实验要求:
1、1.内网主机通过防火墙进行源地址转换访问
2、将内网服务器的HTTP服务器发布到外网,外网客户机可以通过防火墙的外网接口地址访问到
3、vlan10主机只能访问server1的HTTP,vlan20只能访问server1的ftp
LSW2
sys
vlan batch 10 20
int e0/0/1
port link-t acc
port def vlan 10
int e0/0/2
port link-t acc
port def vlan 20
int e0/0/3
port link-t tru
port trunk allow-pass vlan 10 20
Lsw1
sys
vlan 10
vlan 20
q
int g0/0/1
port link-t tru
port trunk allow-pass vlan 10 20
q
vlan 50
int g0/0/2
port link-t acc
port def vlan 50
q
int vlan 10
ip add 192.168.10.254 24
int vlan 20
ip add 192.168.20.254 24
int vlan 50
ip add 10.10.10.1 24
为LSW1设置路由
sys
ip route-static 192.168.100.0 24 10.10.10.2
步骤1:
企业内网的三层交换配置好,主机的IP地址,以及服务器开放
配置防火墙:密码要符合复杂性要求,并配置管理口的允许管理方式
因为物理机vlan的网关和防火墙网段冲突,所以为防火墙修改了IP地址,如果没有冲突,选择g0/0/0的默认IP:192.168.0.1即可。
使用浏览器登录:https://192.168.66.1:8443
点击网络配置接口的对应IP
设置g1/0/0接口,g1/0/1 g1/0/2接口,为了方便测试介意几个口都开一下ping
现在用Client1去ping一下10.10.10.2看看是否能够通,切记一定要给防火墙配置回包路由
同理Client2,用相同方法
新建安全策略
Client1访问ftp被防火墙拦截了那么vlan10 访问server1的HTTP成功,以相同方式设置安全策略,完成vlan20 访问server1ftp
要求2:先用client1去ping一下Internet中23.34.45.60,很明显ping不成功
因为并没配置到internet的路由,因为Internet网络环境复杂,在LSW1上配置默认路由即可
因为设置了默认路由,前一条路由设置显得鸡肋,可以选择删掉
Client1去ping外网23.34.45.60,没有成功,防火墙默认情况下不允许内网访问
再次去ping,发现还是不成功,但是在策略记录上有命中,说明流量放空了
NAT策略中显示不转换,应新建策略
内网的client1可以成功访问到外网的client3,要求2以完成
要求1:
新建安全策略
使用地址56回报错,所以将地址修改为23.34.45.57