实验拓扑:
实验需求:
7、办公区设备可以通过电信链路和移动链路上网(多对多的NAT,并且需要保留一个公网IP不能用来转换)
8、分公司设备可以通过总公司的移动链路和电信链路访问到Dmz区的http服务器
9、多出口环境基于带宽比例进行选路,但是,办公区中10.0.2.10该设备只能通过电信的链路访问互联网。链路开启过载保护,保护阈值80%;
10、分公司内部的客户端可以通过域名访问到内部的服务器,公网设备也可以通过域名访问到分公司内部服务器;
11、游客区仅能通过移动链路访问互联网
(前6点已经在上一篇完成)
实验思路
- 每个设备都配置好IP地址保证都是呈现双UP的,将我们一些新增的设备启动并配置好IP地址,还要做好防火墙FW2的网络配置。
- 要会做NAT策略中的多对多NAT,会保留IP地址,还有双向NAT和智能选路策略配置
- 进行相应的服务测试,抓包查看其数据流通效果或者策略匹配命中情况
具体配置步骤
1、FW2的网络相关配置:
开启防火墙后需要登录用户名和密码,第一次默认的用户名:admin,密码:Admin@123;
登录成功之后需要修改你的密码才能进入防火墙的用户视图。
防火墙的g0/0/0口默认的IP地址为192.168.0.1/24;但是我们需要在浏览器中打开FW2的web服务就需要将g0/0/0接口的IP地址修改为192.168.142.20/24与我们Clound中虚拟网卡通一个网段才行。
在防火墙中g0/0/0口中开启所有的服务:
[USG6000V1-GigabitEthernet0/0/0]service-manage all permit
FW2的g1/0/0:
FW2的g1/0/1:
2、路由器需要增加的(接口)命令配置
ISP:
[ISP]int g3/0/0
[ISP-GigabitEthernet3/0/0]ip add 100.0.0.1 24
[ISP-GigabitEthernet3/0/0]dis ip int bri
3、新增加的PC、client、seve
r的IP地址配置:
PC2IP地址更改:
PC3:
PC6:
Client4:
Client5:
Client6:
Server4:
Server5:
4、多对多的NAT,并且需要保留一个公网IP不能用来转换,实现办公区设备可以通过电信链路和移动链路上网
(1)首先在防火墙FW1上面新创建两块安全区域[电信、移动]。
(2)修改防火墙FW1的g1/0/1和g1/0/2的安全区域:
(3)做NAT策略(源NAT)并且需要保留一个公网IP不能用来转换,实现办公区设备可以通过电信链路和移动链路上网
对应的安全策略:
NAT策略:
5、NAT策略(在防火墙FW2上面做源NAT,在防火墙FW1上面做目标NAT),使得分公司设备可以通过总公司的移动链路和电信链路访问到Dmz区的http服务器
(1)防火墙FW2上做源NAT:
新建源地址转换池:
安全策略:
NAT策略:
(2)在防火墙FW2上面做目标NAT:
新建一个目的地址转换池:
安全策略:
NAT策略:
6、智能选路:多出口环境基于带宽比例进行选路,但是,办公区中10.0.2.10该设备只能通过电信的链路访问互联网。链路开启过载保护,保护阈值80%;
修改g1/0/1(to DX)的接口配置:
修改g1/0/2(to YD)的接口配置:
新建一个电信的链路接口:
新建一个移动的链路接口:
配置选路策略:
新建一个策略路由:
7、双向NAT:分公司内部的客户端可以通过域名访问到内部的服务器,公网设备也可以通过域名访问到分公司内部服务器;
首先修改公网client5,和分公司server5和client6的域名服务器地址,并且公网中的server4(NDS服务器)开启DNS服务,和分公司的server5开启http服务器。
Client5:
Client6:
Server5:
Server4(DNS服务器):
Server5(开启http服务):
[1]在FW2上面做目标NAT,使公网设备也可以通过域名访问到分公司内部服务器
安全策略:
NAT策略:
[2]在FW2上做双向NAT,分使公司内部的客户端可以通过域名访问到内部的服务器
NAT策略:(同一个区域中可以无需做安全策略)
测试一下:
使用分公司的client6客户端访问域名网址:
测试成功!!!
8、源NAT:游客区仅能通过移动链路访问互联网
安全策略:
NAT策略: