【自學安全防御】二、防火墻NAT智能選路綜合實驗

任務要求：

（銜接上一個實驗所以從第七點開始，但與上一個實驗關系不大）
7，辦公區設備可以通過電信鏈路和移動鏈路上網(多對多的NAT，并且需要保留一個公網IP不能用來轉換)
8，分公司設備可以通過總公司的移動鏈路和電信鏈路訪問到Dmz區的http服務器
9，多出口環境基于帶寬比例進行選路，但是，辦公區中10.0.2.10該設備只能通過電信的鏈路訪問互聯網。鏈路開啟過載保護，保護閾值80%；
10，分公司內部的客戶端可以通過域名訪問到內部的服務器，公網設備也可以通過域名訪問到分公司內部服務器；
11，游客區僅能通過移動鏈路訪問互聯網

實驗拓撲:

在這里插入圖片描述

實驗步驟：

七、辦公區設備可以通過電信鏈路和移動鏈路上網(多對多的NAT，并且需要保留一個公網IP不能用來轉換)

1、完成實驗拓撲部署，使web界面管理防火墻配置（上一個實驗第一個步驟有寫過程）
2、在FW1上，將所有接口的防火墻配置IP配置好，在配置缺省路由使最好把源進源出勾上，如下：在這里插入圖片描述
3、查看路路由表是否有問題，檢查缺省路由是否開了沒，并且項目NAT策略時設置地址池使要勾選黑洞路由，看是否存在黑洞路由，如下：

4、建立安全區域，如下：

5、將防火墻g1/0/1和g1/0/2分別綁定到電信和移動鏈路，配置如下：
在這里插入圖片描述

將上網目標IP寫入文件中，如下：

在這里插入圖片描述
6、配置NAT策略，需要注意的是在地址池配置完成后，需要點擊新建安全策略，使防火墻放行流量才能再做NAT轉換，配置如下：

1）在配置地址池時需要注意一下就是要勾選黑洞路由，然后在高級配置中添加一個保留IP12.0.0.6（地址池中的任一一個IP），如下：
在這里插入圖片描述

在這里插入圖片描述
8、結果測試：
1）將公網100.0.0.10的httpserver服務打開，用辦公區client7訪問服務，發現服務訪問成功。

2）看NAT策略命中情況，發現成功命中。

3）抓防火墻FW1的g0/0/1和g0/0/2接口的流量，發現電信鏈路和移動鏈路都有流量流出，即而且轉換地址是12.0.0.5（非預留地址），綜上：實驗7完成。
在這里插入圖片描述

八、分公司設備可以通過總公司的移動鏈路和電信鏈路訪問到Dmz區的http服務器

1、在FW2上，添加FL安全域，代表分公司網絡區，如下：

在這里插入圖片描述
2、配置好接口IP及網關，如下：

3、在FW2上做NAT策略，做個easy ip 即可，并自動生成安全策略，如下：

4、在FW2上，配置NAT策略，開放DMZ區的httpserver，使用服務器映射，即公網端口與私網端口一對一轉換，在電信鏈路和移動鏈路上分別做一個NAT策略，并且自動生成安全策略，（注意這個過程是先轉換地址再進行安全策略）如下：
在這里插入圖片描述

在這里插入圖片描述

5、結果測試：
1.）用client6訪問12.0.0.2的80端口，訪問成功：

在這里插入圖片描述

2）在FW1上，查看會話表，發現地址轉換成功，（此時走的的電信鏈路）如下：
在這里插入圖片描述

3）使client6訪問21.0.0.2的80端口，訪問成功，如下：
在這里插入圖片描述

4）在FW1上，查看會話表，發現地址轉換成功，（此時走的的移動鏈路）如下：

在這里插入圖片描述
5）在FW1和FW2上看看NAT策略匹配情況，發現全部NAT策略都可被匹配，實驗完成，如下：
FW1：

FW2：

在這里插入圖片描述

九、多出口環境基于帶寬比例進行選路，但是，辦公區中10.0.2.10該設備只能通過電信的鏈路訪問互聯網。鏈路開啟過載保護，保護閾值80%；

1、在FW1中，找到網絡，路由，智能選路，點擊配置，選擇根據寬帶負載分擔，新建電信和移動鏈路，如下：
在這里插入圖片描述

2、在接口中，點擊g1/0/1和g1/0/2，寫入入方向寬帶和出方向寬帶，設置過載保護閾值80%，如下：
在這里插入圖片描述

3、配置NAT策略，源地址寫10.0.0.2，出接口為g1/0/1 TODX，注意：需要把之前移動鏈路綁定的移動地址庫的IP刪掉，不然實驗不成功，因為如果電信和移動的地址庫一樣，就會使出去訪問互聯網的數據流均負載分擔，所以得選兩個出口，與題目要求不符，建議直接把電信和移動的地址庫刪掉，才能實現流量根據鏈路帶寬分擔。
在這里插入圖片描述

在這里插入圖片描述
4、配置路由策略，位置如下：

在這里插入圖片描述

5、結果測試：
1）安全策略成功匹配，如下：
在這里插入圖片描述

2）NAT策略成功匹配，如下：

在這里插入圖片描述
3）會話表顯示10.0.2.10從電信口出，如下：

十、分公司內部的客戶端可以通過域名訪問到內部的服務器，公網設備也可以通過域名訪問到分公司內部服務器；

1、在FW2上，寫NAT策略，地址轉換方式為雙向地址轉換，源為FL區域目標IP為23.0.0.2，使分公司內網IP先訪問FW2，轉換源IP為192.168.1.0即出接口g1/0/1,同時目標IP裝換為服務器內網IP，因為是域名訪問，此時FW2防火墻并不知道此域名對應的IP是什么，所以接下來要去額外做一個NAT策略去訪問DNS服務器，（無需自動添加安全策略）如下：在這里插入圖片描述

2、加一個NAT策略，使訪問外網的DNS服務器，并且自動添加安全策略，配置如下：

在這里插入圖片描述

3、最重要的就是一定要給客戶端加上DNS地址，如下：

4、寫NAT策略，使外網訪問內網服務器（底部80端口），并自動生成安全策略，如下：

5、結果測試，用分別用內網和外網訪問服務器域名，均成功：

在這里插入圖片描述

十一：游客區僅能通過移動鏈路訪問互聯網

1、在FW1，上做NAT策略，并自動生成安全策略，如下：
在這里插入圖片描述
2、找到網絡，點擊路由—>智能路由—>策略路由->新建，配置如下：

在這里插入圖片描述

3、結果測試：
1）用游客區client4訪問公網服務器100.0.0.100，訪問成功，如下：
2）、查看NAT策略匹配情況，成功匹配，如下：

在這里插入圖片描述
3）看會話表，成功匹配安全策略，并從移動鏈路出，如下：

在這里插入圖片描述
到這里實驗就完成了，恭喜大家，哈哈哈！！！
繼續加油吧！！

本文來自互聯網用戶投稿，該文觀點僅代表作者本人，不代表本站立場。本站僅提供信息存儲空間服務，不擁有所有權，不承擔相關法律責任。
如若轉載，請注明出處：http://www.pswp.cn/web/45717.shtml
繁體地址，請注明出處：http://hk.pswp.cn/web/45717.shtml
英文地址，請注明出處：http://en.pswp.cn/web/45717.shtml

如若內容造成侵權/違法違規/事實不符，請聯系多彩編程網進行投訴反饋email:809451989@qq.com，一經查實，立即刪除！