目录
3.3 写一条智能选路的路由 --- 10.0.2.10该设备只能通过电信的链路访问互联网
3.4 题中要求走电信,创建一条通过电信的链路访问互联网的策略
实验拓扑图
实验要求:
7,办公区设备可以通过电信链路和移动链路上网(多对多的NAT,并且需要保留一个公网IP不能用来转换
8,分公司设备可以通过总公司的移动链路和电信链路访问到Dmz区的http服务器
9,多出口环境基于带宽比例进行选路,但是,办公区中10.0.2.10该设备只能通过电信的链路访问互联网。链路开启过载保护,保护阈值80%;
10,分公司内部的客户端可以通过域名访问到内部的服务器,公网设备也可以通过域名访问到分公司内部服务器;
11,游客区仅能通过移动链路访问互联网
实验思路
1.做好相关设备IP的配置
2.创建电信和移动区域,以及区域的相关策略
3.修改带宽比例,以及写一条10.0.2.10访问互联网走电信的策略
4.创建一条分公司和公网设备通过域名访问内部服务器的策略 ---- 建立双向NAT
5.设置游客的移动链路访问互联网
基于NAT的简单知识点:
- A.源nat --- (包含:静态nat,动态nat以及NAPT)-
- 五元组nat和三元组nat ---- (开启端口转换的情况下才起作用)
- 三元组nat:源IP、源MAC、协议 --- 仅识别源IP,根据这三个参数来区分一次NAT的链接;
- 五元组nat:源IP、目标IP、源MAC、目标IP、协议
- 用五个参数来标定一次nat的转换,如果任何一个参数发生变化,都需要更换端口来进行转换;
- 端口预分配:可以设定端口转换使用的端口范围
- 源IP地址数量限制:可以设定一个公网IP地址转换的源IP地址数量;比如:设置为1,则公网IP地址在会话表老化时间之前,只能针对一个IP地址进行转换;
- 保留IP地址:可以将不需要使用公网的IP地址防止哎IP地址中,则在进行转换的时候,不会使用该地址转换;
- 注意:安全策略先开始执行,再nat技术去抓取流量,抓到的就是转换前的IP;如果先nat,安全策略针对的就是公网IP了,也就是转换后的IP;
- 1,将不同的接口放置在不同的区域中,基于区域做NAT策略
- 2,将不同的接口放在同一个区域,基于接口做NAT策略
- B.目标nat ---- 基于目标IP地址进行转换
- 注意:目标nat在安全策略之前;要先转IP地址,再匹配安全策略,不转化的话,就匹配不到安全策略;
- 静态NAT --- 公网访问私网
- 端口映射/服务器映射
- C.双向nat --- 同时转换源IP和目标IP
实验步骤
1. 给路由器R1配置IP
[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]ip add 12.0.0.2 24
[R1-GigabitEthernet0/0/0]int g0/0/2
[R1-GigabitEthernet0/0/2]ip add 21.0.0.2 24
[R1-GigabitEthernet0/0/2]int g4/0/0
[R1-GigabitEthernet4/0/0]ip add 100.0.0.1 24[R1-GigabitEthernet4/0/0]int loopback 0
[R1-LoopBack0]ip add 1.1.1.1 32
FW2:
记得要勾选ping选项!方便后面测试!
测试结果:内网主机可以访问内网服务器
2.创建区域
2.1 电信:
2.2 移动:
并将接口划入区域:
3.办公区的NAT策略
新建NAT策略
注意:安全策略先开始执行,再nat技术去抓取流量,抓到的就是转换前的IP;如果先nat,安全策略针对的就是公网IP了,也就是转换后的IP;所以,这里我们需要点新建安全策略!
3.1 服务器映射(移动链路)
注意:公网地址----写出口地址;私网地址----写需要到的地址
测试结果:
3.2 写一条分公司访问总公司的nat策略
测试结果:
3.3 写一条智能选路的路由 --- 10.0.2.10该设备只能通过电信的链路访问互联网
3.4 题中要求走电信,创建一条通过电信的链路访问互联网的策略
3.5创建一条分公司和公网设备通过域名访问内部服务器的策略
给FE2配置IP,并更改G0/0/0口的IP
[USG6000V1]int g1/0/0
[USG6000V1-GigabitEthernet1/0/0]ip add 23.0.0.1 24
公网与分公司的端口映射:
注意:一定要新建安全策略;按理说应该先做安全策略,再做nat策略,这里是因为偷懒直接就新建安全策略啦;
4.游客区写一条NAT,只针对移动做一条easy ip
配置安全策略
1757
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
