目录
4、多对多的NAT,并且需要保留一个公网IP不能用来转换,实现办公区设备可以通过电信链路和移动链路上网
(1)首先在防火墙FW1上面新创建两块安全区域[电信、移动]。
(2)修改防火墙FW1的g1/0/1和g1/0/2的安全区域:
(3)做NAT策略(源NAT)并且需要保留一个公网IP不能用来转换,实现办公区设备可以通过电信链路和移动链路上网 [注意你做好NAT策略之后系统会自动为你生成一个安全策略,很便利。]
5、NAT策略(在防火墙FW2上面做源NAT,在防火墙FW1上面做目标NAT),使得分公司设备可以通过总公司的移动链路和电信链路访问到Dmz区的http服务器
6、智能选路:多出口环境基于带宽比例进行选路,但是,办公区中10.0.2.10该设备只能通过电信的链路访问互联网。链路开启过载保护,保护阈值80%;
7、双向NAT:分公司内部的客户端可以通过域名访问到内部的服务器,公网设备也可以通过域名访问到分公司内部服务器;
[1]在FW2上面做目标NAT,使公网设备也可以通过域名访问到分公司内部服务器
[2]在FW2上做双向NAT,分使公司内部的客户端可以通过域名访问到内部的服务器
一、实验拓扑图
二、实验要求
1、DMZ区的服务器,办公区仅能在办公时间内(9:00-18:00)可以访问,生产区设备全天都是可以访问的
2、生产区不允许访问互联网,办公区和游客区允许访问互联网
3、办公区设备10.0.2.20不允许访问DMZ区的FTP服务器和HTTP服务器,仅能ping通10.0.3.10
4、办公区分为市场部和研发部,研发部IP地址固定,访问DMZ区使用匿名认证,研发部需要用户绑定IP地址,访问DMZ区使用免认证;
游客区人员不固定,不允许访问DMZ区和生产区,统一使用Guest用户登录,密码Admin@123,游客仅有访问公司门户网站和上网的权利,门户网站地址10.0.3.10
5、生产区访问DMZ区时,需要进行protal认证,设立生产区用户架构,至少包含三个部门,每个部门三个用户,用户统一密码openlab123,
首次登录需要修改密码,用户过期时间设定为10天,用户不允许多人使用
6、创建一个自定义管理员,要求不能拥有系统管理的功能
【前六个要求已经实现,需要查看请前往】http://t.csdnimg.cn/H4gGO
http://实验要求前6条
7、办公区设备可以通过电信链路和移动链路上网(多对多的NAT,并且需要保留一个公网IP不能用来转换)
8、分公司设备可以通过总公司的移动链路和电信链路访问到Dmz区的http服务器
9、多出口环境基于带宽比例进行选路,但是,办公区中10.0.2.10该设备只能通过电信的链路访问互联网。链路开启过载保护,保护阈值80%;
10、分公司内部的客户端可以通过域名访问到内部的服务器,公网设备也可以通过域名访问到分公司内部服务器;
11、游客区仅能通过移动链路访问互联网
三、实验思路
- 每个设备都配置好IP地址保证都是呈现双UP的,将我们一些新增的设备启动并配置好IP地址,还要做好防火墙FW2的网络配置。
- 要会做NAT策略中的多对多NAT,会保留IP地址,还有双向NAT和智能选路策略配置
- 进行相应的服务测试,抓包查看其数据流通效果或者策略匹配命中情况。
四、实验步骤
1、FW2的网络相关配置:
开启防火墙后需要登录用户名和密码,第一次默认的用户名:admin,密码:Admin@123;
登录成功之后需要修改你的密码才能进入防火墙的用户视图。
防火墙的g0/0/0口默认的IP地址为192.168.0.1/24;但是我们需要在浏览器中打开FW2的web服务就需要将g0/0/0接口的IP地址修改为192.168.142.20/24与我们Clound中虚拟网卡通一个网段才行。
在防火墙中g0/0/0口中开启所有的服务:
[USG6000V1-GigabitEthernet0/0/0]service-manage all permitFW2的g1/0/0:
FW2的g1/0/1:
注意在启动访问控制的那里都将ping命令勾选,便于后面的测试。
2、路由器需要增加的(接口)命令配置
ISP:
[ISP]int g3/0/0
[ISP-GigabitEthernet3/0/0]ip add 100.0.0.1 24
[ISP-GigabitEthernet3/0/0]dis ip int bri
3、新增加的PC、client、sever的IP地址配置:
PC2IP地址更改:
PC3:
PC6:
Client4:
Client5:
Client6:
Server4:
Server5:
4、多对多的NAT,并且需要保留一个公网IP不能用来转换,实现办公区设备可以通过电信链路和移动链路上网
(1)首先在防火墙FW1上面新创建两块安全区域[电信、移动]。
(2)修改防火墙FW1的g1/0/1和g1/0/2的安全区域:
(3)做NAT策略(源NAT)并且需要保留一个公网IP不能用来转换,实现办公区设备可以通过电信链路和移动链路上网 [注意你做好NAT策略之后系统会自动为你生成一个安全策略,很便利。]
需要新创建一个源地址转池:这里我们将配置黑洞路由勾选(防止路由环路,还可以引入到OSPF等动态路由协议中发布出去),允许端口地址转换取消勾选(因为我们这里是多对多的NAT,源NAT地址转换,如果勾选了端口地址转换,就成了端口映射,成了目标NAT)
根据你写的NAT策略系统自动生成的安全策略:
NAT策略:
测试一下:
使用PC2 ping ISP的环回地址:
观察防火墙FW1的server-map表的地址转换记录情况(走的是电信的12.0.0.3):
<USG6000V1>dis firewall server-map :
再使用client2去ping 路由器的环回地址:
观察防火墙FW1的server-map表的地址转换记录情况(走的是电信的12.0.0.4):
<USG6000V1>dis firewall server-map :
再使用client4去ping 路由器的环回地址:
观察防火墙FW1的server-map表的地址转换记录情况(走的是移动的21.0.0.3):
<USG6000V1>dis firewall server-map :
电信和移动两条链路负载均衡,办公区上网的时候均有通过,且我们的保留地址未出现。
测试成功!!!
5、NAT策略(在防火墙FW2上面做源NAT,在防火墙FW1上面做目标NAT),使得分公司设备可以通过总公司的移动链路和电信链路访问到Dmz区的http服务器
(1)防火墙FW2上做源NAT:
新建源地址转换池:
安全策略:
NAT策略:
(2)在防火墙FW2上面做目标NAT:
新建一个目的地址转换池:
安全策略:
NAT策略(这里的目标地址应该为防火墙接口IP地址12.0.0.1):
简单解释说明一下目的地址转换方式:
公网地址与私网地址一对一转换:这种方式下,每个公网IP地址都与一个特定的私网IP地址一一对应。当数据包从公网传输到私网时,NAT设备会将公网IP地址替换为对应的私网IP地址,反之亦然。
公网端口与私网地址一对一转换:在这种方式下,每个公网端口都与一个特定的私网IP地址一一对应。当数据包从公网传输到私网时,NAT设备会将公网端口替换为对应的私网IP地址,反之亦然。
公网端口与私网端口一对一转换:这种方式下,每个公网端口都与一个特定的私网端口一一对应。当数据包从公网传输到私网时,NAT设备会将公网端口替换为对应的私网端口,反之亦然。
公网地址与私网端口一对一转换:在这种方式下,每个公网IP地址都与一个特定的私网端口一一对应。当数据包从公网传输到私网时,NAT设备会将公网IP地址替换为对应的私网端口,反之亦然。
随机转换为目的转换地址池中的地址:在这种方式下,NAT设备会从预先配置好的目的转换地址池中随机选择一个可用的地址进行转换。这种方式可以提高安全性,因为攻击者无法预测目标设备的确切IP地址。
测试一下:
HTTP服务器开启http访问服务:
使用分公司的client6去获取 DMZ区http服务器:
测试成功!!!
6、智能选路:多出口环境基于带宽比例进行选路,但是,办公区中10.0.2.10该设备只能通过电信的链路访问互联网。链路开启过载保护,保护阈值80%;
修改g1/0/1(to DX)的接口配置:
修改g1/0/2(to YD)的接口配置:
新建一个电信的链路接口:
新建一个移动的链路接口:
配置选路策略:
新建一个策略路由:
测试一下:
使用10.0.2.10 去 ping 路由器的环回接口:
在g1/0/1口抓包测试:
7、双向NAT:分公司内部的客户端可以通过域名访问到内部的服务器,公网设备也可以通过域名访问到分公司内部服务器;
首先修改公网client5,和分公司server5和client6的域名服务器地址,并且公网中的server4(NDS服务器)开启DNS服务,和分公司的server5开启http服务器。
Client5:
Client6:
Server5:
Server4(DNS服务器):
Server5(开启http服务):
[1]在FW2上面做目标NAT,使公网设备也可以通过域名访问到分公司内部服务器
安全策略:
NAT策略:
测试一下:
使用公网的客服端访问域名网址:
测试成功!!!
[2]在FW2上做双向NAT,分使公司内部的客户端可以通过域名访问到内部的服务器
NAT策略:(同一个区域中可以无需做安全策略)
测试一下:
使用分公司的client6客户端访问域名网址:
测试成功!!!
8、源NAT:游客区仅能通过移动链路访问互联网
安全策略:
NAT策略:
测试一下:
使用游客区的PC5 去 ping 路由器的环回接口:
在防火墙FW1的g1/0/2接口抓包测试:
然后我们再禁用移动链路(g1/0/2)重新测试:
使用游客区的PC5 去 ping 路由器的环回接口:
测试成功!!!
至此本实验全部完成!!!
