拓扑练习(IPSEC VPN实验)
一、实验(前需求)回顾
1、FW1和FW2组成主机模式的双机热备。
2、DMZ区存在两台服务器,现在要求生产区的设备仅能在办公时间访问(9:00-18:00),办公区的设备全天都可以访问。
3、办公区设备可以通过电信链路和移动链路上网(多对多的NAT,并且需要保留一个公网IP不能用来转换)。
4、办公区上网用户限制流量不超过60M,其中销售部人员在其基础上限制流量不超过30M,且销售一共10人,每人限制流量不超过3M。
5、销售部保证email应用在办公时间至少可以使用10M的带宽,每人至少1M。
6、多出口环境基于带宽比例进行选路,但是,办公区中10.0.2.10该设备只能通过电信链路访问互联网。
7、 分公司设备可以通过总公司的移动链路和电信链路访问到DMZ区的http服务器。
8、分公司内部的客户端可以通过域名访问到内部的服务器。
9、假设内网用户需要通过外网的web服务器和pop3邮件服务器下载文件和邮件,内网的FTP服务器也需要接受外网用户上传的文件。针对该场景进行防病毒的防护。
10、我们需要针对办公区用户进行上网行为管理,要求进行URL过滤要求在上班时间仅能访问教育/科研类,搜索/门户类网站,以及一个www.example.com或working相关URL都可以访问。
11、通过DNS过滤,实现办公区仅能使用一个域名访问公网发HTTP服务器,另一个不行。
二、本次实验目的
在FW4和FW3之间建立一条IPSEC通道,保证10.0.2.0/24网段可以正常访问到192.168.1.0/24
三、实验操作过程
1、FW4与FW3建立IPSec VPN
2、在FW3上做一个与FW4对应的就行
3、配置策略
3.1、FW4上
安全策略:
NAT策略:
3.2、FW3上
安全策略:
NAT策略:
4、PC2(10.0.2.0/24) Ping通 分公司(192.168.1.0/24)
351
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
