防火墙NAT智能选举综合实验

目录

一、实验题目要求

二、拓扑搭建,IP地址规划

三、实验思路

四、实验步骤

1、防火墙FW2配置

2、办公区设备可以通过电信链路和移动链路上网(多对多的NAT,并且需要保留一个公网IP不能用来转换)

(1)做一条配置到电信的nat策略,并且保留一条地址,自动配置安全策略

(2)配置到移动的nat策略,安全策略和保留地址

(3)配置到电信的nat策略,安全策略和保留地址(与移动配置方法一致)

(4)测试

3、分公司设备可以通过总公司的移动链路和电信链路访问到Dmz区的http服务器

(1)配置移动的公网id映射到10.0.3.10

(2)配置电信的公网id映射到10.0.3.10

(3)测试:公网到dmz的http

(4)写一条分公司到总公司的nat策略

4、多出口环境基于带宽比例进行选路,但是,办公区中10.0.2.10该设备只能通过电信的链路访问互联网。链路开启过载保护,保护阈值80%

(1)配置多出口环境基于带宽比例进行选路,链路开启过载保护,保护阈值80%

(2)办公区中10.0.2.10该设备只能通过电信的链路访问互联网

(3)测试:在pc端查看是否走的是电信,而不是移动

4、分公司内部的客户端可以通过域名访问到内部的服务器,公网设备也可以通过域名访问到分公司内部服务器

(1)公网与分公司做个端到端的目标NAT

(2)分公司内部通过公网域名访问内部服务器

(3)测试

5、游客区仅能通过移动链路访问互联网


一、实验题目要求

1、办公区设备可以通过电信链路和移动链路上网(多对多的NAT,并且需要保留一个公网IP不能用来转换)

2、分公司设备可以通过总公司的移动链路和电信链路访问到Dmz区的http服务器

3、多出口环境基于带宽比例进行选路,但是,办公区中10.0.2.10该设备只能通过电信的链路访问互联网。链路开启过载保护,保护阈值80%;

4、分公司内部的客户端可以通过域名访问到内部的服务器,公网设备也可以通过域名访问到分公司内部服务器;

5、游客区仅能通过移动链路访问互联网

二、拓扑搭建,IP地址规划

三、实验思路

1、实现多对多的NAT策略,实现办公区通过移动和电信网络上网:

  • 配置多对多的NAT策略,使办公区的流量可以通过移动和电信的网络出口上网。
  • 设置不同的NAT规则,以确保办公区的流量能够正确转换并通过这两个ISP(Internet Service Provider)。

2、在总公司配置两条端口映射:

  • 设置端口映射规则,将公网IP 12.0.0.2 和 21.0.0.2 映射到私网IP 10.0.3.10:
    • 公网IP 12.0.0.2 -> 私网IP 10.0.3.10
    • 公网IP 21.0.0.2 -> 私网IP 10.0.3.10
  • 确保外部访问这两个公网IP时,会被正确映射到内部的10.0.3.10。

3、在fw2上配置NAT策略,实现分公司与总公司之间的通信:

  • 在fw2(防火墙设备)上配置NAT策略,使分公司和总公司之间的流量可以互通。
  • 设置相应的NAT规则,确保分公司和总公司的内部网络可以相互访问。

4、禁用移动端10.0.2.10的安全策略:

  • 配置安全策略,禁止通过移动端(公网IP 10.0.2.10)的特定流量。
  • 确保移动端的流量不会影响到其他网络配置。

5、在多出口环境中基于带宽比例进行选路,并开启链路过载保护:

  • 基于带宽比例进行流量选路,在多出口网络环境中优化流量分配。
  • 启用链路过载保护,设置保护阈值为80%,防止链路过载。
  • 根据带宽使用情况,动态调整流量分配,提升网络性能。

6、配置公网与分公司的端到端目标NAT:

  • 配置端到端的目标NAT,使公网流量可以正确到达分公司。
  • 确保分公司内部的设备可以通过公网域名访问内部服务器。

7、在游客区配置针对移动网络的 IP NAT:

  • 在游客区配置一条NAT规则,只针对移动的流量进行IP转换。
  • 通过NAT规则配置,确保游客区的流量可以通过移动网络出口。

四、实验步骤

先在路由器R1上配置好0/0/0和0/0/2接口的IP地址,并且再配置一条环回Loopback0用于当外网的测试

复制代码
[Huawei]int GigabitEthernet 0/0/0
[Huawei-GigabitEthernet0/0/0]ip address 12.0.0.2 24
[Huawei-GigabitEthernet0/0/0]q
[Huawei]int GigabitEthernet 0/0/2
[Huawei-GigabitEthernet0/0/2]ip address 21.0.0.2 24

查看各表的接口状态:display ip interface brief

在R1上写网关配置:

复制代码
[Huawei]int GigabitEthernet 4/0/0
[Huawei-GigabitEthernet4/0/0]ip address 100.0.0.1 24

1、防火墙FW2配置

复制代码
<USG6000V1>system-view 
[USG6000V1]int GigabitEthernet 0/0/0
[USG6000V1-GigabitEthernet0/0/0]ip address 192.168.81.1 24
[USG6000V1-GigabitEthernet0/0/0]service-manage  all permit 

2、办公区设备可以通过电信链路和移动链路上网(多对多的NAT,并且需要保留一个公网IP不能用来转换)

(1)做一条配置到电信的nat策略,并且保留一条地址,自动配置安全策略

先将电信移动的区域划分出来,并且将接口之前分在untrust区域的分别分到电信和移动区域去:

做nat策略:

(2)配置到移动的nat策略,安全策略和保留地址

(3)配置到电信的nat策略,安全策略和保留地址(与移动配置方法一致)

(4)测试

3、分公司设备可以通过总公司的移动链路和电信链路访问到Dmz区的http服务器

配置端口服务器映射,需要配置两条,移动和电信的公网id映射到10.0.3.10

(1)配置移动的公网id映射到10.0.3.10

(2)配置电信的公网id映射到10.0.3.10

(3)测试:公网到dmz的http

(4)写一条分公司到总公司的nat策略

4、多出口环境基于带宽比例进行选路,但是,办公区中10.0.2.10该设备只能通过电信的链路访问互联网。链路开启过载保护,保护阈值80%

(1)配置多出口环境基于带宽比例进行选路,链路开启过载保护,保护阈值80%

修改带宽阈值占比为80%

(2)办公区中10.0.2.10该设备只能通过电信的链路访问互联网

(3)测试:在pc端查看是否走的是电信,而不是移动

4、分公司内部的客户端可以通过域名访问到内部的服务器,公网设备也可以通过域名访问到分公司内部服务器

(1)公网与分公司做个端到端的目标NAT

(2)分公司内部通过公网域名访问内部服务器

(3)测试

5、游客区仅能通过移动链路访问互联网

相关推荐
liulilittle1 小时前
OPENPPP2 —— IP标准校验和算法深度剖析:从原理到SSE2优化实现
网络·c++·网络协议·tcp/ip·算法·ip·通信
方渐鸿1 小时前
【2024】k8s集群 图文详细 部署安装使用(两万字)
java·运维·容器·kubernetes·k8s·运维开发·持续部署
晓衣2 小时前
2025“獬豸杯”全国电子数据取证竞赛-k8s服务器取证wp
服务器·经验分享·程序人生·网络安全·容器·kubernetes·学习方法
我爱云计算2 小时前
K8S详解(5万字详细教程)
linux·运维·云原生·容器·kubernetes
明明跟你说过2 小时前
【k8s】资源限制管理:Namespace、Deployment与Pod的实践
运维·docker·云原生·容器·kubernetes·k8s
北极光SD-WAN组网4 小时前
从0到1搭建某铝箔智慧工厂网络:5G与WiFi 6助力智能制造
网络·5g·制造
阿昭L4 小时前
HTTP原理
网络·网络协议·http
2301_794333914 小时前
实验室服务器配置|通过Docker实现Linux系统多用户隔离与安全防控
linux·服务器·docker·实验室
打码人的日常分享4 小时前
运维服务方案,运维巡检方案,运维安全保障方案文件
大数据·运维·安全·word·安全架构
hazy1k4 小时前
STM32H750 RTC介绍及应用
网络·stm32·实时音视频