实验步骤
1、FW2的网络相关配置:
开启防火墙后需要登录用户名和密码,第一次默认的用户名:admin,密码:Admin@123;
登录成功之后需要修改你的密码才能进入防火墙的用户视图。
防火墙的g0/0/0口默认的IP地址为192.168.0.1/24;但是我们需要在浏览器中打开FW2的web服务就需要将g0/0/0接口的IP地址修改为192.168.142.20/24与我们Clound中虚拟网卡通一个网段才行。
在防火墙中g0/0/0口中开启所有的服务:
[USG6000V1-GigabitEthernet0/0/0]service-manage all permit
FW2的g1/0/0:
FW2的g1/0/1:
注意在启动访问控制的那里都将ping命令勾选,便于后面的测试。
2、路由器需要增加的(接口)命令配置
ISP:
[ISP]int g3/0/0
[ISP-GigabitEthernet3/0/0]ip add 100.0.0.1 24
[ISP-GigabitEthernet3/0/0]dis ip int bri
3、新增加的PC、client、sever的IP地址配置:
PC2IP地址更改:
PC3:
PC6:
Client4:
Client5:
Client6:
Server4:
Server5:
4、多对多的NAT,并且需要保留一个公网IP不能用来转换,实现办公区设备可以通过电信链路和移动链路上网
(1)首先在防火墙FW1上面新创建两块安全区域[电信、移动]。
(2)修改防火墙FW1的g1/0/1和g1/0/2的安全区域:
(3)做NAT策略(源NAT)并且需要保留一个公网IP不能用来转换,实现办公区设备可以通过电信链路和移动链路上网 [注意你做好NAT策略之后系统会自动为你生成一个安全策略,很便利。]
需要新创建一个源地址转池:这里我们将配置黑洞路由勾选(防止路由环路,还可以引入到OSPF等动态路由协议中发布出去),允许端口地址转换取消勾选(因为我们这里是多对多的NAT,源NAT地址转换,如果勾选了端口地址转换,就成了端口映射,成了目标NAT)
根据你写的NAT策略系统自动生成的安全策略:
NAT策略:
测试一下:
使用PC2 ping ISP的环回地址
观察防火墙FW1的server-map表的地址转换记录情况(走的是电信的12.0.0.3):
<USG6000V1>dis firewall server-map :
再使用client2去ping 路由器的环回地址:
观察防火墙FW1的server-map表的地址转换记录情况(走的是电信的12.0.0.4):
<USG6000V1>dis firewall server-map :
再使用client4去ping 路由器的环回地址:
观察防火墙FW1的server-map表的地址转换记录情况(走的是移动的21.0.0.3):
<USG6000V1>dis firewall server-map :
电信和移动两条链路负载均衡,办公区上网的时候均有通过,且我们的保留地址未出现。
测试成功!!!
5、NAT策略(在防火墙FW2上面做源NAT,在防火墙FW1上面做目标NAT),使得分公司设备可以通过总公司的移动链路和电信链路访问到Dmz区的http服务器
(1)防火墙FW2上做源NAT:
新建源地址转换池:
安全策略:
NAT策略:
(2)在防火墙FW2上面做目标NAT:
新建一个目的地址转换池:
安全策略:
NAT策略(这里的目标地址应该为防火墙接口IP地址12.0.0.1):
简单解释说明一下目的地址转换方式:
公网地址与私网地址一对一转换:这种方式下,每个公网IP地址都与一个特定的私网IP地址一一对应。当数据包从公网传输到私网时,NAT设备会将公网IP地址替换为对应的私网IP地址,反之亦然。
公网端口与私网地址一对一转换:在这种方式下,每个公网端口都与一个特定的私网IP地址一一对应。当数据包从公网传输到私网时,NAT设备会将公网端口替换为对应的私网IP地址,反之亦然。
公网端口与私网端口一对一转换:这种方式下,每个公网端口都与一个特定的私网端口一一对应。当数据包从公网传输到私网时,NAT设备会将公网端口替换为对应的私网端口,反之亦然。
公网地址与私网端口一对一转换:在这种方式下,每个公网IP地址都与一个特定的私网端口一一对应。当数据包从公网传输到私网时,NAT设备会将公网IP地址替换为对应的私网端口,反之亦然。
随机转换为目的转换地址池中的地址:在这种方式下,NAT设备会从预先配置好的目的转换地址池中随机选择一个可用的地址进行转换。这种方式可以提高安全性,因为攻击者无法预测目标设备的确切IP地址。
测试一下:
HTTP服务器开启http访问服务:
使用分公司的client6去获取 DMZ区http服务器:
测试成功!!!
6、智能选路:多出口环境基于带宽比例进行选路,但是,办公区中10.0.2.10该设备只能通过电信的链路访问互联网。链路开启过载保护,保护阈值80%;
修改g1/0/1(to DX)的接口配置:
修改g1/0/2(to YD)的接口配置:
新建一个电信的链路接口:
新建一个移动的链路接口:
配置选路策略:
新建一个策略路由:
测试一下:
使用10.0.2.10 去 ping 路由器的环回接口:
在g1/0/1口抓包测试:
7、双向NAT:分公司内部的客户端可以通过域名访问到内部的服务器,公网设备也可以通过域名访问到分公司内部服务器;
首先修改公网client5,和分公司server5和client6的域名服务器地址,并且公网中的server4(NDS服务器)开启DNS服务,和分公司的server5开启http服务器。
Client5:
Client6:
Server5:
Server4(DNS服务器):
Server5(开启http服务):
[1]在FW2上面做目标NAT,使公网设备也可以通过域名访问到分公司内部服务器
安全策略:
NAT策略:
测试一下:
使用公网的客服端访问域名网址:
测试成功!!!
[2]在FW2上做双向NAT,分使公司内部的客户端可以通过域名访问到内部的服务器
NAT策略:(同一个区域中可以无需做安全策略)
测试一下:
使用分公司的client6客户端访问域名网址:
测试成功!!!
8、源NAT:游客区仅能通过移动链路访问互联网
安全策略:
NAT策略:
测试一下:
使用游客区的PC5 去 ping 路由器的环回接口:
在防火墙FW1的g1/0/2接口抓包测试:
然后我们再禁用移动链路(g1/0/2)重新测试:
使用游客区的PC5 去 ping 路由器的环回接口:
测试成功!!!!!
至此本实验全部完成。
2758
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
