目录
分公司的客户端通过域名访问到内部的服务器,公网设备也可以通过域名访问到分公司内部服务器
在FW2上做双向NAT,分使公司内部的客户端可以通过域名访问到内部的服务器
注意:如果防火墙双机热备不一致,或者ping不通对应路由防火墙双机热备不一致
实验拓扑:
实验要求:
1,DMZ区内的服务器,办公区仅能在办公时间内(9:00 - 18:00)可以访问,生产区的设备全天可以访问.
2,生产区不允许访问互联网,办公区和游客区允许访问互联网
3,办公区设备10.0.2.10不允许访问DMZ区的FTP服务器和HTTP服务器,仅能ping通10.0.3.10
4,办公区分为市场部和研发部,市场部IP地址固定,访问DMZ区使用匿名认证,研发部需要用户绑定IP地址,访问DMZ区使用免认证;
游客区人员不固定,不允许访问DMZ区和生产区,统一使用Guest用户登录,密码Admin@123
5,生产区访问DMZ区时,需要进行protal认证,设立生产区用户组织架构,至少包含三个部门,每个部门三个用户,用户统一密码openlab123,首次
登录需要修改密码,用户过期时间设定为10天,用户不允许多人使用
6,创建一个自定义管理员,要求不能拥有系统管理的功能
7,办公区设备可以通过电信链路和移动链路上网(多对多的NAT,并且需要保留一个公网IP不能用来转换)
8,分公司设备可以通过总公司的移动链路和电信链路访问到Dmz区的http服务器
9,多出口环境基于带宽比例进行选路,但是,办公区中10.0.2.10该设备只能通过电信的链路访问互联网。链路开启过载保护,保护阈值80%;
10,分公司内部的客户端可以通过域名访问到内部的服务器,公网设备也可以通过域名访问到分公司内部服务器;
11,游客区仅能通过移动链路访问互联网
12,对现有网络进行改造升级,将当个防火墙组网改成双机热备的组网形式,做负载分担模式,游客区和DMZ区走FW3,生产区和办公区的流量走FW1
13,办公区上网用户限制流量不超过100M,其中销售部人员在其基础上限制流量不超过60M,且销售部一共10人,每人限制流量不超过6M
14,销售部保证email应用在办公时间至少可以使用10M的带宽,每个人至少1M
15,移动链路采用的是100M的带宽,要求游客区用户仅能占用50M,并且基于在线地址进行动态均分
16,外网访问内网服务器,下行流量不超过40M,DMZ中的每台服务器限制对外提供的最大下行带宽不超过20M。
17,假设内网用户需要通过外网的web服务器和pop3邮件服务器下载文件和邮件,内网的FTP服务器也需要接受外网用户上传的文件。针对该场景进行防病毒的防护。
18,我们需要针对办公区用户进行上网行为管理,要求进行URL过滤,要求在上班时间仅能访问教育/科研类,搜索/门户类网站,以及一个www.example.com/working相关URL都可以访问。其余都不允许访问。
19,通过DNS过滤,实现办公区仅能使用一个域名访问公网发HTTP服务器,另一个不行
基本配置
防火墙的配置
防火墙初始密码是:
Username:admin
Password:Admin@123
进去就需要修改密码,修改完毕后
进去g0/0/0端口配置ip:
[USG6000V1-GigabitEthernet0/0/0]ip address 192.168.100.1 255.255.255.0
[USG6000V1-GigabitEthernet0/0/0]service-manage all permit
对于云的配置
以上防火墙和云配置完毕就可以通过web进入可视化界面
LSW5的配置
[Huawei]vlan batch 2 to 3
[Huawei]int g0/0/2
[Huawei-GigabitEthernet0/0/2] port link-type access
[Huawei-GigabitEthernet0/0/2] port default vlan 2
[Huawei]int g0/0/3
[Huawei-GigabitEthernet0/0/3] port link-type access
[Huawei-GigabitEthernet0/0/3] port default vlan 3
[Huawei]int g0/0/1
[Huawei-GigabitEthernet0/0/1] port link-type trunk
[Huawei-GigabitEthernet0/0/1] port trunk allow-pass vlan 2 to 3
配置防火墙ip
创建安全区域
安全策略
配置让生产区到DMZ的策略
SC concem
策略
结果
配置办公区到dmz的策略
BG TO DMZ 1
策略
结果
BG TO DMZ 2
策略
结果
BG TO DMZ 3
策略
结果
BG TO ISP
策略
结果
不能ping通
因为并未对路由器设置nat这里并不能ping通。
配置游客区的策略
YK1 TO 10.0.3.10
策略
结果
YK2 TO SC
策略
结果
YK3 TO ISP
策略
结果
不能ping通
因为并未对路由器设置nat这里并不能ping通。
配置用户
创建认证域
创建用户
办公区
研发部
市场部
生产区
生产1
生产2
生产3
认证策略
配置路由器
配置路由器的ip
[ISP]int g0/0/0
[ISP-GigabitEthernet0/0/0]ip address 12.0.0.2 255.255.255.0
[ISP]int g0/0/1
[ISP-GigabitEthernet0/0/1]ip address 21.0.0.2 255.255.255.0
[ISP]int lo0
[ISP-LoopBack0]ip add 1.1.1.1 24
配置NAT策略
YK and BG to ISP
策略
结果
设置管理员
办公区设备可以通过电信链路和移动链路上网
在FW1上配置对应的NAT策略
电信
移动
配置安全策略
点击图片上的蓝字
测试结果
分公司访问总公司Dmz区的http服务器
在FW1上配置对应的服务器映射
配置总公司的安全策略
也就是点击上面的篮字
在FW2上配置对于的NAT策略
配置子公司的安全策略
测试结果
配置智能选路
在FW1上配置多出口环境基于带宽比例进行选路
全局选路策略
修改过载保护阈值
策略路由
测试结果
分公司的客户端通过域名访问到内部的服务器,公网设备也可以通过域名访问到分公司内部服务器
首先配置公网server5和子公司server4
用这个client3去测试
设计子公司去公网NAT
设计子公司去公网安全策略
后面再看回来的方法,DNS域名解析器解析完毕后,要返回23.0.0.2这个地址。
从公网到子公司的NAT
从公网到子公司的安全策略
在FW2上做双向NAT
双向NAT的公网
测试结果
以下是我把题目理解错了的做法(把题目拆开看了)
在FW2上做双向NAT,分使公司内部的客户端可以通过域名访问到内部的服务器
让子公司的Server4开启DNS服务
service 4
子公司的pc端
在FW2上做双向NAT
安全策略
测试结果
用子公司的pc去ping www.suyuhang.com
公网设备也可以通过域名访问到分公司内部服务器
配置公网pc6
在FW2上做安全策略
安全策略
测试结果
游客区仅能通过移动链路访问互联网
配置策略路由
安全策略
测试结果
没关移动接口:
关闭移动接口:
做好配置准备工作
将FW1和FW3之间的两条线做链路聚合
FW1
HRP_S[USG6000V1]int Eth-Trunk 1
HRP_S[USG6000V1]int g1/0/5
HRP_S[USG6000V1-GigabitEthernet1/0/5]eth-trunk 1
HRP_S[USG6000V1]int g1/0/6
HRP_S[USG6000V1-GigabitEthernet1/0/6]eth-trunk 1
HRP_S[USG6000V1-Eth-Trunk1]ip add 13.0.0.2 24
FW3
HRP_M[USG6000V1]int Eth-Trunk 1
HRP_M[USG6000V1]int g1/0/6
HRP_M[USG6000V1-GigabitEthernet1/0/6]eth-trunk 1
HRP_M[USG6000V1]int g1/0/5
HRP_M[USG6000V1-GigabitEthernet1/0/5]eth-trunk 1
HRP_M[USG6000V1-Eth-Trunk1]ip add 13.0.0.1 24
LSW5的0/0/4口改为Trunk模式
[Huawei] int g0/0/4
[Huawei-GigabitEthernet0/0/4] port link-type trunk
[Huawei-GigabitEthernet0/0/4] port trunk allow-pass vlan 2 to 3
FW3的安全区域
将FW3的接口ip配置好
防火墙组网改成双机热备
FW1的配置
FW3的配置
注意:等到双机热备启动好等一分钟,记住同步配置
注意:可能策略路由可能不会同步,需要手动配置
注意:路由策略不能用出接口,都用地址池配置
最终结果
FW1
FW3
注意:如果防火墙双机热备不一致,或者ping不通对应路由
防火墙双机热备不一致
这个经常主备不一致,我将接口配置一致就好了,如果发生这种事可能是这个原因也可能是时间还没到要等60s,也可能是还有其他原因。
ping不通对应路由
1.等到双机热备启动好等一分钟,记住同步配置
2.可能策略路由可能不会同步,需要手动配置
3.路由策略不能用出接口,都用地址池配置
办公区的带宽管理
要求
条件13和14其实是作用在一个区域的。
办公区上网用户限制流量不超过100M,其中销售部人员在其基础上限制流量不超过60M,且销售部一共10人,每人限制流量不超过6M。
销售部保证email应用在办公时间至少可以使用10M的带宽,每个人至少1M。
分析
带宽通道
BG区上网总流量
BG区销售部
BG区销售部对email类应用
带宽策略
BG区上网总流量
BG区销售部
BG区销售部对email类应用
注意
这里其实需要创建安全策略的,但是我在前11个条件里就已经把策略创建好了,如果你没有创建,可以点下面的蓝字创建安全策略。
移动区的带宽管理
要求
移动链路采用的是100M的带宽,要求游客区用户仅能占用50M,并且基于在线地址进行动态均分。
分析
因为采用100M的带宽,我们可以去接口处直接配置,就只需要配置游客区的带宽通道和带宽策略了。
移动采用100M的带宽
带宽通道
游客区用户上网的带宽通道
带宽策略
游客区在公网上网的带宽策略
最终效果
外网访问内网服务器的带宽管理
要求
外网访问内网服务器,下行流量不超过40M,DMZ中的每台服务器限制对外提供的最大下行带宽不超过20M。
分析
内网就dmz区有服务器,然后下行流量不超过40M就是下行带宽最大40M,DMZ中的每台服务器限制对外提供的最大下行带宽不超过20M也就是说外网用户到DMZ区的下行的服务器每台最大为20M。
带宽通道
外网访问内网服务器
带宽策略
外网访问内网服务器
注意
这里其实需要创建安全策略的,但是我在前11个条件里就已经把策略创建好了,如果你没有创建,可以点下面的蓝字创建安全策略。