项目案例拓扑分析:
整个网络拓扑分三个部分:企业边界网络、DMZ区域和Inside区域,分析如下
(1)企业边界网络:路由器出接口IP可以是固定的,也有可能不固定的,IP通过DHCP获得的或拨号获得的,R1配置为PAT服务器。根据需要R1和防火墙ASA1可以合二为一,防火墙直接连入互联网。
(2)核心安全设备ASA1是路由+NAT部署模式或路由模式。接口逻辑名称,安全级别如图示配置,G2接口需要划分两个子接口G2.2和G2.3,分别封装成VLAN2和VLAN3;ASA1也可配置动态PAT。
(3)DMZ区域:C2是HTTP、FTP、Telnet、E_Mail服务器,R2可为测试用。
R2:172.16.1.10/24
C2:172.16.1.20/24
(4)Inside区域:划分2个子区域Inside2(Vlan2)和Inside3(Vlan3):
Inside2(Vlan2)接口IP:192.168.100.1/24,安全级别100。
Inside3(Vlan3)接口IP:192.168.200.1/24,安全级别100。
(5)SW2为多层交换机
划分2个VLAN:2和3;R4用户为VLan2,R5和C3用户为Vlan3.
R4:192.168.100.4/24
R5:192.168.200.5/24
C3:192.168.200.3/24
(6)SW1为普通二层交换机
3、IP地址规划
(1)Inside区域:Inside2子区域:192.168.100.0/24和Inside3子区域:192.168.200.0/24
(2)DMZ区域:172.16.1.0/24,R2和C2 IP地址如图示。
(3)ASA1和R1之间网络2个地址11.1.1.2/24和11.1.1.1/24
(4)各设备接口IP地址如拓扑图标示
四、项目实训要求
1、R1配置默认路由,配置动态PAT,允许Inside2和Inside3接口的网络访问Internet;f0/0的IP通过DHCP或拨号获得。如果ASA1也配置动态PAT,R1上动态PAT如何配置呢?
2、配置ASA1 接口G0、G1的逻辑名称、安全级别和IP地址。
3、配置ASA1 接口G2:划分2个子接口G2.2和G2.3并封装成Vlan2、Vlan3、逻辑名称分别是Inside2和Inside3、安全级别都为100,IP地址G2.2:192.168.100.1/24,G2.3:192.168.200.1/24。
4、ASA1为路由模式或为路由+NAT模式(二选一):
路由模式:配置静态默认路由
路由+NAT模式:配置动态PAT、配置静态默认路由。
5、Inside2子区域和Inside3子区域:192.168.100.0/24和192.168.200.0/24能够相互访问
6、配置R2、R4、R5的IP地址和路由
7、Inside2区域和DMZ区域能够基于TCP和UDP相互访问
8、Inside3区域和DMZ区域关于ICMP协议可根据实训需求配置以测试连通性,允许Inside3区域可以Ping通DMZ区域,但DMZ区域只有C2能与Inside3区域的C3相互Ping通。
五、实训需要知识点和技术
1、知识点:
(1)路由器和防火墙工作原理
(2)状态化连接、默认访问规则
(3)动态PAT工作原理。
2、技术:
(1)NAT配置技术
(2)ACL配置技术
(3)路由配置技术
(4)服务器配置技术
第一步、先把各个设备的接口IP配置好
> 路由器的省略,演示ASA防火墙 配置接口IP
ASA(config)# int g0
ASA(config-if)# no shutdown
ASA(config-if)# nameif outside (将g0口定义为外接口)
ASA(config-if)# security-level 0 (权限等级设置为0)
ASA(config-if)# ip addr 11.1.1.2 255.255.255.0
ASA(config-if)# int g1 (将g1口定义为dmz接口)
ASA(config-if)# no shutdown
ASA(config-if)# nameif dmz
ASA(config-if)# security-level 50 (权限等级设置为50)
ASA(config-if)# ip address 172.16.1.1 255.255.255.0
ASA(config-if)# int g2 (将g2口定义为内接口)
ASA(config-if)# no shutdown
ASA(config)# int g2.2 (进入子接口,并封装VLAN2)
ASA(config-subif)# vlan 2
ASA(config-subif)# nameif inside2
ASA(config-subif)# security-level 100
ASA(config-subif)# ip addr 192.168.100.1 255.255.255.0
ASA(config)# int g2.3
ASA(config-subif)# vlan 3 (进入子接口,并封装VLAN3)
ASA(config-subif)# nameif inside3
ASA(config-subif)# security-level 100 (权限等级设置为100)
ASA(config-subif)# ip addr 192.168.200.1 255.255.255.0
第二步、三层交换机划分VLAN 并吧相应接口加入对应VLAN
R1(config)#vlan 2
R1(config-vlan)#name vlan2
R1(config-vlan)#exit
R1(config)#vlan 3
R1(config-vlan)#name vlan3
R1(config-vlan)#exit
R1(config)#int f1/1
R1(config-if)#switchport mode access
R1(config-if)#switchport access vlan 2
R1(config)#int range f1/2 - 3
R1(config-if-range)#sw mo access
R1(config-if-range)#sw acc vlan 3
R1(config)#int f1/0
R1(config-if)#sw tr en d
R1(config-if)#sw mo tr
第三步、R2 R3 R4 ASA 配置默认路由
R2(config)#ip route 0.0.0.0 0.0.0.0 192.168.100.1
R3(config)#ip route 0.0.0.0 0.0.0.0 192.168.200.1
R4(config)#ip route 0.0.0.0 0.0.0.0 172.16.1.1
ASA(config)#route 0 0 11.1.1.1
ASA(config)#fixup protocol icmp (防火墙必须开启此命令 才可以ping通)
第四步、在企业边界路由器(R5)上配置静态路由
R5(config)#ip route 192.168.100.0 255.255.255.0 11.1.1.2
R5(config)#ip route 192.168.200.0 255.255.255.0 11.1.1.2
R5(config)#ip route 172.16.1.0 255.255.255.0 11.1.1.2
第五步、在企业边界路由器(R5)上配置PAT
R5(config)#int f0/1
R5(config-if)#ip nat outside
R5(config-if)#int f0/0
R5(config-if)#ip nat inside
R5(config)#access-list 1 permit 192.168.100.0 0.0.0.255
R5(config)#access-list 1 permit 192.168.200.0 0.0.0.255
R5(config)#ip nat inside source list 1 interface fastethernet 0/1
DMZ区域基于TCP、UDP访问Inside2区域
ASA(config)#access-list 101 extended permit tcp 172.16.1.0 255.255.255.0 192.168.100.0 255.255.255.0
ASA(config)#access-list 101 extended permit udp 172.16.1.0 255.255.255.0 192.168.100.0 255.255.255.0
ASA(config)# access-group 101 in interface dmz
Inside2子区域和Inside3子区域:192.168.100.0/24和192.168.200.0/24能够相互访问
ASA(config)# same-security-traffic permit inter-interface
结束