防火墙NAT智能选举综合实验

目录

一、实验题目要求

二、拓扑搭建,IP地址规划

三、实验思路

四、实验步骤

1、防火墙FW2配置

2、办公区设备可以通过电信链路和移动链路上网(多对多的NAT,并且需要保留一个公网IP不能用来转换)

(1)做一条配置到电信的nat策略,并且保留一条地址,自动配置安全策略

(2)配置到移动的nat策略,安全策略和保留地址

(3)配置到电信的nat策略,安全策略和保留地址(与移动配置方法一致)

(4)测试

3、分公司设备可以通过总公司的移动链路和电信链路访问到Dmz区的http服务器

(1)配置移动的公网id映射到10.0.3.10

(2)配置电信的公网id映射到10.0.3.10

(3)测试:公网到dmz的http

(4)写一条分公司到总公司的nat策略

4、多出口环境基于带宽比例进行选路,但是,办公区中10.0.2.10该设备只能通过电信的链路访问互联网。链路开启过载保护,保护阈值80%

(1)配置多出口环境基于带宽比例进行选路,链路开启过载保护,保护阈值80%

(2)办公区中10.0.2.10该设备只能通过电信的链路访问互联网

(3)测试:在pc端查看是否走的是电信,而不是移动

4、分公司内部的客户端可以通过域名访问到内部的服务器,公网设备也可以通过域名访问到分公司内部服务器

(1)公网与分公司做个端到端的目标NAT

(2)分公司内部通过公网域名访问内部服务器

(3)测试

5、游客区仅能通过移动链路访问互联网


一、实验题目要求

1、办公区设备可以通过电信链路和移动链路上网(多对多的NAT,并且需要保留一个公网IP不能用来转换)

2、分公司设备可以通过总公司的移动链路和电信链路访问到Dmz区的http服务器

3、多出口环境基于带宽比例进行选路,但是,办公区中10.0.2.10该设备只能通过电信的链路访问互联网。链路开启过载保护,保护阈值80%;

4、分公司内部的客户端可以通过域名访问到内部的服务器,公网设备也可以通过域名访问到分公司内部服务器;

5、游客区仅能通过移动链路访问互联网

二、拓扑搭建,IP地址规划

三、实验思路

1、实现多对多的NAT策略,实现办公区通过移动和电信网络上网:

  • 配置多对多的NAT策略,使办公区的流量可以通过移动和电信的网络出口上网。
  • 设置不同的NAT规则,以确保办公区的流量能够正确转换并通过这两个ISP(Internet Service Provider)。

2、在总公司配置两条端口映射:

  • 设置端口映射规则,将公网IP 12.0.0.2 和 21.0.0.2 映射到私网IP 10.0.3.10:
    • 公网IP 12.0.0.2 -> 私网IP 10.0.3.10
    • 公网IP 21.0.0.2 -> 私网IP 10.0.3.10
  • 确保外部访问这两个公网IP时,会被正确映射到内部的10.0.3.10。

3、在fw2上配置NAT策略,实现分公司与总公司之间的通信:

  • 在fw2(防火墙设备)上配置NAT策略,使分公司和总公司之间的流量可以互通。
  • 设置相应的NAT规则,确保分公司和总公司的内部网络可以相互访问。

4、禁用移动端10.0.2.10的安全策略:

  • 配置安全策略,禁止通过移动端(公网IP 10.0.2.10)的特定流量。
  • 确保移动端的流量不会影响到其他网络配置。

5、在多出口环境中基于带宽比例进行选路,并开启链路过载保护:

  • 基于带宽比例进行流量选路,在多出口网络环境中优化流量分配。
  • 启用链路过载保护,设置保护阈值为80%,防止链路过载。
  • 根据带宽使用情况,动态调整流量分配,提升网络性能。

6、配置公网与分公司的端到端目标NAT:

  • 配置端到端的目标NAT,使公网流量可以正确到达分公司。
  • 确保分公司内部的设备可以通过公网域名访问内部服务器。

7、在游客区配置针对移动网络的 IP NAT:

  • 在游客区配置一条NAT规则,只针对移动的流量进行IP转换。
  • 通过NAT规则配置,确保游客区的流量可以通过移动网络出口。

四、实验步骤

先在路由器R1上配置好0/0/0和0/0/2接口的IP地址,并且再配置一条环回Loopback0用于当外网的测试

复制代码
[Huawei]int GigabitEthernet 0/0/0
[Huawei-GigabitEthernet0/0/0]ip address 12.0.0.2 24
[Huawei-GigabitEthernet0/0/0]q
[Huawei]int GigabitEthernet 0/0/2
[Huawei-GigabitEthernet0/0/2]ip address 21.0.0.2 24

查看各表的接口状态:display ip interface brief

在R1上写网关配置:

复制代码
[Huawei]int GigabitEthernet 4/0/0
[Huawei-GigabitEthernet4/0/0]ip address 100.0.0.1 24

1、防火墙FW2配置

复制代码
<USG6000V1>system-view 
[USG6000V1]int GigabitEthernet 0/0/0
[USG6000V1-GigabitEthernet0/0/0]ip address 192.168.81.1 24
[USG6000V1-GigabitEthernet0/0/0]service-manage  all permit 

2、办公区设备可以通过电信链路和移动链路上网(多对多的NAT,并且需要保留一个公网IP不能用来转换)

(1)做一条配置到电信的nat策略,并且保留一条地址,自动配置安全策略

先将电信移动的区域划分出来,并且将接口之前分在untrust区域的分别分到电信和移动区域去:

做nat策略:

(2)配置到移动的nat策略,安全策略和保留地址

(3)配置到电信的nat策略,安全策略和保留地址(与移动配置方法一致)

(4)测试

3、分公司设备可以通过总公司的移动链路和电信链路访问到Dmz区的http服务器

配置端口服务器映射,需要配置两条,移动和电信的公网id映射到10.0.3.10

(1)配置移动的公网id映射到10.0.3.10

(2)配置电信的公网id映射到10.0.3.10

(3)测试:公网到dmz的http

(4)写一条分公司到总公司的nat策略

4、多出口环境基于带宽比例进行选路,但是,办公区中10.0.2.10该设备只能通过电信的链路访问互联网。链路开启过载保护,保护阈值80%

(1)配置多出口环境基于带宽比例进行选路,链路开启过载保护,保护阈值80%

修改带宽阈值占比为80%

(2)办公区中10.0.2.10该设备只能通过电信的链路访问互联网

(3)测试:在pc端查看是否走的是电信,而不是移动

4、分公司内部的客户端可以通过域名访问到内部的服务器,公网设备也可以通过域名访问到分公司内部服务器

(1)公网与分公司做个端到端的目标NAT

(2)分公司内部通过公网域名访问内部服务器

(3)测试

5、游客区仅能通过移动链路访问互联网

相关推荐
静听夜半雨6 分钟前
CANoe入门——3、新建LIN工程及LIN DataBase(LDF文件)的创建
网络·数据库·c++·编辑器
B64A-消闲10 分钟前
shell命令一
linux·运维
Jackilina_Stone12 分钟前
【网工第6版】第5章 网络互联⑧
网络·软考·网工·第5章 网络互联
电鱼智能的电小鱼32 分钟前
基于 EFISH-SBC-RK3588 的无人机通信云端数据处理模块方案‌
linux·网络·人工智能·嵌入式硬件·无人机·边缘计算
夜空晚星灿烂39 分钟前
http通信之axios vs fecth该如何选择?
网络·网络协议·http
爱的叹息1 小时前
【前端】基于 Promise 的 HTTP 客户端工具Axios 详解
前端·网络·网络协议·http
christine-rr1 小时前
【25软考网工】第三章(4)生成树协议、广播风暴和MAC地址表震荡
网络·网络工程师·软考·考试
迷路的小绅士1 小时前
网络安全概述:定义、重要性与发展历程
网络·安全·web安全
難釋懷1 小时前
Shell脚本-for循环应用案例
linux·运维·服务器·bash
何双新1 小时前
L3-3、从单轮到链式任务:设计协作型 Prompt 系统
服务器·搜索引擎·prompt