防火墙NAT智能选举综合实验

发布于:2024-07-14 ⋅ 阅读:(95) ⋅ 点赞:(0)

实验拓扑:

实验需求:

7、办公区设备可以通过电信链路和移动链路上网(多对多的NAT,并且需要保留一个公网IP不能用来转换)

8、分公司设备可以通过总公司的移动链路和电信链路访问到Dmz区的http服务器

9、多出口环境基于带宽比例进行选路,但是,办公区中10.0.2.10该设备只能通过电信的链路访问互联网。链路开启过载保护,保护阈值80%;

10、分公司内部的客户端可以通过域名访问到内部的服务器,公网设备也可以通过域名访问到分公司内部服务器;

11、游客区仅能通过移动链路访问互联网

(前6点已经在上一篇完成)

实验思路

  1. 每个设备都配置好IP地址保证都是呈现双UP的,将我们一些新增的设备启动并配置好IP地址,还要做好防火墙FW2的网络配置。
  2. 要会做NAT策略中的多对多NAT,会保留IP地址,还有双向NAT和智能选路策略配置
  3. 进行相应的服务测试,抓包查看其数据流通效果或者策略匹配命中情况

具体配置步骤

1、FW2的网络相关配置:
  开启防火墙后需要登录用户名和密码,第一次默认的用户名:admin,密码:Admin@123;

登录成功之后需要修改你的密码才能进入防火墙的用户视图。

  防火墙的g0/0/0口默认的IP地址为192.168.0.1/24;但是我们需要在浏览器中打开FW2的web服务就需要将g0/0/0接口的IP地址修改为192.168.142.20/24与我们Clound中虚拟网卡通一个网段才行。

在防火墙中g0/0/0口中开启所有的服务:

[USG6000V1-GigabitEthernet0/0/0]service-manage all permit

FW2的g1/0/0:

FW2的g1/0/1:

2、路由器需要增加的(接口)命令配置

ISP:

[ISP]int g3/0/0

[ISP-GigabitEthernet3/0/0]ip add 100.0.0.1 24

[ISP-GigabitEthernet3/0/0]dis ip int bri

3、新增加的PC、client、seve

r的IP地址配置:

PC2IP地址更改:

PC3:

PC6:

Client4:

Client5:

Client6:

Server4:

Server5:

4、多对多的NAT,并且需要保留一个公网IP不能用来转换,实现办公区设备可以通过电信链路和移动链路上网

(1)首先在防火墙FW1上面新创建两块安全区域[电信、移动]。
(2)修改防火墙FW1的g1/0/1和g1/0/2的安全区域:

(3)做NAT策略(源NAT)并且需要保留一个公网IP不能用来转换,实现办公区设备可以通过电信链路和移动链路上网

对应的安全策略:

NAT策略:

5、NAT策略(在防火墙FW2上面做源NAT,在防火墙FW1上面做目标NAT),使得分公司设备可以通过总公司的移动链路和电信链路访问到Dmz区的http服务器

(1)防火墙FW2上做源NAT:

新建源地址转换池:

安全策略:

NAT策略:

(2)在防火墙FW2上面做目标NAT:

新建一个目的地址转换池:

安全策略:

NAT策略:

6、智能选路:多出口环境基于带宽比例进行选路,但是,办公区中10.0.2.10该设备只能通过电信的链路访问互联网。链路开启过载保护,保护阈值80%;

修改g1/0/1(to DX)的接口配置:

修改g1/0/2(to YD)的接口配置:

新建一个电信的链路接口:

新建一个移动的链路接口:

配置选路策略:

新建一个策略路由:

7、双向NAT:分公司内部的客户端可以通过域名访问到内部的服务器,公网设备也可以通过域名访问到分公司内部服务器;

首先修改公网client5,和分公司server5和client6的域名服务器地址,并且公网中的server4(NDS服务器)开启DNS服务,和分公司的server5开启http服务器。

Client5:

Client6:

Server5:

Server4(DNS服务器):

Server5(开启http服务):

[1]在FW2上面做目标NAT,使公网设备也可以通过域名访问到分公司内部服务器
安全策略:

NAT策略:

[2]在FW2上做双向NAT,分使公司内部的客户端可以通过域名访问到内部的服务器
NAT策略:(同一个区域中可以无需做安全策略)

测试一下:

使用分公司的client6客户端访问域名网址:

测试成功!!!

8、源NAT:游客区仅能通过移动链路访问互联网
安全策略:

NAT策略: