企業キャンパスネットワークの総合設計(4)

3.9ファイアウォールポリシー

3.9.1セキュリティポリシー、NATポリシー

図 36 ファイアウォールデバイストポロジの構成図

構成手順: ファイアウォールを外部ネットワークに接続するインターフェイスG1/0/1およびG1/0/2に対応するインターフェイスアドレスを構成し、対応するセキュリティゾーンにインターフェイスを追加し、ファイアウォールのセキュリティポリシーを構成し、 NATポリシーを追加します。をファイアウォールに接続するには、 NATアドレス計画テーブルに従ってファイアウォール上にNATアドレスプールを構成し、送信元NATポリシーを構成する必要があります。

FW5構成:

インターフェイスギガビットイーサネット1/0/1

シャットダウンを元に戻す

IP アドレス 59.39.177.2 255.255.255.248

インターフェイスギガビットイーサネット1/0/2

シャットダウンを元に戻す

IP アドレス 58.252.2.210 255.255.255.248

ファイアウォールゾーン名 isp1 id 4

優先順位6を設定

インターフェイス GigabitEthernet1/0/1 を追加

ファイアウォールゾーン名 isp2 id 5

優先度7を設定

インターフェイス GigabitEthernet1/0/2 を追加

nat アドレスグループ isp1 0

モードパット

セクション0 59.39.177.5 59.39.177.6

nat アドレスグループ isp2 1

モードパット

セクション 0 58.252.2.211 58.252.2.212

nat-ポリシー

ルール名 nat

ソースゾーンの信頼

宛先ゾーン isp1

ルール名 nat2

ソースゾーンの信頼

宛先ゾーン isp2

FW6構成:

ファイアウォールゾーン名 isp1 id 4

優先順位6を設定

インターフェイス GigabitEthernet1/0/1 を追加

ファイアウォールゾーン名 isp2 id 5

優先度7を設定

インターフェイス GigabitEthernet1/0/2 を追加

nat アドレスグループ isp1 0

モードパット

セクション0 59.39.178.5 59.39.178.6

nat アドレスグループ isp2 1

モードパット

セクション 0 58.252.1.211 58.252.1.212

マルチインターフェース

モード重量比

nat-ポリシー

ルール名 ipsec

ソースゾーンの信頼

宛先ゾーン isp2

アクション禁止

ルール名 nat

ソースゾーンの信頼

宛先ゾーン isp1

ルール名 nat2

ソースゾーンの信頼

宛先ゾーン isp2

3.9.2 IPリンク連携のデフォルトルート

設定手順: FW5 で IP リンク機能を有効にし、ISP1 という名前の IP リンクを作成し、59.39.177.1 として検出されるように宛先アドレスを設定し、 ISP2 という名前の IP リンクを作成して、58.252 として検出される宛先アドレスを設定します。 .2.209. ISP1 のスタティックルート 59.39.177.1 を設定します。ip-link が isp1 リンクの障害を検出すると、このルートは失敗し、バックアップルートに切り替わります。ISP2 のスタティックルート 58.252.2.209 を設定します。ip-link が isp2 リンクの障害を検出すると、このルートは失敗し、バックアップルートに切り替わります。

FW6 で IP リンク機能を有効にし、ISP1 という名前の IP リンクを作成し、59.39.178.1 として検出されるように宛先アドレスを設定し、 ISP2 という名前の IP リンクを作成し、58.252.1.209 として検出されるように宛先アドレスを設定し、 ISP1 の宛先アドレススタティックルート 59.39.178.1. ip-link が isp1 リンクの障害を検出すると、このルートは失敗し、バックアップルートに切り替わります。ISP2 のスタティックルート 58.252.1.209 を設定します。ip-link が isp2 リンクの障害を検出すると、このルートは失敗し、バックアップルートに切り替わります。

FW5設定コマンド：

ip ルート静的 0.0.0.0 0.0.0.0 59.39.177.1 優先 50 トラック ip-link isp1

ip ルート静的 0.0.0.0 0.0.0.0 58.252.2.209 追跡 ip-link isp2

FW6設定コマンド：

ip ルート静的 0.0.0.0 0.0.0.0 59.39.178.1 優先 50 トラック ip-link isp1

ip ルート静的 0.0.0.0 0.0.0.0 58.252.2.209track ip-link isp2

IPリンク連携デフォルトルート