本公司之前的生產網絡都是單獨的局域網,現在需要從辦公網絡中能遠程連接生產網中的一臺操作站,以對生產過程進行監控。經過內部討論和跟廠家的交流,爲了節約成本,我們採用防火牆連接兩個網絡,用遠程桌面的方式實現(被遠程連接的操作站設置爲無法修改)。 線面將配置整理爲筆記,供大家分享。
總的來說,需要三步,
第一步是對防火牆本身進行配置,端口地址、策略、默認路由等
第二步是對操作站進行配置,設置好網關。網關地址即爲防火牆上與生產網連接的端口地址。因爲我們生產網中每臺操作站都沒有設置網關,用兩塊網卡兩根網線的冗餘方式。
第三步是在覈心交換機上配置一條路由,讓辦公網能訪問到生產網。我們爲了安全,只允許訪問某一臺操作站。
下面是詳細配置情況
一.防火牆配置
如上圖所示,由於只允許辦公網部分電腦單向訪問某臺操作站(工控機),因此只設置一條策略就可以了。注意“部分”“單向”“某臺”等關鍵字。
兩個安全域對應防火牆上兩個端口,office對應辦公網,mcs對應生產網
兩個地址簿,源地址中的地址簿里加的是允許遠程連接操作站的IP,目的地址中的地址簿加的是“某臺”操作站(工控機)的IP
一個服務薄,裏面只有兩個服務(端口),一個RDP(3389端口),是遠程連接命令MSTSC要用的,一個PING,是爲了維護方便。也就是說只允許這兩個服務,其他的一概禁止。也是爲了安全。其實也不是很安全,MSTSC權限很大,可以完全操控對方電腦,所以操作站的系統還要修改權限,只能看不能改,這樣遠程桌面連上也不怕了。
安全域、地址簿和服務薄的名字是自定義的,方便管理。
二.操作站配置網關
將要訪問的操作站的網關設置爲mcs全區域對應端口的地址。我們生產網中操作站是不設置網關的,因爲是雙網卡雙線冗餘。
三.核心交換機配置路由
在覈心交換機(我們用cisco6509)上加如下路由
iproute 操作站IP 255.255.255.255 防火牆offic域對應端口地址
當辦公電腦訪問操作站時,給它指明訪問路由,如果要找操作站IP,先找防火牆offic域對應端口地址。
特殊情況:
集團與子公司間是專線連接,起路由,子公司的路由器和核心之間也是起路由,子公司辦公網絡與其生產網連接通過防火牆連接,集團的電腦要想訪問過來,比本埠的連接要多做幾處路由,從集團核心開始, 配合tracert命令,一層一層做下去,直到能找到要訪問的
操作站地址,就OK了。