【思唯网络学院】求职面试真题解析:汽车客运站防火墙设计(附标准答案)
首页 > >   作者:浙江思唯网络  2020年4月15日 18:17 星期三  字号:   评论:0 条
时间:2020-4-15 18:17   评论:0 条 

今天给大家分享一个面试中的防火墙案例。

一个一等汽车客运站,因业务发展需要,需要和火车站和机场进行联网购票,请根据以下网络环境及需求设计该客户的外联网络结构:


1.客户现有设备清单


A.两台Cisco 2811路由器,每个2811配置2个100M以太网口和2块双端口以太网模块;

B.两台Cisco 2960交换机,每台2960配置24个100M电口;

C.两台Cisco ASA 5510防火墙,每台防火墙配置4个1000M电口。


2.网络需求


客户与火车站,机场之间要求提供7×24小时不间断服务。因此,客户与火车站,机场采用双线路(电信,联通各一条2M MSTP专线),其中电信为主线路,联通为备份链路。正常情况下通信走电信线路。


3.拓扑示意图


求职面试真题解析:汽车客运站防火墙设计(附标准答案)


一名面试者,他的设计方案如下:


求职面试真题解析:汽车客运站防火墙设计(附标准答案)


1.两台2811路由器中间用一条网线连接起来,两台防火墙也用一条网线连接起来,每台ASA 5510分别和2811路由器连接在一起。


2.两台2950交换机中间也用线连接起来,再分别和ASA 5510连接在一起。


3.2811,ASA 5510之间运行OSPF路由协议,NAT做在2811路由器上,再将2811上的静态路由和直连路由重分发到OSPF中。


求职面试真题解析:汽车客运站防火墙设计(附标准答案)


方案有三个问题:


1.两台防火墙已经作为了独立的设备在运行,如果Cisco-2811-1和Cisco ASA 5510-1之间的链路断开了,那么内网主机和外联单位互访,流量原来只需要穿越一个防火墙,现在要穿越两个防火墙了,请问这个问题怎么办?


2.在路由器上把直连路由重分发进OSPF,这个操作会把外部网段也注入到内部网络,这已经不符合题目的要求了。


3.防火墙上跑OSPF?这个ASA 5510可是低端设备,跑路由协议会造成这个设备的性能下降,到时候成了通信瓶颈怎么处理?


那么,标准答案是什么?


1.首先,两台防火墙做Failover,考虑到业务实时性要求较高,Failover做成状态化的A/S模式。由于没有多余的设备了,所以暂时让防火墙担任内网主机的网关。


2.路由器连接防火墙的接口地址,做成HSRP,与防火墙形成三层互连。防火墙往外部写两条静态路由即可,目标网段分别是火车站售票服务器的地址和机场售票服务的地址,下一跳地址指向路由器的HSRP虚拟地址。


3.NAT做在防火墙上,火车站,机场服务器的地址做outside到inside的转换,内网主机的网段做inside到outside的动态转换。


下图是2811路由器与防火墙之间的详细地址规划和NAT信息


求职面试真题解析:汽车客运站防火墙设计(附标准答案)


再看看两台2811针对外联单位,如何做到高可用性的配置


求职面试真题解析:汽车客运站防火墙设计(附标准答案)

这样设计的话,就完全可以让流量优先走电信链路。为什么这么说呢?


因为2811-1上,写静态路由,把AD值设置为1,所以此时静态路由的优先级最高,流量到达2811-1上,就会按照静态路由来走。


2811-1和2811-2上配置了OSPF,又做了重分发静态进OSPF,所以当所以链路正常时,2811-2上可以通过OSPF学习到外联单位的路由,Cisco OSPF外部路由的AD值是110,高于2811-2上写的静态路由的优先级,所以即使流量到了2811-2,它也会优先走OSPF的路由而从2811-1上转发出去。如图所示:


求职面试真题解析:汽车客运站防火墙设计(附标准答案)

//

防火墙网络设计规范

//

技术方面


首先,防火墙是一个安全设备,也是一个边界设备。


着重考虑它的两方面技术,一个就是安全策略,另一个就是做NAT。其他功能,比如各种协议的V(P)N,这个要按照实际情况做决定。


另外,有些防火墙也有反病毒,URL过滤,IPS/IDS的功能,需要按照客户的要求进行采购,但是不太提倡在防火墙上做太多的反病毒操作。


网络结构方面


1.分支机构,小型办公网出口防火墙部署结构(单墙二区域结构)


求职面试真题解析:汽车客运站防火墙设计(附标准答案)


分支机构,小型办公网出口防火墙部署结构(单墙三区域结构)


求职面试真题解析:汽车客运站防火墙设计(附标准答案)


3.分支机构,小型办公网出口防火墙部署结构(内外墙三区域结构)


求职面试真题解析:汽车客运站防火墙设计(附标准答案)


在内外墙结构中,又有着三种情况:


A.内外墙都是路由模式,且都做NAT(PAT)


求职面试真题解析:汽车客运站防火墙设计(附标准答案)


B.内外墙都是路由模式,内墙不做NAT,外墙做NAT


求职面试真题解析:汽车客运站防火墙设计(附标准答案)


C.内墙透明模式,外墙路由模式


求职面试真题解析:汽车客运站防火墙设计(附标准答案)


4.总部机构防火墙设计(独立防火墙设备)


求职面试真题解析:汽车客运站防火墙设计(附标准答案)


5.数据中心防火墙结构设计


求职面试真题解析:汽车客运站防火墙设计(附标准答案)


在这种结构下,一个需要特别注意的地方.就是用于和其他单位外联的区域,还有DMZ区域,连接核心的一侧为inside,连接汇聚设备的一侧为outside。另外,DMZ和外联单位,需要两层防火墙。

疫情期间不能出门,你做了哪些秘密训练?如何短时间成为同学口中的神秘网工大神?方案在这里!拥有多年网络项目经验,精通思科、华为、H3C、Juniper等主流厂商配置专业讲师倾情教授,本课程含概了网络基础入门课:CCNA+HCIA所有知识点,内容丰富全面,价格低!包含网工职业发展介绍、网络基础原理、路由交换基础知识以及广域网模块等必备技术,每天2小时,一周学会搭建小型局域网,适合0基础在校小白快速入行!更多详情可联系QQ:839898248,微信:Ciscolnfinity,名额有限,点击下方链接快来报名吧
↓↓↓↓↓↓
https://ke.qq.com/course/1406048tuin=50ba6ed6

 您阅读这篇文章共花了: 
 本文无需标签!
二维码加载中...
技术交流:欢迎在本文下方留言或加入QQ群:859273036 互相学习。     
本文地址:http://www.023wg.com/894.html
版权声明:若无注明,本文皆为“思唯网络学院博客”原创,转载请保留文章出处。

返回顶部    首页   
版权所有:思唯网络学院博客    浙江思唯网络