- 实验拓扑:
- 实验要求:
1,DMZ区内的服务器,办公区仅能在办公时间内(9:00 - 18:00)可以访问,生产区的设备全天可以访问.
2,生产区不允许访问互联网,办公区和游客区允许访问互联网
3,办公区设备10.0.2.10不允许访问DMZ区的FTP服务器和HTTP服务器,仅能ping通10.0.3.10
4,办公区分为市场部和研发部,市场部IP地址固定,访问DMZ区使用匿名认证,研发部需要用户绑定IP地址,访问DMZ区使用免认证;
游客区人员不固定,不允许访问DMZ区和生产区,统一使用Guest用户登录,密码Admin@123
5,生产区访问DMZ区时,需要进行protal认证,设立生产区用户组织架构,至少包含三个部门,每个部门三个用户,用户统一密码openlab123,首次
登录需要修改密码,用户过期时间设定为10天,用户不允许多人使用
6,创建一个自定义管理员,要求不能拥有系统管理的功能
7,办公区设备可以通过电信链路和移动链路上网(多对多的NAT,并且需要保留一个公网IP不能用来转换)
8,分公司设备可以通过总公司的移动链路和电信链路访问到Dmz区的http服务器
9,多出口环境基于带宽比例进行选路,但是,办公区中10.0.2.10该设备只能通过电信的链路访问互联网。链路开启过载保护,保护阈值80%;
10,分公司内部的客户端可以通过域名访问到内部的服务器,公网设备也可以通过域名访问到分公司内部服务器;
11,游客区仅能通过移动链路访问互联网
- 实验思路:
- 在完成各项要求前,先将IP地址等配置
- 配置两个多对多的NAPT策略,将其应用在办公区访问电信(移动)上,在配置IP地址池时,多创建一个公网地址,用来保留
- 将DMZ区域通过端口映射到公网,再在子公司防火墙上配置内网往外网的安全策略,和NAT策略(我这里用的easy ip)
- 在智能选路中将只能选路模式改为“基于带宽比例选路”,在接口中将保护阈值设为80%,对10.0.2.10使用路由策略,使其只能用电信
- 启动分公司服务器设备,配置服务器的端口映射,配置公网中的DNS服务器,配置client的DNS地址,配置双向NAT,使内网设备可以访问服务器
- 配置NAT让游客区用户可以访问外网,再写一条策略路由将游客区的路由都通过移动的链路转发
- 实验步骤:
AR1的地址配置
[r1]int g 4/0/0
[r1-GigabitEthernet4/0/0]ip add 100.0.0.254 24
[r1-GigabitEthernet4/0/0]int g 0/0/2
[r1-GigabitEthernet0/0/2]ip add 23.0.0.1 24
防火墙FW2的操作
新建NAT策略:
(保留12.0.0.5):
让系统自动生成安全策略
(保留21.0.0.5)
BG 到 YD也是:
然后在将电信和移动的线路都配置多出口
配置各个终端IP地址:
连通测试:
新建端口映射:
配置HTTP在电信的映射:
配置http在移动的映射:
配置子公司访问外网策略
配置NAT
测试
修改全局选路策略
智能选路
修改智能选路方式
电信的保护阈值
移动的
展示
FW2配置双向NAT
公网设备访问服务器
私网设备访问服务器
配置NAT使游客区能访问外网
配置策略