目录
分公司的客户端通过域名访问到内部的服务器,公网设备也可以通过域名访问到分公司内部服务器
在FW2上做双向NAT,分使公司内部的客户端可以通过域名访问到内部的服务器
实验需求
实验拓扑图
题目要求
1,DMZ区内的服务器,办公区仅能在办公时间内(9:00 - 18:00)可以访问,生产区的设备全天可以访问.
2,生产区不允许访问互联网,办公区和游客区允许访问互联网
3,办公区设备10.0.2.10不允许访问DMZ区的FTP服务器和HTTP服务器,仅能ping通10.0.3.10
4,办公区分为市场部和研发部,市场部IP地址固定,访问DMZ区使用匿名认证,研发部需要用户绑定IP地址,访问DMZ区使用免认证;
游客区人员不固定,不允许访问DMZ区和生产区,统一使用Guest用户登录,密码Admin@123
5,生产区访问DMZ区时,需要进行protal认证,设立生产区用户组织架构,至少包含三个部门,每个部门三个用户,用户统一密码openlab123,首次
登录需要修改密码,用户过期时间设定为10天,用户不允许多人使用
6,创建一个自定义管理员,要求不能拥有系统管理的功能
7,办公区设备可以通过电信链路和移动链路上网(多对多的NAT,并且需要保留一个公网IP不能用来转换)
8,分公司设备可以通过总公司的移动链路和电信链路访问到Dmz区的http服务器
9,多出口环境基于带宽比例进行选路,但是,办公区中10.0.2.10该设备只能通过电信的链路访问互联网。链路开启过载保护,保护阈值80%;
10,分公司内部的客户端可以通过域名访问到内部的服务器,公网设备也可以通过域名访问到分公司内部服务器;
11,游客区仅能通过移动链路访问互联网
实验步骤
前六个要求
前面六个要求我之前的博客已经完成了,在下面链接里
办公区设备可以通过电信链路和移动链路上网
在FW1上配置对应的NAT策略
电信
移动
配置安全策略
点击上面图片里的蓝字
测试结果
分公司访问总公司Dmz区的http服务器
在FW1上配置对应的服务器映射
配置总公司的安全策略
也就是点击上面的篮字
在FW2上配置对于的NAT策略
配置子公司的安全策略
测试结果
配置智能选路
在FW1上配置多出口环境基于带宽比例进行选路
全局选路策略
修改过载保护阈值
策略路由
测试结果
分公司的客户端通过域名访问到内部的服务器,公网设备也可以通过域名访问到分公司内部服务器
首先配置公网server5和子公司server4
用这个client3去测试
设计子公司去公网NAT
设计子公司去公网安全策略
后面再看回来的方法,DNS域名解析器解析完毕后,要返回23.0.0.2这个地址。
从公网到子公司的NAT
从公网到子公司的安全策略
在FW2上做双向NAT
双向NAT的公网
测试结果
以下是我把题目理解错了的做法(把题目拆开看了)
在FW2上做双向NAT,分使公司内部的客户端可以通过域名访问到内部的服务器
让子公司的Server4开启DNS服务
service 4
子公司的pc端
在FW2上做双向NAT
安全策略
测试结果
用子公司的pc去ping www.suyuhang.com
公网设备也可以通过域名访问到分公司内部服务器
配置公网pc6
在FW2上做安全策略
安全策略
测试结果
游客区仅能通过移动链路访问互联网
配置策略路由
安全策略
测试结果
没关移动接口:
关闭移动接口:
1602
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
