综合实验

最新推荐文章于 2023-08-08 17:00:15 发布
最新推荐文章于 2023-08-08 17:00:15 发布
阅读量936 收藏 12
点赞数 2
分类专栏: 华为数通网络 文章标签: 网关 网络 安全 华为
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiaoyuzhou_132/article/details/115434326
版权

综合实验----双机热备、IPSec、FTP、NAT Server

目录

实验环境

在这里插入图片描述

实验目的

1.规划并配置IP地址,并实现私网访问公网(Client1)

2.通过IPSec VPN技术实现总部和分部互访(只允许PC1和PC2互访)

3.分部服务器(Server1)对公网用户提供FTP服务(公网地址为200.1.2.20/24)

4.总部FW1和FW2使用双机热备技术提高可靠性:

​ 上连ISP的VRRP虚拟地址为200.1.2.10/24

​ 下连私网的VRRP虚拟地址为192.168.3.10/24

​ 实现主备部署(FW1为主,FW2为备)

5.所有防火墙连接ISP的区域属于untrust区域;连接私网主机的区域属于trust区域;连接服务器(Server1)的区域属于DMZ区域;防火墙互联的区域属于DMZ区域。

具体步骤

1.规划网络配置IP并配置基本路由

PC1

IP:192.168.3.20 掩码:24 网关:192.168.3.10

PC2

IP:192.168.1.20 掩码:24 网关:192.168.1.254

Client1

IP:200.1.1.20 掩码:24 网关:200.1.1.254

Server1

IP:192.168.2.20 掩码:24 网关:192.168.2.254

R1

<Huawei>sys
[Huawei]sy R1
[R1]int g0/0/2
[R1-GigabitEthernet0/0/2]ip add 200.1.1.254 24
[R1-GigabitEthernet0/0/2]int g0/0/1
[R1-GigabitEthernet0/0/1]ip add 200.1.3.2 24. 
[R1-GigabitEthernet0/0/1]int g0/0/0
[R1-GigabitEthernet0/0/0]ip add 200.1.2.3 24
[R1-GigabitEthernet0/0/0]q
[R1]ospf 
[R1-ospf-1]ar 0	
[R1-ospf-1-area-0.0.0.0]network 200.1.1.0 0.0.0.255
[R1-ospf-1-area-0.0.0.0]network 200.1.2.0 0.0.0.255
[R1-ospf-1-area-0.0.0.0]network 200.1.3.0 0.0.0.255

FW3

<USG6000V1>sys
[USG6000V1]sy FW3
[FW3]int g1/0/0
[FW3-GigabitEthernet1/0/0]ip add 200.1.3.1 24
[FW3-GigabitEthernet1/0/0]int g1/0/1
[FW3-GigabitEthernet1/0/1]ip add 192.168.1.254 24
[FW3-GigabitEthernet1/0/1]int g1/0/2
[FW3-GigabitEthernet1/0/2]ip add 192.168.2.254 24
[FW3-GigabitEthernet1/0/2]q
[FW3]ospf
[FW3-ospf-1]ar 0    //area 0
[FW3-ospf-1-area-0.0.0.0]int g1/0/0
[FW3-GigabitEthernet1/0/0]os e a 0    //ospf enable area 0

FW2

<USG6000V1>sy
[USG6000V1]sy FW2
[FW2]int g1/0/0
[FW2-GigabitEthernet1/0/0]ip add 200.1.2.2 24
[FW2-GigabitEthernet1/0/0]int g1/0/1
[FW2-GigabitEthernet1/0/1]ip add 192.168.3.2 24
[FW2-GigabitEthernet1/0/1]int g1/0/2
[FW2-GigabitEthernet1/0/2]ip add 10.1.1.2 24
[FW2-GigabitEthernet1/0/2]q
[FW2]ospf
[FW2]ospf 
[FW2-ospf-1]ar 0    //area 0
[FW2-ospf-1-area-0.0.0.0]int g1/0/0
[FW2-GigabitEthernet1/0/0]os e a 0    //ospf enable area 0

FW1

<USG6000V1>sy
[USG6000V1]sy FW1
[FW1]int g1/0/0
[FW1-GigabitEthernet1/0/0]ip add 200.1.2.1 24
[FW1-GigabitEthernet1/0/0]int g1/0/1
[FW1-GigabitEthernet1/0/1]ip add 192.168.3.1 24
[FW1-GigabitEthernet1/0/1]int g1/0/2
[FW1-GigabitEthernet1/0/2]ip add 10.1.1.1 24
[FW1-GigabitEthernet1/0/2]q
[FW1]ospf 
[FW1-ospf-1]ar 0    //area 0
[FW1-ospf-1-area-0.0.0.0]int g1/0/0
[FW1-GigabitEthernet1/0/0]os e a 0    //ospf enable area 0

2.使用IPSec VPN技术实现总部和分部互访

FW3

//接口加入安全域
[FW3]firewall zone untrust	
[FW3-zone-untrust]add interface g1/0/0
[FW3-zone-untrust]q	
[FW3]firewall zone trust 
[FW3-zone-trust]add int g1/0/1
[FW3-zone-trust]q	
[FW3]firewall zone  dmz 
[FW3-zone-dmz]add int g1/0/2
//配置IPSec策略
[FW3]ike proposal 1
[FW3-ike-proposal-1]				//这里使用系统默认的认证和加密的加密方式
[FW3-ike-proposal-1]q
[FW3]ike peer FW12	
[FW3-ike-peer-FW12]pre-shared-key huawei	
[FW3-ike-peer-FW12]ike-proposal 1
[FW3-ike-peer-FW12]remote-address 200.1.2.10
[FW3-ike-peer-FW12]q
[FW3]acl 3000
[FW3-acl-adv-3000]	
[FW3-acl-adv-3000]rule permit ip source 192.168.1.0 0.0.0.255 destination192.168.3.0 0.0.0.255
[FW3-acl-adv-3000]q
[FW3]ipsec proposal 1
[FW3-ipsec-proposal-1]di th			//这里使用系统默认的认证和加密的加密方式
2021-04-01 03:40:14.010 
#
ipsec proposal 1
esp authentication-algorithm sha2-256
esp encryption-algorithm aes-256
#
return
[FW3-ipsec-proposal-1]q
[FW3]ipsec policy runtime 10 isakmp
[FW3-ipsec-policy-isakmp-runtime-10]security acl 3000
[FW3-ipsec-policy-isakmp-runtime-10]ike-peer FW12
[FW3-ipsec-policy-isakmp-runtime-10]proposal 1
//配置访问的静态路由
[FW3]ip route-static 192.168.3.0 24 200.1.3.2
//为接口添加IPSec策略
[FW3]int g1/0/0
[FW3-GigabitEthernet1/0/0]ipsec policy runtime 
//配置安全策略
[FW3]security-policy
[FW3-policy-security]rule name	
[FW3-policy-security]rule name u_l
[FW3-policy-security-rule-u_l]source-zone untrust	
[FW3-policy-security-rule-u_l]destination-zone local 
[FW3-policy-security-rule-u_l]source-address 200.1.2.10 32
[FW3-policy-security-rule-u_l]destination-address 200.1.3.1 24   //32
[FW3-policy-security-rule-u_l]service esp	
[FW3-policy-security-rule-u_l]action permit
[FW3-policy-security-rule-u_l]q
[FW3-policy-security]rule name u_t
[FW3-policy-security-rule-u_t]source-zone untrust trust 	
[FW3-policy-security-rule-u_t]destination-zone trust  untrust 
[FW3-policy-security-rule-u_t]source-address 192.168.3.0 24
[FW3-policy-security-rule-u_t]source-address 192.168.1.0 24
[FW3-policy-security-rule-u_t]destination-address 192.168.1.0 24
[FW3-policy-security-rule-u_t]destination-address 192.168.3.0 24
[FW3-policy-security-rule-u_t]action permit 
[FW3-policy-security-rule-u_t]q
[FW3-policy-security]q
//创建isakmp服务
[FW3]ip service-set isakmp type object 
[FW3-object-service-set-isakmp]service protocol  udp source-port 500
[FW3-object-service-set-isakmp]q
//配置安全策略(关于isakmp报文交互)
[FW3]security-policy
[FW3-policy-security]rule name isakmp	
[FW3-policy-security-rule-isakmp]source-zone untrust local 	
[FW3-policy-security-rule-isakmp]destination-zone local untrust 
[FW3-policy-security-rule-isakmp]source-address 200.1.2.10 32
[FW3-policy-security-rule-isakmp]source-address 200.1.3.1 32
[FW3-policy-security-rule-isakmp]destination-address 200.1.3.1 32
[FW3-policy-security-rule-isakmp]destination-address 200.1.2.10 32
[FW3-policy-security-rule-isakmp]service isakmp 
[FW3-policy-security-rule-isakmp]action permit 
[FW3-policy-security-rule-isakmp]q
[FW3-policy-security]q

FW2

//接口加入安全域
[FW2]firewall zone trust 
[FW2-zone-trust]add int g1/0/1
[FW2-zone-trust]q
[FW2]firewall zone untrust 
[FW2-zone-untrust]add int g1/0/0
[FW2-zone-untrust]q	
[FW2]firewall zone dmz 
[FW2-zone-dmz]add int g1/0/2
//配置防火墙的双机热备(FW2为备)
[FW2]int g1/0/1
[FW2-GigabitEthernet1/0/1]vrrp vrid 2 virtual-ip 192.168.3.10 standby
[FW2-GigabitEthernet1/0/1]int g1/0/0
[FW2-GigabitEthernet1/0/0]vrrp vrid 1 virtual-ip 200.1.2.10 standby 
[FW2]hrp int g1/0/2 remote 10.1.1.1
[FW2]hrp enable 
//配置访问的静态路由
HRP_S[FW2]ip route-static 192.168.1.0 24 200.1.2.3

FW1

//接口加入安全域
[FW1]firewall zone untrust 
[FW1-zone-untrust]add int g1/0/0
[FW1-zone-untrust]q	
[FW1]firewall zone trust 
[FW1-zone-trust]add int g1/0/1
[FW1-zone-trust]q
[FW1]firewall zone  dmz 
[FW1-zone-dmz]add int g1/0/2
//配置防火墙的双机热备(FW1为主)
[FW1]int g1/0/1
[FW1-GigabitEthernet1/0/1]vrrp vrid 2 virtual-ip 192.168.3.10 active 
[FW1-GigabitEthernet1/0/1]int g1/0/0
[FW1-GigabitEthernet1/0/0]vrrp vrid 1 virtual-ip 200.1.2.10 active
[FW1]hrp int g1/0/2 remote 10.1.1.2
[FW1]hrp enable
//配置访问的静态路由
HRP_M[FW1]ip route-static 192.168.1.0 24 200.1.2.3

FW1&FW2

//配置IPSec策略
HRP_M[FW1]acl 3000 (+B)	
HRP_M[FW1-acl-adv-3000]rule permit ip source 192.168.3.0 0.0.0.255 destination 192.168.1.0 0.0.0.255 (+B)
HRP_M[FW1-acl-adv-3000]q
HRP_M[FW1]ikeproposal 1 (+B)			//这里使用系统默认的认证和加密的加密方式
HRP_M[FW1-ike-proposal-1]di th
2021-04-01 04:35:29.880 
#
ike proposal 1
encryption-algorithm aes-256
dh group14
authentication-algorithm sha2-256
authentication-method pre-share
integrity-algorithm hmac-sha2-256
prf hmac-sha2-256
#
return
HRP_M[FW1-ike-proposal-1]q
HRP_M[FW1]ipsec proposal 1 (+B)			//这里使用系统默认的认证和加密的加密方式
HRP_M[FW1-ipsec-proposal-1]di th
2021-04-01 04:36:10.010 
#
ipsec proposal 1
esp authentication-algorithm sha2-256
esp encryption-algorithm aes-256
#
return
HRP_M[FW1-ipsec-proposal-1]q
HRP_M[FW1]ike peer FW3 (+B)
HRP_M[FW1-ike-peer-FW3]pre-shared-key huawei (+B)	
HRP_M[FW1-ike-peer-FW3]ike-proposal 1 (+B)
HRP_M[FW1-ike-peer-FW3]remote-address 200.1.3.1 (+B)
HRP_M[FW1-ike-peer-FW3]q
HRP_M[FW1]ipsec policy runtime 10 isakmp  (+B)
HRP_M[FW1-ipsec-policy-isakmp-runtime-10]security acl 3000 (+B)
HRP_M[FW1-ipsec-policy-isakmp-runtime-10]proposal 1 (+B)	
HRP_M[FW1-ipsec-policy-isakmp-runtime-10]ike-peer FW3 (+B)
HRP_M[FW1-ipsec-policy-isakmp-runtime-10]q
//为接口添加IPSec策略
HRP_M[FW1]int g1/0/0 (+B)
HRP_M[FW1-GigabitEthernet1/0/0]ipsec policy runtime  (+B)
//配置安全策略
HRP_M[FW1]security-policy (+B)
HRP_M[FW1-policy-security]rule name u_l (+B)	
HRP_M[FW1-policy-security-rule-u_l]source-zone untrust  (+B)
HRP_M[FW1-policy-security-rule-u_l]destination-zone local  (+B)
HRP_M[FW1-policy-security-rule-u_l]source-address 200.1.3.1 32 (+B)
HRP_M[FW1-policy-security-rule-u_l]destination-address 200.1.2.10 24 (+B)
HRP_M[FW1-policy-security-rule-u_l]service esp  (+B)
HRP_M[FW1-policy-security-rule-u_l]action permit  (+B)
HRP_M[FW1-policy-security-rule-u_l]q
HRP_M[FW1-policy-security]rule name u_t (+B)	
HRP_M[FW1-policy-security-rule-u_t]source-zone trust  untrust  (+B)
HRP_M[FW1-policy-security-rule-u_t]destination-zone untrust  trust  (+B)
HRP_M[FW1-policy-security-rule-u_t]source-address 192.168.3.0 24 (+B)
HRP_M[FW1-policy-security-rule-u_t]source-address 192.168.1.0 24 (+B)
HRP_M[FW1-policy-security-rule-u_t]destination-address 192.168.1.0 24 (+B)
HRP_M[FW1-policy-security-rule-u_t]destination-address 192.168.3.0 24 (+B)
HRP_M[FW1-policy-security-rule-u_t]action permit  (+B)
HRP_M[FW1-policy-security-rule-u_t]q
HRP_M[FW1-policy-security]q
//创建isakmp服务
HRP_M[FW1]ip service-set isakmp type object  (+B)
HRP_M[FW1-object-service-set-isakmp]service protocol  udp source-port 500 (+B)
//配置安全策略(关于isakmp报文交互)
HRP_M[FW1]security-policy  (+B)
HRP_M[FW1-policy-security]rule name isakmp (+B)
HRP_M[FW1-policy-security-rule-isakmp]source-zone untrust local  (+B)
HRP_M[FW1-policy-security-rule-isakmp]destination-zone local untrust  (+B)
HRP_M[FW1-policy-security-rule-isakmp]source-address 200.1.3.1 32 (+B)
HRP_M[FW1-policy-security-rule-isakmp]source-address 200.1.2.10 32 (+B)
HRP_M[FW1-policy-security-rule-isakmp]destination-address 200.1.2.10 32 (+B)
HRP_M[FW1-policy-security-rule-isakmp]destination-address 200.1.3.1 32 (+B)
HRP_M[FW1-policy-security-rule-isakmp]service isakmp  (+B)
HRP_M[FW1-policy-security-rule-isakmp]action permit  (+B)

3.实现总部访问公网

FW1

//实现内网到外网NAT地址转换
HRP_M[FW1]nat address-group 1  //(+B)不加B,但行得通,自己两个都配,最后删了一个
HRP_M[FW1-address-group-1]section 200.1.2.11 //(+B)
HRP_M[FW1-address-group-1]q
HRP_M[FW1]nat-policy (+B)
HRP_M[FW1-policy-nat]rule name no_nat (+B)
HRP_M[FW1-policy-nat-rule-no_nat]source-zone trust  (+B)
HRP_M[FW1-policy-nat-rule-no_nat]destination-zone untrust  (+B)
HRP_M[FW1-policy-nat-rule-no_nat]source-address 192.168.3.0 24 (+B)
HRP_M[FW1-policy-nat-rule-no_nat]destination-address 192.168.1.0 24	 (+B)
HRP_M[FW1-policy-nat-rule-no_nat]action no-nat (+B)
HRP_M[FW1-policy-nat-rule-no_nat]q
HRP_M[FW1-policy-nat]rule name nat (+B)
HRP_M[FW1-policy-nat-rule-nat]source-zone trust (+B)
HRP_M[FW1-policy-nat-rule-nat]destination-zone untrust (+B)
HRP_M[FW1-policy-nat-rule-nat]source-address 192.168.3.0 24 (+B)
HRP_M[FW1-policy-nat-rule-nat]action source-nat address-group 1 (+B)
HRP_M[FW1-policy-nat-rule-nat]q
HRP_M[FW1-policy-nat]q
//配置内网到外网NAT地址转换的安全策略
HRP_M[FW1]security-policy (+B)
HRP_M[FW1-policy-security]rule name nat (+B)
HRP_M[FW1-policy-security-rule-nat]source-zone trust  (+B)	
HRP_M[FW1-policy-security-rule-nat]destination-zone untrust  (+B)	
HRP_M[FW1-policy-security-rule-nat]source-address 192.168.3.0 24 (+B)
HRP_M[FW1-policy-security-rule-nat]action permit  (+B)
//配置默认路由
HRP_M[FW1]ip route-static 0.0.0.0 0 200.1.2.3

4.实现分部服务器(Server1)对公网用户提供FTP服务

FW3

//配置NAT Server的安全策略
[FW3]security-policy
[FW3-policy-security]rule name ftp
[FW3-policy-security-rule-ftp]source-zone untrust 
[FW3-policy-security-rule-ftp]destination-zone dmz
[FW3-policy-security-rule-ftp]destination-address 192.168.2.20 24
[FW3-policy-security-rule-ftp]action permit 
[FW3-policy-security-rule-ftp]q
[FW3-policy-security]q
//配置NAT Server
[FW3]nat server huaweiftp global 200.1.3.20 inside 192.168.2.20

5.实现分部访问公网

FW3

//实现内网到外网NAT地址转换
[FW3]nat address-group 1
[FW3-address-group-1]section 200.1.3.12
[FW3-address-group-1]q
[FW3]nat-policy
[FW3-policy-nat]rule name no_nat
[FW3-policy-nat-rule-no_nat]source-zone trust 
[FW3-policy-nat-rule-no_nat]destination-zone untrust
[FW3-policy-nat-rule-no_nat]source-address 192.168.1.0 24
[FW3-policy-nat-rule-no_nat]destination-address 192.168.3.0 24
[FW3-policy-nat-rule-no_nat]action no-nat
[FW3-policy-nat-rule-no_nat]q
[FW3-policy-nat]rule name nat
[FW3-policy-nat-rule-nat]source-zone trust
[FW3-policy-nat-rule-nat]destination-zone untrust
[FW3-policy-nat-rule-nat]source-address 192.168.1.0 24
[FW3-policy-nat-rule-nat]action source-nat address-group 1
[FW3-policy-nat-rule-nat]q
[FW3-policy-nat]q
//配置内网到外网NAT地址转换的安全策略
[FW3]security-policy	
[FW3-policy-security]rule name nat
[FW3-policy-security-rule-nat]source-zone trust
[FW3-policy-security-rule-nat]destination-zone untrust
[FW3-policy-security-rule-nat]source-address 192.168.1.0 24
[FW3-policy-security-rule-nat]action permit
[FW3-policy-security-rule-nat]q
[FW3-policy-security]q
//配置默认路由
[FW3]ip route-static 0.0.0.0 0 200.1.3.2

结果测试

总部私网主机PC1访问公网

在这里插入图片描述

对访问过程抓包

在这里插入图片描述
通过ping结果和抓包分析可以得出总部内网主机成功访问公网。

总部私网PC1访问分部主机PC2

在这里插入图片描述

对访问过程抓包

在这里插入图片描述
通过ping结果和抓包分析可以得出总部与分部内的内网主机成功实现安全互访。

分部私网主机PC2访问公网

在这里插入图片描述

对访问过程抓包

在这里插入图片描述
通过ping结果和抓包分析可以得出分部内网主机成功访问公网。

分部服务器对公网用户提供FTP服务

客户端
在这里插入图片描述

服务器端

在这里插入图片描述

对访问过程抓包

在这里插入图片描述
在这里插入图片描述

总结

在做综合实验的过程中发现实验并不是很困难,只是在配置过程中需仔细看清配置内容,尽量减少失误,这样可以减少最后排查问题的复杂程度。实现防火墙双机热备下NAT访问公网时,仅需在主机处实现NAT后,备份机也会拥有相同NAT转换策略,即可实现内网主机访问公网的热备。

J1anYuBLOG
关注
  • 2
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
firewalld综合实验
VLadimir_的博客
01-17 485
实验拓扑 实验要求 连接互联网主机的网卡划分至external区域 连接公司内部主机的网卡划分至trusted区域 连接企业内部网站服务器的网卡划分至dmz区域 网站服务器和网关服务器均通过SSH的12345端口来管理 网站服务器上开启HTTP协议 网站服务器拒绝来自任何位置的ping 网关服务器拒绝来自互联网上的ping 公司内部主机通过网关服务器共享上网 互联网用户通过网关服务器访问企业内...
数据库系统设计综合实验
01-12
在这个“C#-可视化-数据库系统设计综合实验”中,我们将深入探讨如何利用C#编程语言和可视化工具来构建一个功能完备的数据库应用。实验报告通常会涵盖设计过程、实现细节、遇到的问题以及解决方案。 首先,C#是一种...
ENSP防火墙综合实验(GRE、IPSec、NAT通信)【防火墙安全策略】
热门推荐
JohnnyG2000的博客
05-18 1万+
防火墙综合实验一、实验要求1. 总部需要通过VPN与分支和合作伙伴进行通信2. 分支机构(Branch)员工使用NGFW接入总部。要求实现分支机构安全访问IPSec保护的总部内网服务器。3. 合作伙伴(Partner)使用NGFW接入总部。要求实训合作伙伴通过GRE隧道与总部进行通信。4. 所有的客户端可以通过公网IP地址来访问WEB服务器二、实验拓补三、实验配置1. 防火墙安全区域划分(包括Tunnel接口)2. 静态路由3. GRE配置4. IPSec VPN配置5. Easy-ip配置6. NAT S
ENSP配置防火墙和路由器双机热备
10-22
涉及的技术NAT、VRRP、OSPF、HA、VGMP,里面含命令和讲解,在我的博客上面有写Cisco的配置欢迎大家一起交流学习
ERP综合实验
02-08
有完整的实验用例是本书的标志性用途之一。是本人从网上购得的。
H3C-HCL大规模路由综合实验
最新发布
11-04
H3C-HCL大规模路由综合实验 本实验的主要目的是为了实现一个大规模路由综合实验,包括了OSPF、RIP和BGP等多种路由协议的应用。实验的网络拓扑结构如下所示: * 总公司和分公司之间通过两条线路相连,每个公司内部...
CCNA综合实验
08-18
### CCNA综合实验知识点解析 #### 一、CCNA认证简介 CCNA(Cisco Certified Network Associate)是由全球知名网络设备供应商思科系统公司推出的认证体系之一。CCNA认证旨在证明获得该认证的专业人士具备安装、配置...
防火墙技术案例5_双机热备(负载分担)组网下的IPSec配置.pdf
11-26
防火墙技术案例5_双机热备(负载分担)组网下的IPSec配置.pdf
IA综合实验.topo
11-11
该实验涉及到配置Trunk和Access,配置VLAN,VLANif,DHCP,STP,OSPF,缺省路由,NAT,PPP,OSPF,DNS,ACL
汇编综合实验
11-14
汇编综合实验: 1.对于实验七的冒泡排序,需要进一步做如下处理: 第一组:汇编程序编程 A.子程序调用,做成一个文件,包含输入输出和中间的排序。 B.各自做成不同的文件,但采用包含的方式; C.做汇编的模块化编程...
思科综合实验
12-21
一些大佬做的,觉得不错,分享给大家,个人觉得还是挺实用的
华为eNSP拓扑综合实验-HCIA综合
11-01
华为eNSP拓扑综合实验-HCIA综合】 华为eNSP(Enterprise Network Simulation Platform)是一款强大的网络仿真工具,广泛用于模拟和测试各种网络环境,尤其在华为认证的学习和考试中扮演着重要角色。本实验是针对...
ensp综合实验双机热备IPSecFTP
jjc321506301915的博客
04-06 3710
作业十八:综合实验 文章目录作业十八:综合实验实验要求实验环境实验步骤规划并配置IP划分区域配置OSPF配置双机热备配置静态路由配置VRRP配置心跳接口配置IPSec配置安全策略检查连通性配置访问公网的ClientNAT配置配置安全策略检查连通性配置FTP配置NAT配置安全策略配置ASPF检查连通性实验总结 实验要求 实验环境 实验步骤 规划并配置IP PC1: PC2: Client1: Server1: R1: [R1]int g0/0/2 [R1-GigabitEthernet0/0/2]
华为防火墙双机热备
weixin_46503909的博客
03-31 495
双机热备基本组网 配置主备备份的双机热备,FW1为主用,FW2为备用 VRRP1的虚拟IP为10.1.1.253,VRRP2的虚拟IP为202.100.1.253 心跳接口需要配置remote参数 FW底层配置 sysname FW1 # interface GigabitEthernet1/0/1 ip address 10.1.1.10 255.255.255.0 service-manage ping permit # interface GigabitEthernet1/0/0..
安全进阶:防火墙双机组网环境中的 IPSecVPN 实验配置
网络技术联盟站
08-07 618
在完成配置后,FW3会与主防火墙FW1完成IPSecVPN隧道的建立,FW1会将建立好的IPSecSAs同步到备份防火墙FW2上,主备防火墙的IPSec SAs的策略、入站及出站的SPI都是一样的。IPSecVPN相关策略的配置在主防火墙FW1上配置即可,这些配置会自动同步到备份防火墙FW2上,不过,在接口上应用IPSec Policy的这一条命令,是需要在主备防火墙相应的接口上都做配置的,因为这条命令不会自动同步。配置完成后,FW1/FW2会进行主备协商,FW1成为主防火墙,FW2成为备份防火墙。
网络安全---NAT与双机热备
m0_67756456的博客
08-08 109
源NAT、Server NAT、域内双向NAT、域间双向NAT源NAT主要应用于私网用户访问公网Server NAT主要用于内网服务器向公网提供服务域内双向NAT主要用于内网用户通过域名或公网ip访问本地的内网服务器域间双向NAT主要用于内网服务器需要避免配置公网路由(缺省路由)的情况下,则可以对外网用户的源IP地址也进行转换,转换后的源IP地址与服务器的私网地址在同一网段。这样内部服务器会将回应报文发给网关来转发回应报文。
交换机端口聚合实战:CCNP综合实验步骤详解
在CCNP综合实验中,我们关注的是如何利用以太信道(EtherChannel)技术来提高网络带宽和冗余性。实验的主要目标是通过配置两台交换机(SW1和SW2)的Fast Ethernet端口,将多条物理链路聚合为逻辑链路,从而实现链路...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值