当前位置:首页 >> >>

sonicwall教程


SonicWALL
典型配置和问题诊断
目的: 1. 熟悉典型客户网络环境下防火墙的配置方法 2. 分析LOG及借助工具软件诊断并解决问题的方法 参加培训的要求: 掌握SonicWALL标准版和增强版的基本配置 熟悉TCP/IP协议及基本网络通信协议

通过此次培训,使参加培训的工程师能够掌握典型客户的 防护墙配置,并在发生问题时及时解决问题.
2010-6-23 1

典型配置案例: 1,PRO5060 在高校的应用,双WAN和策略路由 2,标准版和增强版的透明模式 3,静态ARP的应用,第二个网段 4,带宽管理,TCP Session数管理 故障诊断: 1. 点到点VPN 隧道故障建立,一,二阶段协商参数 2. VPN隧道 TCP 超时时间的设置 3. GVC NAT 穿越, 何时需要分配IP地址 4. 防火墙不能升级签名的诊断步骤 5. ARP 表更新,IP和MAC绑定,上游路由器ARP表不刷新问题 6. Ethereal 软件的使用,诊断问题. 7. ViewPoint配置及绑定到其它的网卡地址时如何更正

2010-6-23

2

PRO5060 WAN链路应用和策略路由 双WAN链路应用和策略路由

2010-6-23

3

在高校的典型应用, WAN链路 链路+ PRO5060 在高校的典型应用,双WAN链路+策略路由 4 如条件允许,还可以配置OSPF OSPF路由两个校园出口互为备份 如条件允许,还可以配置OSPF路由两个校园出口互为备份
2010-6-23

学校一共有两个校区,东校区通过一台防火墙经电信出口上 Internet,南校区有两个出口,一个是经电信出口接入Internet, 另一个出口接入教育网.两个校区之间由专线把两个三层交换机连 通,如果在三层交换和两台防火墙上启动OSPF路由协议,两台防火 墙设备可以互为对方的备份,一台防火墙宕机,所有到互联网的出 口流量可以经过专线由另外一个校园网的防火墙访问Internet. 本例主要讲解南校区的网络配置.其中PRO 5060 LAN口连接一台华 为的三层交换机S8505,DMZ连接一组服务器,为教育网提供服务. 所有到服务器的流量都走教育网出口.S8505 三层交换机下连接4个 私有IP的网段,7个公有IP网段. 4个私有网段只通过电信出口访问 Internet, NAT到一个公有IP的地址池,7个公有IP网段只通过教育 网出口访问教育网和互联网.本例的策略路由相对简单. 注:有些高校教育网包月不计流量, 有些高校只针对指定的教育网服 务器不计流量,其它到教育网的访问要按流量收费,所以策略路由的 配置要视客户具体需求进行调整,是按照源IP地址设置策略路由还是 按目的地址设置策略路由,在教育网访问按流量收费的时候一定注意 设置正确的默认路由,以尽量降低数据流量产生的费用. 2010-6-23 5

CERNET X2 IP:10.10.10.253/30 R1 IP: 10.10.10.254/30

R1

R2

INTERNET: XI IP:211.214.169.6 255.255.255.224 R2 IP:211.214.169.2 DNS:202.67.222.240 202.67.222.250

X2 WAN S 5060c 192.168.1.1/30 192.168.1.2/30 三层交换机

X1 WAN X3 DMZ 219.247.99.60 255.255.255.192 DMZ

X0 LAN

INTERNET: 192.168.10.0 / 24 192.168.20.0 / 24 192.168.30.0 / 24 192.168.40.0 / 24
2010-6-23

CERNET: 219.247.100.0 / 24 219.247.101.0 / 24 219.247.102.0 / 24 219.247.103.0 / 24 219.247.104.0 / 24 219.247.105.0 / 24 219.247.106.0 / 24

南校区网络配置, 为确保客户网络安全, 图中所用的IP地址均为 假定的IP地址 配置应以客户实际网络 环境为准
6

静态路由 策略路由

2010-6-23

默认路由

7

公有IP路由出去 公有 路由出去

私有IP 到公有IP地址池 私有 NAT到公有 地址池 到公有

2010-6-23

8

可以修改默认的WAN WAN口 PRO5060 可以修改默认的WAN口,这将影响默认 的路由,使没有明确指定策略路由的访问均走默认 的路由, 路由. 路由. 错误的默认路由设置可能造成不必要的计 费损失, 费损失,因为有些高校只针对特定的教育网服务器 不按流量计费,到其它教育网的服务器按流量计费, 不按流量计费,到其它教育网的服务器按流量计费, 还有的高校教育网和电信出口一样包月, 还有的高校教育网和电信出口一样包月,不按流量 计费,针对客户不同的具体需求,配置相应的策略 计费,针对客户不同的具体需求, 路由并选择正确的默认路由. 路由并选择正确的默认路由.

2010-6-23

9

1.透明模式实现方法 1.透明模式实现方法 二层桥透明和ARP ARP代理透明 二层桥透明和ARP代理透明 2.SonicOS 标准版透明 3.SonicOS 增强版透明

2010-6-23

10

二层透明
设备工作在二层透明方式,设备本身不需要任何IP地址配置, 设备工作在二层透明方式,设备本身不需要任何IP地址配置, IP地址配置 防火墙规则照常工作,检测数据流.如果需要, 防火墙规则照常工作,检测数据流.如果需要,也可以配 置管理IP地址对设备进行管理. IP地址对设备进行管理 置管理IP地址对设备进行管理.

ARP代理透明 ARP代理透明
设备工作在3 设备工作在3层,设备的两个端口处于同一个网段,但两个端 设备的两个端口处于同一个网段, 口占用同一个IP地址,需要管理员指定哪些网络范围的IP IP地址 口占用同一个IP地址,需要管理员指定哪些网络范围的IP 地址在设备的某一个端口, 地址在设备的某一个端口,使设备能正确转发数据包到正 确的端口. 确的端口. SonicWALL的UTM设备透明方式是ARP代理透明,需要在WAN口 SonicWALL的UTM设备透明方式是ARP代理透明,需要在WAN口 设备透明方式是ARP代理透明 WAN LAN口 DMZ口 占用一个IP地址. IP地址 和LAN口(或DMZ口)占用一个IP地址.
2010-6-23 11

SonicOS 标准版 防火墙LAN口和WAN口透明 防火墙LAN口和WAN口透明 LAN口和WAN

2010-6-23

12

2010-6-23

13

2010-6-23

14

2010-6-23

15

注:透明模式并不意味着所有的业务端 口都"透明" 口都"透明",必须设置必要的防火 墙规则以允许WAN LAN或WAN到DMZ服 WAN到 墙规则以允许WAN到LAN或WAN到DMZ服 务器的访问. 务器的访问.

2010-6-23

16

SonicOS 标准版 防火墙DMZ口和WAN口透明 防火墙DMZ口和WAN口透明 DMZ口和WAN
OPT口默认相当于DMZ口 口默认相当于DMZ (TZ170 OPT口默认相当于DMZ口) DMZ口可以工作在透明模式或NAT模式 DMZ口可以工作在透明模式或NAT模式 口可以工作在透明模式或NAT

2010-6-23

17

2010-6-23

18

2010-6-23

19

2010-6-23

20

SonicOS 增强版 透明模式配置
任意端口和WAN口之间都可以配置成透明模式, 任意端口和WAN口之间都可以配置成透明模式,需 WAN口之间都可以配置成透明模式 要指定透明范围以使防火墙能正确转发数据包到 正确的端口

2010-6-23

21

2010-6-23

22

2010-6-23

23

2010-6-23

24

SonicOS标准版一个端口支持多个网段的两种方式 LAN Primary IP: 192.168.168.168/24 在Network-〉Settings LAN Interface 配置界面加入 第二个网关192.168.10.1/24 采用静态ARP,在一个端口增加第二个IP

2010-6-23

25

方法一

增加第二个网关,支持第二个网段 LAN Primary IP:192.168.168.168/24 Second Subnet:192.168.10.0/24

2010-6-23

26

Network-〉ARP

Network-〉Routing

方法二

配置静态ARP和静态路由,在一个端口支持第 二个网段,视访问需求可在Firewall->Access Rules里添加允许到第二个网段的访问规则
2010-6-23 27

SonicOS增强版一个端口支持多个网段 采用静态ARP,配置过程与标准版采用静态 ARP支持第二个网段完全相同,不过注意 静态路由的配置是在策略路由的界面配 置的.详见下页. 注:在一个物理端口如LAN上设置两个网 段,则两个网段之间由防火墙路由,访 问规则不影响两个网段的通信,但是 LAN到DMZ第二个网段的通信可由防火 墙规则控制.
2010-6-23 28

Network-〉ARP

Network-〉Routing

配置静态ARP和静态路由,在一个端口支持第 二个网段,视访问需求可在Firewall->Access Rules里添加允许到第二个网段的访问规则
2010-6-23 29

带宽管理和TCP Session 数限 制

2010-6-23

30

必须在WAN口 设置进出的 带宽参数, 否则在防火 墙的规则里 不会出现带 宽管理的界 面
2010-6-23 31

2010-6-23

32

2010-6-23

33

2010-6-23

34

故障诊断

2010-6-23

35

点到点VPN 隧道故障建立,一,二阶段协商参数

PRO4060 VPN Policy

2010-6-23

36

TZ150W VPN Policy,故意设置与对端不同

2010-6-23

37

NO_PROPOSAL_CHOSEN 是指参数不匹配

2010-6-23

38

NO_PROPOSAL_CHOSEN 是指参数不匹配

2010-6-23

39

PRO4060 Shared Secret

2010-6-23

40

PRO4060 Log PAYLOAD_MALFORMED 表示共享密钥不匹配,网络故障导致VPN隧道 断开,如果隧道两端VPN设备采用的DPD不是 一个标准,重新协商时也可能出现此错误

2010-6-23

41

TCP 超时时间的设置,TCP Setting和防火墙规则设置

此参数只影响新创建的防火墙规则,修改此参数之前 创建的规则的TCP 超时参数不受此参数影响.

2010-6-23

42

有些应用如Oracle客户端,ERP系统等通过VPN隧道访问 服务器,默认的TCP超时时间一定要修改,否则这些系 统可能会产生问题,如有的ERP系统在有中间设备断开 TCP连接后,会延迟30分钟才允许客户端再次建立连接

2010-6-23

43

有些应用如Oracle客户端,ERP系统等通过VPN隧道访问 服务器,默认的TCP超时时间一定要修改,否则这些系 统可能会产生问题,如有的ERP系统在有中间设备断开 TCP连接后,会延迟30分钟才允许客户端再次建立连接

2010-6-23

44

GVC NAT 穿越, 何时需要分配IP地址 当服务器的默认网关指向另外一个路由器,通过专线联接互联网, 而不指向SonicWALL防火墙设备时,一定要分配IP地址给GVC, 以免除路由问题.

由于各个网络设备厂家的NAT设备在对IPSec VPN的支持不尽相同,有些支 持IPSec Pass Through, 有些不支持.经过不支持IPSec Pass Through的 NAT设备建立IPSec VPN隧道,必须采用NAT穿越技术.SonicWALL GVC自动 检测沿途设备是否支持IPSec, 如果需要,自动启动NAT穿越,但是有些设 备的IPSec pass throug不稳定,有些支持IPSec的NAT设备反而不能正确处 理NAT穿越数据,需要在SonicWALL GVC上禁止NAT穿越参数.
2010-6-23 45

有些支持IPSec的NAT设备不能 正确处理NAT穿越数据,需要 在SonicWALL GVC上禁止NAT穿 越参数,常见的问题是客户端 不能从防火墙通过DHCP获取IP 地址,GVC LOG 提示信号灯超 时(semaphore Timeout),修改 此参数大部分情况可解决问题 .
2010-6-23 46

防火墙不能升级签名的诊断步骤
1. 确认LAN PC能通过防火墙WAN口访问互联网 2. 确认防火墙System->Diagnostics里的DNS解析能解析 licensemanager.sonicwall.com 3. 防火墙通过HTTPS直接访问 licensemanager.sonicwall.com,不能经过代理 服务器. 4. 确认没有防火墙规则禁止LAN Primary IP访问Internet. 5. 确认防护墙里的系统时间正确.如果系统时间不正确,可导致访问 Licensemanager超时. 6. 如果还有问题,可以在WAN口上抓包,以帮助诊断问题.

2010-6-23

47

1. IP和MAC绑定

SonicWALL SonicOS 3.0 以上操 作系统支持IP到MAC地址的绑定 gon功能. 在Network-〉ARP 界面配置 所有设备支持300个IP地址到MAC 地址的绑定.

2010-6-23

48

ARP 表更新,上游路由器ARP表不刷新问题

SonicWALL设备在加电后会广播ARP信息,包括其WAN口IP,一对一 映射的公网IP,IP地址池的IP等等,使上游路由器更新其ARP表, 正确转发数据到防火墙WAN口的MAC地址,有些情况下,上游路由 器不刷新其ARP表,导致问题,要电话联系电信网管强行刷新上游 路由器的ARP表,因为SonicWALL已经广播了ARP信息.有些 VDSL/ADSL运营商会自动绑定第一次上网的设备的MAC地址,更换 2010-6-23 ADSL/VDSL设备是要运营商更新ARP表.

49

Ethereal 软件的使用,诊断问题.

在 Capture 菜单选择 Start

2010-6-23

50

选择要抓包 的网卡

选择时时更新 和自动滚屏

2010-6-23

51

察看各层详细信息直至 某一个Bit,诊断问题很 有帮助

2010-6-23

52

ViewPoint配置及绑定到其它的网卡地址时如何更正

安装ViewPoint软件时,如果计算机上有多块物理网卡 或者有VPN虚拟网卡,可能导致ViewPoint服务绑定道错 误的网卡上,其表现是防火墙把ViewPoint数据送到 ViewPoint服务器的IP地址,但是ViewPoint软件始终收 不到任何数据.
2010-6-23 53

解决方法:修改c:\sgmsConfig.xml文件中的 Scheduler.ipAddress参数,设置正确的IP地 址,然后重启ViewPoint服务

2010-6-23

54

在系统控制面板里找到服务,重启以SNWL ViewPoint开始的四个ViewPoint服务

2010-6-23

55


相关文章:
sonicwall教程_图文.ppt
sonicwall教程 - SonicWALL 典型配置和问题诊断 目的: 1.
sonicwall防火墙中文_教程.ppt
sonicwall防火墙中文_教程_计算机硬件及网络_IT/计算机_专业资料。防火墙基本设置 SonicWALL 典型配置和问题诊断目的: 1. 熟悉典型客户网络环境下防火墙的配置方法 2. ...
SonicWALL 防火墙中文手册PDF版本_图文.pdf
SonicWALL 防火墙中文手册PDF版本_计算机硬件及网络_IT/计算机_专业资料。SonicOS ...Sonicwall中文配置手册 364页 1下载券 sonicwall教程 55页 1下载券 ...
sonicwall防火墙中文 教程_图文.ppt
sonicwall防火墙中文 教程 - SonicWALL 典型配置和问题诊断
sonicwall快速安装手册配置.doc
sonicwall快速安装手册配置 - SonicWALL 防火墙配置 Tunnel Interface VPN 简介: SonicWALL 防火墙配置 Tunnel Interface VPN...
SonicWALL系列设备配置下_图文.doc
SonicWALL系列设备配置下 - SonicWALL 教程 手册 下半部... SonicWALL系列设备配置下_IT/计算机_专业资料。SonicWALL 教程 手册 下半部 下面的设置使用 VPN 虚拟网卡,...
SonicWALL防火墙配置手册.doc
SonicWALL防火墙配置手册 - 网络安全专业分销 13811271509 weiweilao@hotmail.com SonicWALL 防火墙标准版配置 SonicWall 标准版...
sonicwall 四代产品白皮书.pdf
sonicwall教程 55页 2财富值 sonicwall简介 15页 1财富
SSLvpn详细安装和使用说明_图文.doc
10、 查看用户信息 安卓手机 1、点击下载好的 sonicwall mobile conncet,进行安装; 2、点击打开安装好的 sonicwall mobile conncet; 3、点击“Add connection”; ...
vpn client设置方法_图文.doc
vpn client设置方法 - Sonicwall vpn client se
思科产品快速查阅指南_图文.doc
软件的路由器 管理器 简化了思科路由器部署:易于使用的智能向导和内置教程 应用...NetScreen 安全设备 SonicWALL: SonicWALL 安全设备 WatchGuard Technologies: Firebox...
ZyWALL1050使用说明.pdf
ZyWALL1050与SonicWall建... 8页 免费 !!!使用说明 暂无评价 1页 免费 使用...合勤ZyXEL+设置教程 11页 1下载券 USG系列防火墙维护手册 94页 1下载券 9.ZyWAL...
硬件防火墙性能差异鉴别及硬件防火墙选择指导.txt
防火墙,教程,资料,工具书,文集 本文由neo_hello贡献 pdf文档可能在WAP端浏览...SonicWALL 公司和 WatchGuard 都属于拥有市场份额的著名品 牌,它们获得的市场份额...
CCNA的经验交流.doc
(当然这个要看你接触的什么教程,有能看英文原版就会比较适应英文考试,英文不好 ...netscreen, nokia 到低端的 sonicwall,fortigate 都没基础过,没办法,学习 ing。...
VPN介绍.txt
0回答网上哪里可以免费阅读数据库原理教程1回答20求公司信息安全演练计划,从计划...sonicwall2040防火墙可以和其他的防火墙组企业vpn吗 悬赏分:0 | 解决时间:2009-...
熊猫安全网关GDP9000维护手册_图文.pdf
区别: 项目代表性品牌 UTM 设备飞塔(Fortinet) 、SonicWall… SCM 设备熊猫安全...1.6 如何安装补丁文件(详细图解教程) 1.登录 GDP 管理控制台,选择“更新”选项...