPF路由两个校园出口互为备份24/12/235学校一共有两个校区,东校区通过一台防火墙经电信出口上Internet,南校区有两个出口,一个是经电信出口接入Internet,另一个出口接入教育网。两个校区之间由专线把两个三层交换机连通,如果在三层交换和两台防火墙上启动OSPF路由协议,两台防火墙设备可以互为对方的备份,一台防火墙宕机,所有到互联网的出口流量可以经过专线由另外一个校园网的防火墙访问Internet。本例主要讲解南校区的网络配置。其中PRO5060LAN口连接一台华为的三层交换机S8505,DMZ连接一组服务器,为教育网提供服务。所有到服务器的流量都走教育网出口。S8505三层交换机下连接4个私有IP的网段,7个公有IP网段。4个私有网段只通过电信出口访问Internet,NAT到一个公有IP的地址池,7个公有IP网段只通过教育网出口访问教育网和互联网。本例的策略路由相对简单。注:有些高校教育网包月不计流量,有些高校只针对指定的教育网服务器不计流量,其它到教育网的访问要按流量收费,所以策略路由的配置要视客户具体需求进行调整,是按照源IP地址设置策略路由还是按目的地址设置策略路由,在教育网访问按流量收费的时候一定注意设置正确的默认路由,以尽量降低数据流量产生的费用.24/12/236三层交换机S5060cDMZ192.168.1.1/30219.247.99.60255.255.255.192CERNETX2IP:10.10.10.253/30R1IP:10.10.10.254/30INTERNET:XIIP:211.214.169.6255.255.255.224R2IP:211.214.169.2DNS:202.67.222.240202.67.222.250INTERNET:192.168.10.0/24192.168.20.0/24192.168.30.0/24192.168.40.0/24192.168.1.2/30CERNET:219.247.100.0/24219.247.101.0/24219.247.102.0/24219.247.103.0/24219.247.104.0/24219.247.105.0/24219.247.106.0/24X2WANX1WANX3DMZX0LANR1R2南校区网络配置,为确保客户网络安全,图中所用的IP地址均为假定的IP地址配置应以客户实际网络环境为准24/12/237静态路由策略路由默认路由24/12/238公有IP路由出去私有IPNAT到公有IP地址池24/12/239PRO5060可以修改默认的WAN口,这将影响默认的路由,使没有明确指定策略路由的访问均走默认路由。错误的默认路由设置可能造成不必要的计费损失,因为有些高校只针对特定的教育网服务器不按流量计费,到其它教育网的服务器按流量计费,还有的高校教育网和电信出口一样包月,不按流量计费,针对客户不同的具体需求,配置相应的策略路由并选择正确的默认路由。24/12/23101.透明模式实现方法二层桥透明和ARP代理透明2.SonicOS标准版透明3.SonicOS增强版透明24/12/2311二层透明设备工作在二层透明方式,设备本身不需要任何IP地址配置,防火墙规则照常工作,检测数据流。如果需要,也可以配置管理IP地址对设备进行管理。ARP代理透明设备工作在3层,设备的两个端口处于同一个网段,但两个端口占用同一个IP地址,需要管理员指定哪些网络范围的IP地址在设备的某一个端口,使设备能正确转发数据包到正确的端口。SonicWALL的UTM设备透明方式是ARP代理透明,需要在WAN口和LAN口(或DMZ口)占用一个IP地址。24/12/2312SonicOS标准版防火墙LAN口和WAN口透明24/12/23132...
