实验要求:
1,DMZ区内的服务器,办公区仅能在办公时间内(9:00 - 18:00)可以访问,生产区的设备全天可以访问.
2,生产区不允许访问互联网,办公区和游客区允许访问互联网
3,办公区设备10.0.2.10不允许访问DMZ区的FTP服务器和HTTP服务器,仅能ping通10.0.3.10
4,办公区分为市场部和研发部,市场部IP地址固定,访问DMZ区使用匿名认证,研发部需要用户绑定IP地址,访问DMZ区使用免认证;
5,生产区访问DMZ区时,需要进行protal认证,设立生产区用户组织架游客区人员不固定,不允许访问DMZ区和生产区,
统一使用Guest用户登录,密码Admin@123构,至少包含三个部门,每个部门三个用户,用户统一密码openlab123,首次登录需要修改密码,用户过期时间设定为10天,用户不允许多人使用
6,创建一个自定义管理员,要求不能拥有系统管理的功能
7,办公区设备可以通过电信链路和移动链路上网(多对多的NAT,并且需要保留一个公网IP不能用来转换)
8,分公司设备可以通过总公司的移动链路和电信链路访问到Dmz区的http服务器
9,多出口环境基于带宽比例进行选路,但是,办公区中10.0.2.10该设备只能通过电信的链路访问互联网。链路开启过载保护,保护阈值80%;
10,分公司内部的客户端可以通过域名访问到内部的服务器,公网设备也可以通过域名访问到分公司内部服务器;
11,游客区仅能通过移动链路访问互联网
注意:这里的默认网关是它的对方地址
给电信和移动创建漂浮地址池
随便弄一个保留地址:(允许端口地址转换就是多对多的NAT)
办公区去电信和移动,并自动创建安全策略(实际要把电信和移动分开写)
测试成功:
分公司通过DX路去访问总公司DMZ区的HTTP
外网访问内网使用目的地址转换
源地址为分公司的出口IP地址
目的地址为电信进入DMZ的接口地址,分公司要从这个接口去访问DMZ区的HTTP服务器
自动生成安全策略:
以上两个,通过移动的接口,以此类推,
这里还测试不了,因为没有写分公司到ISP的NAT策略
10.0.2.10不允许通过移动上网,只需要把这一个禁止就行了,上面已经完成了办公区可以通过电信和移动方式上网
将电信这条链路开启过载保护
将移动这条链路开启过载保护
公网设备可以通过FW2的 g1/0/0来访问分公司
我们这里设置一个虚拟地址使外网来访问分公司
ISP访问FGS 的HTTP
外网访问内网,使用目的地址转换
目的地址:FW2的 g1/0/0地址,使用虚拟地址
目的转换地址:为FGS的HTTP服务器
并自动生成安全策略,目的地址为FGS的HTTP服务器
再写FGS访问外网的NAT策略:
自动生成安全策略路由:这时候就可以测试分公司访问DMZ的服务器了(通过电信 移动接口访问都成功)
ISP区的DNS服务器:
公网设备通过域名访问到FGS的HTTP服务器(成功)
分公司通过公网去访问自己的HTTP服务器,以此要在防火墙上做双向NAT
目的地址:是内网转为外网的g1/0/0的虚拟地址,
源地址转换池:将上面的外网地址转为内网g1/0/1的地址,因此实现两次转换(双向NAT)
目的地址是我们要访问的FGS的HTTP服务器,访问HTTP的端口为80:
链路接口给智能选路创建的虚拟链路(华为不能在实际接口)
上面创建了电信和移动的链路接口,我们在智能选路配置(带宽比例选路)
游客区访问外网走移动这条路
自动生成安全策略:
策略路由:游客去ISP走移动,走g1/0/2这个接口,下一跳为这个接口对方的IP地址
我们分别在电信和移动这两个接口 抓包,发现走的就是YD的这条链路
测试成功
电信这个接口并没有任何数据包