首先呢,我们要构建一个简单拓扑图,这个拓扑图是我用华为ensp搭建的,如果大家对路由交换方面感兴趣的话,可以自己下一个ensp照着我的文章把这个技术学一学做一做
首先给大家介绍一下这张拓扑图它是由一个华为的6000V防火墙以及华为的2200的三台路由器,一个服务器,还有一个http客户端构成的
我们将这个拓扑图分为trust区域以及untrust区域,trust就模拟我们的局域网,untrust区域就模拟成我们的外网,我们要实现的目标就是在局域网内部署ospf协议,然后做双向nat转换使外网的http客户端能够访问内部局域网的服务器。
第一步:先让我们配置一下防火墙的IP,设置区域并把不同的接口添加至不同的区域,然后在防火墙上写一个简单的安全策略,以便各路由器与防火墙的数据包能够通讯,和ospf协议部署
1.让我们进入防火墙的端口配置和各终端设备连接的接口IP(拓扑上我已经规划好网段)
2.让我们进入trust和untrust区域,然后划分不同的接口到不同的区域
3.让我们写一个安全策略,取名字为ospf,进入安全策略以后,写原区域为trust和local,目的区域也是一样的、执行的操作是允许的,这里要为大家解释一下,为什么原区域和目标区域是一样的,因为我们做ospf协议是在内网做的,而且只能在内网做,我们不可能把外网的路由器引进我们内网的里面吧,这样是不允许的
4.我们要进入ospf然后在area0里面通告我们之前配置的IP,除连接外网的3.3.3.0的网段以外
5.我们进入R1配置接口的IP,然后在ospf的area0里面通告我们配置的IP
6.配置R2的接口IP以及在ospf的area0、area1通告配置的IP
7.配置R3的接口IP以及在ospf的area1通告配置的IP(额,忘截图了,给大家手动输一下命令吧
)
net 10.1.4.0 0.0.0.255
net 192.168.1.0 0.0.0.255
8.配置服务器的IP以及http客户端IP以及服务
9.让我们在来写一个安全策略,取名为web 然后它原区域为untrust区域(因为们访问是通过http客户端访问的,http客户端是在外网,我们外网的区域为untrust,目的区域当然是trust区域啦,然我们要写目标地址为192.168.1.1也就是我们服务器的地址啦 允许所有操作)
10.我们要做一个nat映射,将我们内网服务器的IP地址192.168.1.1映射到我们边界防火墙的连接外网的接口的ip地址上也就是3.3.3.254 且将内部服务器的80端口转换为3.3.3.254的8080端口
11.当我们的http客户端去访问我们内网的服务器的时候它是访问失败的,那是为什么呢?让我们抓包看一下
很简单,我们http的请求的数据包很明显就已经访问到了我们内部局域网的服务器,因为我们的nat转换将3.3.3254转换为了192.168.1.1 ,所以我们去用http客户端访问3.3.3.254:8080的时候就直接被转换成为了192.168.1.1:80 ,但是数据包为什么回不来呢?因为我们访问的时候做了nat,但是我们数据包返回的时候并没有路径返回到3.3.3.3 也就是路由表中没有3.3.3.3这条路由,所以我们要在做一个easynat,给它来一个反向的nat,让返回的数据包可以出去
12.写一个nat策略,然后策略和之前写的原目的区域和地址都一样,然后最后我们要写上启用easynat ,这样我们的内网的地址就转换为外网的啦
让我们访问一下,然后抓取一下数据包
数据包上很明显就显示了然后转换后的地址变成了10.1.2.254 ,这样我们的数据包一来一回就可以出去啦,就直接访问成功
如果说我们看数据包看的不清楚的话,我们可以查看一下防火墙的会话状态
这样我们就看的很清楚了,3.3.3.3的地址转换为了10.1.2.254 我们的3.3.3.3访问3.3.3.254:8080时也就是访问了192.168.1.1,然后我们数据包返回到10.1.2.254时同时也就转为为了3.3.3.3 然后我们才能够访问到咱们的内部服务器
2241
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
