earthtoearth
这个作者很懒,什么都没留下…
展开
-
防火墙综合实验
IPv4 地址 . . . . . . . . . . . . : 172.16.14.101。子网掩码 . . . . . . . . . . . . : 255.255.255.25。子网掩码 . . . . . . . . . . . . : 255.255.255.0。IPv4 地址 . . . . . . . . . . . . : 155.1.2.10。默认网关. . . . . . . . . . . . . : 155.1.2.100。原创 2024-09-03 16:57:15 · 237 阅读 · 0 评论 -
ensp中的智能选路
1、设置各连接接口及LOOPBACK口IP,其中loopback口设定为内外(10.1.0.0/24)和外网1(150.1.0.0/24)、外网2(130.1.0.0/24)a、在整个区域启用ospf并宣告网络(此处省略............)a、采用“链路带宽负荷分担”方式新建两个链路接口。2、在防火墙上设置NAT转换easy-ip。在ensp中通过防火墙实现智能选路。5、验证内网能够ping通外网。3、在防火墙设置安全策略。b、在防火墙引入默认路由。1、web界面中的设置。原创 2024-06-17 14:22:36 · 460 阅读 · 0 评论 -
DNS透明代理
外网连接两个ISP分别为R2和R3,并分别提供两个DNS1和DNS2,对应到相同的域名www.quw.com(地址分别对应155.1.2.10和136.1.2.10)对于内网用户通过防火墙IPS路由、智能选路带宽分担及透明DNS功能由内网向外网访问域名www.quw.com,由防火墙根据带宽选择具体的路由和DNS以及主机。2、在R1和防火墙之间,R2及R3之间启用ospf路由,并在各端口启用ospf(此处省略)3、在防火墙上设置接口区域、安全策略等相关内容。1、设置ISP选路策略。原创 2024-06-20 10:27:08 · 617 阅读 · 0 评论 -
BGP综合实验
配置思路:使R1传送4.4.4.0时的ASPATH的路劲为2、3,传送5.5.5.0时的ASPATH路径为2、2、3;使R3传送5.5.5.0时的ASPATH路径为2、3,传送4.4.4.0时的ASPATH的路劲为2、2、3。(六)在R4上通告4.4.4.0,在R5上通告5.5.5.0,要求R6访问5.5.5.0时优先使用R4,R6访问4.4.4.0时优先使用R5,通过med属性实现,在R6上实现配置。(五)在R3上将R2发来的2.2.2.0和192.168.2.0的路由的起源属性改为“?原创 2024-07-03 15:48:59 · 690 阅读 · 0 评论 -
服务器负载均衡
如图所示配置相应的接口地址,此处省略。一、网络拓扑及设计思路。原创 2024-06-23 17:24:10 · 404 阅读 · 0 评论 -
站点到站点VPN
按拓扑所示配置相应的接口地址并将接口加入相应的区域。(此处省略.............)在两个防火墙之间建立站点到站点VPN,使PC1可以ping通PC2。防火墙2的配置与与防火墙1相同,但需更改对端地址和对端名称。原创 2024-06-26 11:22:29 · 815 阅读 · 0 评论 -
BGP团体属性
2、对AS1和AS2宣告的路由(1.1.1.1和2.2.2.2)进行过滤,不允许通过AS345向另外AS进行宣告,阻止AS1和AS2通过AS345进行通信。(一)在R1、R2、R3R4R5分别配置AS号为1、2、345的BGP路由。在R1及R2上针对1.1.1.1和2.2.2.2地址配置团体属性。(二)在R3及R4上宣告传送团体属性,并根据团队属性禁止向其他AS宣告路由。(二)在R3R4R5配置OSPF路由(此处省略)(一)按拓扑所示配置相应的接口地址(此处省略)1、配置BGP团体属性并查看其宣告特点。原创 2024-06-21 16:54:44 · 682 阅读 · 0 评论 -
点到多点VPN
实验思路:在IPSEC服务与客户端之间建立IPSEC通道,其中服务端IP地址固定,客户端IP地址不固定。在IPSEC拨号分支端的IPSEC策略上添加如上命令,使没有流量同样能够建立IPSEC。上述设置情况下仅能通过PC2发起(IPSEC拨号分支)发起才能建立IPSEC。(二)按拓扑所示配置防火墙区域接口、安全策略等(此处省略)(二)防火墙端口拨号服务端、IPSEC拨号客户端设置。(一)按拓扑所示配置接口地址(此处省略)(三)防火墙IPSEC拨号服务端设置。(一)路由器端口拨号服务端设置。原创 2024-06-27 11:16:39 · 980 阅读 · 0 评论 -
BGP路由汇总与协议首选值
3、Preferred-Value:对接收的路由进行调整,值越大越优,只对本设备有效,不会发布到其他设备,非常适合于仅在本路由设备优选路由的情况。1、在BGP的可选非过渡属性中有两个属性:Aggregator和Preferred-Value,本实验主要对上述两个属性进行验证和说明。2、Aggregator:对接收的路由进行汇总,并可通过detail-suppressed命令仅发布汇总路由抑制明细路由的发送;(一)如图所示配置接口地址(此处省略)(二)如图所示配置BGP(此处省略)配置隐藏明细路由功能。原创 2024-06-24 15:32:41 · 899 阅读 · 0 评论 -
智能选路——策略路由
实验一:AR1两个地址通过设置于FW1上的策略路由访问150.1.2.2外网地址,通过策略路由设置,分别实现通过155.1.122.0/24访问和通过136.1.123.0/24访问。3、将FW1上g1/0/0,g0/0/0加入trust区域,将g1/0/1,g1/0/2加入untrust区域。2、在AR1与FW1,AR2与AR3之间配置OSPF路由(此处省略)1、按拓扑所示地址配置各接口地址(此处省略)实验二:在两条路由上设置相互备份。2、打开防火墙上的ICMP回应。1、FW1通过WEB界面配置。原创 2024-06-18 10:57:31 · 429 阅读 · 0 评论 -
GRE over IPSEC
实验思路:通过虚拟接口设置GRE隧道,使用ospf宣告路由,通过GRE联通PC1和PC2;第二步启用IPSEC传输模式,通过IPSEC方式承载GRE联通PC1和PC2。安装拓扑所示配置相应的即可地址。(此处省略...............)FW2上的配置与FW1上一致,但需修改响应的IP地址和对端。FW2上的配置与FW1上一致,但需修改响应的IP地址和对端。在隧道接口及内网接口上启用OSPF。(二)GRE over IPSEC。(二)GRE over IPSEC。(一)单纯GRE配置。原创 2024-06-30 20:34:25 · 943 阅读 · 0 评论 -
IPSEC在NAT场景中所遇到的问题
如上图所示配置相应的接口地址和主机地址(此处省略..........)(一)FW1和FW2通过IPSEC及NAT实现跨外网连接。FW1和FW2防火墙之间设置站点到站点IPSEC vpn。在FW1和FW3启用OSPF并设置默认路由。FW2安全策略与FW1相同。三、详细配置及结果验证。FW3防火墙NAT设置。原创 2024-07-02 17:06:18 · 550 阅读 · 0 评论 -
防火墙虚拟系统
1、正向引流表(目的地址匹配,服务器访问虚拟系统B,节约根系统资源)1、在防火墙上启动虚拟系统,设置相应的接口、路由,实现各系统互联;2、反向引流表(源地址匹配,虚拟系统访问服务器,节省根系统资源)(二)引流表配置(为减少防火墙上的引流表,节约防火墙资源)2、并通过引流表对虚拟系统进行优化,节省根系统资源。(一)实现PC1与服务器,服务器与PC2互通。2、在VRF_A上设置静态路由。(三)实现PC1至PC2互通。3、在根系统上设置静态路由。一、实验思路和网络拓扑。原创 2024-06-21 11:24:52 · 924 阅读 · 0 评论 -
防火墙虚拟系统与交换机虚拟系统(防火墙旁挂)
3、路由规划:采用OSPF路由,交换机对应不同用户的虚拟系统VRF_A和VRF_B分布对应区域1和区域2,防火墙上的两个虚拟系统VRF_A和VRF_B分布对应区域1和区域2,防火墙上的根系统和路由器接口对应区域0。2、交换机与防火墙之间使用链路聚合,分别设置4个逻辑接口,这四个接口分别两两对应两个防火墙虚拟系统实例VRF_A和VRF_B,其中交换机侧使用VLANIF接口,防火墙侧使用子接口。在虚拟系统VRF_B中与在VRF_A总相同,此处省略............在虚拟系统中设置接口等内容。原创 2024-06-22 23:53:40 · 1152 阅读 · 0 评论 -
VPN远程同时连接:IPsec站点到站点方式及L2TPoverIPsecVPN方式
255.255.255.255 255.255.255.255 在链路上 127.0.0.1 455。255.255.255.255 255.255.255.255 在链路上 155.1.2.10 450。来自 10.1.12.10 的回复: 字节=32 时间=9ms TTL=254。来自 10.1.12.10 的回复: 字节=32 时间=8ms TTL=254。3、总部VPN拨号:L2TP模式、虚拟接口、拨号用户。原创 2024-08-15 14:18:28 · 778 阅读 · 0 评论 -
多点GRE over IPsecVPN模式下nhrp的调优
(一)如图所示配置接口地址和区域,连接PC的接口位于trust区域、连接路由器的接口位于untrue区域、虚拟接口位于DMZ区域(此处省略......)(五)配置IPsecVPN,其中Ike peer的对端为ALL模式,IPsec的策略使用profile方式设置(此处省略......)(四)在tunnel接口下将ospf网络类型设置为broadcast模式,并设置FW1为根节点(此处省略......)(二)在配置nhrp shortcut后,多了目标的内网地址和公网地址的映射。原创 2024-07-09 11:35:49 · 760 阅读 · 0 评论 -
防火墙虚拟系统综合实验1
1、接口地址配置:防火墙接口地址外网为.12,内网虚拟墙侧均为.254,内网PC1和server均为.10,外网PC为.105,如图所示配置相应接口地址及终端地址。在根系统上配置路由使外网能够访问内网服务器端、使内网客户端访问内网服务器端,使内网能够访问外网。在两个虚拟系统设置路由使其能够访问根系统。3、nat server配置。虚拟系统连接服务器端。原创 2024-08-13 14:14:07 · 958 阅读 · 0 评论 -
防火墙双机热备加IPsec负载分担
实验目的:在PC1和PC2直接建立防火墙ipsecvpn双机热备及负载分担,其中需要解决IPsecVPN如何通过tunnel口对应总部问题、IPsecVPN反向路由动态注入问题、IPsecVPN总部ping通分支vpn单独建立问题。(二)在R1、FW1和FW2上启用ospf并宣告路由10.1.0.0,在防火墙上设置静态路由指向R2并联通R2上的loopback地址,并下发缺省路由default-route-advertise。(三)在防火墙上启动防火墙双机热备并配置为负荷分担方式。1、FW1和FW2配置。原创 2024-07-12 17:25:23 · 1564 阅读 · 0 评论 -
链路聚合加单臂路由
实验目的:在路由器及交换机之间建立链接聚合,交换机接入两台主机并通过路由器子接口自动分配IP地址,通过单臂路由实现两台主机互联。原创 2024-07-26 17:39:08 · 667 阅读 · 0 评论 -
多点mGRE over IPsecVPN 配置及NHRP的使用
(一)多点mGRE的配置,将传统GRE隧道点对点类型的tunnel接口扩展为点到多点类型的mGRE隧道,并在tunnel接口实现NHRP(下一跳地址解析地址)的静态表项设置,设置静态路由后实现PC1与PC2和PC3的联通。(二)同样是mGRE设置,但通过NHRP(下一跳地址解析地址)的动态表项,实现PC1、PC2、PC3的联通。(二)将防火墙连接PC的接口g1/0/1全部设置于信任区域,连接路由器的接口设置于非信任区域(此处省略)2、NHRP(下一跳地址解析地址)的静态设置。1、使用p2mp网络类型。原创 2024-07-05 17:09:20 · 1040 阅读 · 0 评论 -
L2TP(Client-initiated模式)over IPSEC远程拨号实验
其中L2TPoverIPsec客户端采用windows软终端模式(Cloud3),AR1上将内网LNS(FW1)服务器采用NAT方式向外网进行映射。(二)在R1和FW1上建立ospf宣告内网路由,在R1下发缺省路由,在g0/0/0口通过NAT映射宣告防火墙地址。1、IPSEC配置(注意必须采用传输模式,注意3des及sha1等算法需与Windows系统一致)在FW1(LNS)上验证IPsec,L2TP连接情况。(一)在FW1(LNS)服务端上配置。(一)如图所示配置相应接口地址。设置L2TP用户地址。原创 2024-07-19 16:36:39 · 1130 阅读 · 0 评论 -
防火墙双机热备实验
实验目的:在FW1和FW2上设置双机热备、配置VRRP虚拟地址及IPSECvpn,实现与FW3能够通过互访。(三)在内网R1/FW1/FW2上配置ospf并宣告路由10.1.0.0。(一)按拓扑所示配置接口地址(此处省略)(二)在防火墙上配置默认路由指向公网地址。(一)配置防火墙双机热备。一、实验目的及网络拓扑。原创 2024-07-11 11:26:59 · 861 阅读 · 0 评论 -
SSL VPN综合实验
实验目的:构建企业内网和企业分支站点,其中企业内网通过防火墙实现双机热备并且与企业分支固定站点实现站点到站点IPsec VPN互联,与企业分支移动站点实现SSL VPN互联,企业内网各主机可以实现对分支站点内网的互通以及对外网互联网的访问,企业内网各主机之间通过虚拟防火墙隔离并通过设置静态路由实现相互访问。子网掩码 . . . . . . . . . . . . : 255.255.255.2。默认网关. . . . . . . . . . . . . : 155.1.2.100。原创 2024-08-08 14:57:15 · 1129 阅读 · 0 评论 -
BGP引流与回注实验
(三)在FW1上将g1/0/0接口设置在UNtrust区域,将g1/0/1接口设置在trust区域,将tunnel口设置在dmz区域。(二)在FW1上设置到服务器的32位静态路由并将其通过BGP映入R1,使R1的的路由表将通往服务器的流量引流至FW1。(三)在FW1环回口与R2环回口之间建立GRE隧道,设置静态路由使通往服务器的路由指向隧道口,并取消原设置的静态路由。(二)在R1/R2/FW1之间建立OSPF,在各端口启用OSPF路由,实现IGP路由互通。(一)再R1和FW1之间建立BGP邻居。原创 2024-07-31 11:35:52 · 899 阅读 · 0 评论 -
DSVPN综合实验(NHRP之shortcut模式,证书认证模式)
1、打开win server2016,在服务器管理器中配置IIS服务器和AD域服务器,并打开页面http://主机IP地址/certsrv,下载CA根证书并保存至电脑。(二)各防火墙配置接口地址并将连接pc、连接路由器、虚拟接口地址加入trust、untrust和dmz区域,在防火墙上及R1上启用ospf并宣告路由10.1.0.0。2、在CA生成根证书,打开防火墙web管理页面上传根证书,生成本地证书并在向CA申请证书后再上传至防火墙。将防火墙所生成的本地证书下载并上传至CA并在CA总申请证书。原创 2024-07-10 14:20:23 · 873 阅读 · 0 评论 -
L2TP远程拨号配置实验
首先在客户端云与NAS(FW2)之间建立PPPoE连接,其次NAS(FW2)与服务端FW1之间通过L2TP方式建立隧道,最后客户端云与服务端FW1之间通过PPP方式建立连接。(二)将两个防火墙外网接口加入untrue,将两个内容接口加入trust,将两个虚拟模板接口加入dmz区域。(一)在FW2(NAS)上配置PPPoE服务器端和L2TP用户端。(二)在FW1(LNS)上配置。(一)根据拓扑设置各接口地址。1、配置ppp拨号用户地址池。5、将虚接口加入dmz区域。NAS端FW2上验证结果。原创 2024-07-18 14:48:16 · 934 阅读 · 0 评论 -
基于L2TP隧道部署Call-LNS方式接入
首先在站点(FW1)至站点(FW2)之间建立L2TP隧道,其中FW1是NAS、FW2是LNS;其次在建立的L2TP隧道上建立PPP连接实现远程认证和连接。在客户端设置NAT转换,用于内网地址从虚模板接口出去后服务器端能够对客户端虚模板包进行回应,并使两个内网主机能够ping通。(二)将相应端口加入trust和untrust,并将默认的虚模板0加入dmz区域。(一)LNS(FW2)服务端配置。(一)按拓扑图配置相应接口。(二)设置NAS用户端。原创 2024-07-18 16:59:52 · 800 阅读 · 0 评论 -
防火墙多链路冗余备份
在FW1和FW2之间建立两条IPsecVPN链路冗余备份,其中FW2通过tunnel1和tunnel2口与FW1进行连接,主备路由采用路由优先级进行控制,后期可通过IPlink检测连通性的方式进行检测。(二)在R1/R2/R3上启用ospf,并宣告路由155.1.0.0和150.1.0.0(此处省略)(三)在防火墙上将端口加入155网段端口加入trust,将10网段加入untrust区域(此处省略)(一)在FW1上配置静态路由用于主备路由选择,在FW2上配置静态路由。(二)配置IPsec。原创 2024-07-15 17:38:46 · 1058 阅读 · 0 评论 -
SSL vpn远程接入配置实验
127.0.0.1 255.255.255.255 在链路上 127.0.0.1 331。255.255.255.255 255.255.255.255 在链路上 127.0.0.1 331。255.255.255.255 255.255.255.255 在链路上 155.1.2.10 281。原创 2024-07-25 10:06:58 · 1491 阅读 · 0 评论 -
基于VPF部署虚拟网络
sa binding vpn-instance VRF_OUT //配置IPSEC隧道流量所述的vpn实例。sa binding vpn-instance VRF_A //配置IPSEC隧道流量所述的vpn实例。sa bingding vpn-instance VRF_A //指定IPsec隧道绑定的vpn实例。在防火墙之间构建站点到站点VPN,并且解决防火墙的虚拟防火墙VPF内部和VPF之间的虚拟网络部署问题。(三)多虚拟防火墙VRF之间的渗透。(一)在防火墙上配置VPF。原创 2024-07-16 15:48:28 · 1330 阅读 · 0 评论 -
IPsec VPN综合实验
2、在分支通过路由器向外宣告防火墙NAT SERVER。3、在分支和总部自己建立站点到站点VPN并实现负载分担。(三)在R2上使用NAT SERVER防火墙3地址。1、防火墙1和防火墙2总部站点配置。1、在总部通过防火墙建立双机热备。配置隧道并将隧道加入DMZ区域。如拓扑所示配置相应端口地址。2、防火墙3分支站点配置。原创 2024-08-06 16:16:26 · 767 阅读 · 0 评论 -
SSL vpn远程接入防火墙共享型配置实验
来自 10.1.121.10 的回复: 字节=32 时间=6ms TTL=255。来自 10.1.121.10 的回复: 字节=32 时间=8ms TTL=255。来自 155.1.2.100 的回复: 字节=32 时间=9ms TTL=255。来自 150.1.1.1 的回复: 字节=32 时间=12ms TTL=255。来自 150.1.1.1 的回复: 字节=32 时间=14ms TTL=255。(二)FW1地址和区域配置需区分根系统、虚拟系统OA和虚拟系统RD。3、切换到虚拟系统OA。原创 2024-07-25 15:00:09 · 1398 阅读 · 0 评论 -
防火墙综合实验
1、在交换机1和交换机2之间设立trunk链路trunk12包含g/0/21和g/0/22,设置为trunk接口并允许所有VLAN通过。5、将交换机1和交换机2的g/0/12端口设置为两台防火墙之间的心跳线,将VLAN设置为254,端口类型为access。4、将交换机3的g/0/1、g/0/2、g/0/3口设置为access接口并设置VLAN为10、20、100。2、将交换机1的g/0/23和交换机2的g/0/24设置为trunk接口并允许所有VLAN通过。原创 2024-08-05 16:25:25 · 795 阅读 · 0 评论 -
防火墙入侵防御实验
实验目的:在防火墙上配置入侵防御(跨站脚本攻击)策略并在安全策略应用,通过虚拟机访问进行验证。1、如图所示配置接口地址(省略)4、配置nat server。在安全策略中应用入侵防御策略。原创 2024-08-15 10:10:10 · 407 阅读 · 0 评论