iT邦幫忙

0

cisco ACLs 及 firewall相關設定問題

  • 分享至 

  • xImage

設備:防火牆forti 101f
coreswitch cisco 3560 -24pf
core下面因預算問題會接一般hub
防火牆上設定對接介面ip 192.168.10.1
需要做3個vlan,其中vlan30跟vlan10及20不通,但三個vlan又要通過同一台防火牆上網。
switch的設定如下,要透過第24port連到firewall,但目前只有同為vlan10的會通,想請教一下各位,還有其他解法嗎?

hostname Switch
!
!
!
!
ip dhcp pool 10
 network 192.168.10.0 255.255.255.0
 default-router 192.168.10.254
 dns-server 8.8.8.8
ip dhcp pool 20
 network 192.168.20.0 255.255.255.0
 default-router 192.168.20.254
 dns-server 8.8.8.8
ip dhcp pool 30
 network 192.168.30.0 255.255.255.0
 default-router 192.168.30.254
 dns-server 8.8.8.8
!
!
ip routing
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
spanning-tree mode pvst
!
!
!
!
!
!
interface FastEthernet0/1
 switchport access vlan 10
 switchport mode access
!
interface FastEthernet0/2
 switchport access vlan 30
 switchport mode access
!
interface FastEthernet0/3
 switchport access vlan 20
 switchport mode access
!
interface FastEthernet0/4
!
interface FastEthernet0/5
!
interface FastEthernet0/6
!
interface FastEthernet0/7
!
interface FastEthernet0/8
!
interface FastEthernet0/9
!
interface FastEthernet0/10
!
interface FastEthernet0/11
!
interface FastEthernet0/12
!
interface FastEthernet0/13
!
interface FastEthernet0/14
!
interface FastEthernet0/15
!
interface FastEthernet0/16
!
interface FastEthernet0/17
!
interface FastEthernet0/18
!
interface FastEthernet0/19
!
interface FastEthernet0/20
!
interface FastEthernet0/21
!
interface FastEthernet0/22
!
interface FastEthernet0/23
!
interface FastEthernet0/24
 switchport access vlan 10
 switchport mode access
!
interface GigabitEthernet0/1
!
interface GigabitEthernet0/2
!
interface Vlan1
 no ip address
 shutdown
!
interface Vlan10
 mac-address 00e0.8f09.ac01
 ip address 192.168.10.254 255.255.255.0
!
interface Vlan20
 mac-address 00e0.8f09.ac02
 ip address 192.168.20.254 255.255.255.0
!
interface Vlan30
 mac-address 00e0.8f09.ac03
 ip address 192.168.30.254 255.255.255.0
 ip access-group vlan30_only in
!
ip classless
ip route 0.0.0.0 0.0.0.0 192.168.10.1 
ip route 192.168.10.0 255.255.255.0 192.168.10.1 
ip route 192.168.20.0 255.255.255.0 192.168.10.1 
ip route 192.168.30.0 255.255.255.0 192.168.10.1 
!
ip flow-export version 9
!
!
ip access-list extended vlan30_only
 deny ip 192.168.30.0 0.0.0.255 192.168.10.0 0.0.0.255
 deny ip 192.168.30.0 0.0.0.255 192.168.20.0 0.0.0.255
 permit ip any any
!
!
!
!
!
!
line con 0
!
line aux 0
!
line vty 0 4
 login
!
!
!
!
end
目前設定很明顯的acls會擋到vlan30連vlan10,但比較疑惑的是為何我vlan20也連不到vlan10
已經有下ip routing了,在考慮是不是防火牆那邊對接的介面設定沒辦法這樣處理
playerk iT邦新手 3 級 ‧ 2024-08-13 08:48:47 檢舉
建議不要使用用戶的網段來做路由,這樣你要除錯就很容易搞錯。
這幾筆ip route都很奇怪,因為這些網段都是 connected 在自己身上,都是多下的
ip route 192.168.10.0 255.255.255.0 192.168.10.1
ip route 192.168.20.0 255.255.255.0 192.168.10.1
ip route 192.168.30.0 255.255.255.0 192.168.10.1

另外FG101F有指這些路由回到C3560嗎?還有要做NAT外出以及firewall上面的policy也要開放。
感謝建議,route部分有重新整理過了,目前只留了ip routing這筆
您說的建議不要使用用戶網斷做路由,是指ACLs這部分嗎?
因為是最近開始自學的,目前只有見過這個做法,想請教一下有其他做法能達成vlan需求嗎?
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

2 個回答

0
bluegrass
iT邦高手 1 級 ‧ 2024-08-13 09:39:16
最佳解答

我到底看了什麼, 有防火牆FORTI竟然還在SWITCH上搞ACL?

你家有電有媒氣旦卻只會用鑽木取火?

你應該在SWITCH上建立VLAN 10 20 30

防火牆也一樣把10 20 30 TAG上接到CISCO的口上

CISCO 24口接防火牆, [其實應該改用 GigabitEthernet0/1 =.=], 還用100M的麼?

指令改成如下:
switchport mode trunk
switchport trunk allow vlan all

這樣一來就可以在防火牆上做控制了

看更多先前的回應...收起先前的回應...

十分抱歉傷了你的眼睛QQ
因為想要試著讓內部網路設備在L3上做交換就好,不多經過防火牆,所以才在L3上做設定
之前有做過其他設定也是如您建議的,架構是防火牆->core->L2switch
交換在防火牆上做,但被反應說如此作法L3根本無用處,所以開始調整練習在L3上做
因為小弟是自學的,兩種做法都見過,不確定哪種才是正規作法,若L3上做交換是非正規作法,我會再調整回原先設定方法

bluegrass iT邦高手 1 級 ‧ 2024-08-13 14:27:39 檢舉

L3的根本用處不是這樣子-.-

你這種設計比較適合備份的功能

比如備份源跟備份儲存區在兩個VLAN
用L3交換機就會達到最佳表現, 是可取的

旦備份源應該是另外再有一個網口去接上網的.
甚至根本不能上網
而不是用L3交換機來路由上網

今日設計上, 一般正常的L3是應該要經過FIREWALL
經過FIREWALL才有UTM SCANNING, 才能好好保護自己

再說, 你知道reflexive ACL嗎?
別再用這種普ACL了, 很過時了
來回都做一次POLICY很好玩嗎=.=?

下邊mytiny也說出重點了,
多數網路運作都在防護內網VLAN互相感染
因為用了L3交換機而不是L3防火牆

被反應說如此作法L3根本無用處
是因為你那位"導師"不懂網路
L3在FIREWALL不就是在用了嗎?
更不懂資安
可別聽這種上一個時代的人的話太多喔, 會出問題的.

rb1102 iT邦研究生 2 級 ‧ 2024-08-13 16:28:37 檢舉

其實也不是說非正規啦...都要看你的環境跟評估
你如果練習的話,兩種都可以試試
只是有Forti的話,在上面切vlan,網段做policy控管跟UTM會簡單方便很多
coreswitch的ACL,有的時候規則一多也是很卡
會考慮的點是怕L3流量都由Forti來經手,會不會有瓶頸問題
現今Forti資安鐵三角都是走這種架構

感謝各位指教,我大概知道該如何改善了,非常謝謝大家的建議

0
mytiny
iT邦超人 1 級 ‧ 2024-08-13 10:33:18

但目前只有同為vlan10的會通

請說明清楚哪裡通哪裡不通
如果vlan間會通,但不能上網
表示core設定正常
但防火牆沒有設好

另外現在多數網路運作都在防護內網VLAN互相感染
所以不是L2/L3的關係
而是經過防火牆才能做資安管控
架構規劃與設計通常是SI的應有服務
樓主是否該要求SI提供相關技術
不然設備買了就只是當擺飾哦

我要發表回答

立即登入回答