项目案例拓扑分析:
整个网络拓扑分三个部分:企业边界网络、DMZ区域和Inside区域,分析如下
(1)企业边界网络:路由器出接口IP可以是固定的,也有可能不固定的,IP通过DHCP获得的或拨号获得的,R1配置为PAT服务器。根据需要R1和防火墙ASA1可以合二为一,防火墙直接连入互联网。
(2)核心安全设备ASA1是路由+NAT部署模式或路由模式。接口逻辑名称,安全级别如图示配置,G2接口需要划分两个子接口G2.2和G2.3,分别封装成VLAN2和VLAN3;ASA1也可配置动态PAT。
(3)DMZ区域:C2是HTTP、FTP、Telnet、E_Mail服务器,R2可为测试用。
R2:172.16.1.10/24
C2:172.16.1.20/24
(4)Inside区域:划分2个子区域Inside2(Vlan2)和Inside3(Vlan3):
Inside2(Vlan2)接口IP:192.168.100.1/24,安全级别100。
Inside3(Vlan3)接口IP:192.168.200.1/24,安全级别100。
(5)SW2为多层交换机
划分2个VLAN:2和3;R4用户为VLan2,R5和C3用户为Vlan3.
R4:192.168.100.4/24
R5:192.168.200.5/24
C3:192.168.200.3/24
(6)SW1为普通二层交换机
3、IP地址规划
(1)Inside区域:Inside2子区域:192.168.100.0/24和Inside3子区域:192.168.200.0/24
(2)DMZ区域:172.16.1.0/24,R2和C2 IP地址如图示。
(3)ASA1和R1之间网络2个地址11.1.1.2/24和11.1.1.1/24
(4)各设备接口IP地址如拓扑图标示
四、项目实训要求
1、R1配置默认路由,配置动态PAT,允许Inside2和Inside3接口的网络访问Internet;f0/0的IP通过DHCP或拨号获得。如果ASA1也配置动态PAT,R1上动态PAT如何配置呢?
2、配置ASA1 接口G0、G1的逻辑名称、安全级别和IP地址。
3、配置ASA1 接口G2:划分2个子接口G2.2和G2.3并封装成Vlan2、Vlan3、逻辑名称分别是Inside2和Inside3、安全级别都为100,IP地址G2.2:192.168.100.1/24,G2.3:192.168.200.1/24。
4、ASA1为路由模式或为路由+NAT模式(二选一):
路由模式:配置静态默认路由
路由+NAT模式:配置动态PAT、配置静态默认路由。
5、Inside2子区域和Inside3子区域:192.168.100.0/24和192.168.200.0/24能够相互访问
6、配置R2、R4、R5的IP地址和路由
7、Inside2区域和DMZ区域能够基于TCP和UDP相互访问
8、Inside3区域和DMZ区域关于ICMP协议可根据实训需求配置以测试连通性,允许Inside3区域可以Ping通DMZ区域,但DMZ区域只有C2能与Inside3区域的C3相互Ping通。
五、实训需要知识点和技术
1、知识点:
(1)路由器和防火墙工作原理
(2)状态化连接、默认访问规则
(3)动态PAT工作原理。
2、技术:
(1)NAT配置技术
(2&#x
最低0.47元/天 解锁文章
扫一扫
01-04
10-24
01-18
2874
2874
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
