防火墙NAT智能选举综合实验

目录

一、实验题目要求

二、拓扑搭建,IP地址规划

三、实验思路

四、实验步骤

1、防火墙FW2配置

2、办公区设备可以通过电信链路和移动链路上网(多对多的NAT,并且需要保留一个公网IP不能用来转换)

(1)做一条配置到电信的nat策略,并且保留一条地址,自动配置安全策略

(2)配置到移动的nat策略,安全策略和保留地址

(3)配置到电信的nat策略,安全策略和保留地址(与移动配置方法一致)

(4)测试

3、分公司设备可以通过总公司的移动链路和电信链路访问到Dmz区的http服务器

(1)配置移动的公网id映射到10.0.3.10

(2)配置电信的公网id映射到10.0.3.10

(3)测试:公网到dmz的http

(4)写一条分公司到总公司的nat策略

4、多出口环境基于带宽比例进行选路,但是,办公区中10.0.2.10该设备只能通过电信的链路访问互联网。链路开启过载保护,保护阈值80%

(1)配置多出口环境基于带宽比例进行选路,链路开启过载保护,保护阈值80%

(2)办公区中10.0.2.10该设备只能通过电信的链路访问互联网

(3)测试:在pc端查看是否走的是电信,而不是移动

4、分公司内部的客户端可以通过域名访问到内部的服务器,公网设备也可以通过域名访问到分公司内部服务器

(1)公网与分公司做个端到端的目标NAT

(2)分公司内部通过公网域名访问内部服务器

(3)测试

5、游客区仅能通过移动链路访问互联网


一、实验题目要求

1、办公区设备可以通过电信链路和移动链路上网(多对多的NAT,并且需要保留一个公网IP不能用来转换)

2、分公司设备可以通过总公司的移动链路和电信链路访问到Dmz区的http服务器

3、多出口环境基于带宽比例进行选路,但是,办公区中10.0.2.10该设备只能通过电信的链路访问互联网。链路开启过载保护,保护阈值80%;

4、分公司内部的客户端可以通过域名访问到内部的服务器,公网设备也可以通过域名访问到分公司内部服务器;

5、游客区仅能通过移动链路访问互联网

二、拓扑搭建,IP地址规划

三、实验思路

1、实现多对多的NAT策略,实现办公区通过移动和电信网络上网:

  • 配置多对多的NAT策略,使办公区的流量可以通过移动和电信的网络出口上网。
  • 设置不同的NAT规则,以确保办公区的流量能够正确转换并通过这两个ISP(Internet Service Provider)。

2、在总公司配置两条端口映射:

  • 设置端口映射规则,将公网IP 12.0.0.2 和 21.0.0.2 映射到私网IP 10.0.3.10:
    • 公网IP 12.0.0.2 -> 私网IP 10.0.3.10
    • 公网IP 21.0.0.2 -> 私网IP 10.0.3.10
  • 确保外部访问这两个公网IP时,会被正确映射到内部的10.0.3.10。

3、在fw2上配置NAT策略,实现分公司与总公司之间的通信:

  • 在fw2(防火墙设备)上配置NAT策略,使分公司和总公司之间的流量可以互通。
  • 设置相应的NAT规则,确保分公司和总公司的内部网络可以相互访问。

4、禁用移动端10.0.2.10的安全策略:

  • 配置安全策略,禁止通过移动端(公网IP 10.0.2.10)的特定流量。
  • 确保移动端的流量不会影响到其他网络配置。

5、在多出口环境中基于带宽比例进行选路,并开启链路过载保护:

  • 基于带宽比例进行流量选路,在多出口网络环境中优化流量分配。
  • 启用链路过载保护,设置保护阈值为80%,防止链路过载。
  • 根据带宽使用情况,动态调整流量分配,提升网络性能。

6、配置公网与分公司的端到端目标NAT:

  • 配置端到端的目标NAT,使公网流量可以正确到达分公司。
  • 确保分公司内部的设备可以通过公网域名访问内部服务器。

7、在游客区配置针对移动网络的 IP NAT:

  • 在游客区配置一条NAT规则,只针对移动的流量进行IP转换。
  • 通过NAT规则配置,确保游客区的流量可以通过移动网络出口。

四、实验步骤

先在路由器R1上配置好0/0/0和0/0/2接口的IP地址,并且再配置一条环回Loopback0用于当外网的测试

[Huawei]int GigabitEthernet 0/0/0
[Huawei-GigabitEthernet0/0/0]ip address 12.0.0.2 24
[Huawei-GigabitEthernet0/0/0]q
[Huawei]int GigabitEthernet 0/0/2
[Huawei-GigabitEthernet0/0/2]ip address 21.0.0.2 24

查看各表的接口状态:display ip interface brief

在R1上写网关配置:

[Huawei]int GigabitEthernet 4/0/0
[Huawei-GigabitEthernet4/0/0]ip address 100.0.0.1 24

1、防火墙FW2配置

<USG6000V1>system-view 
[USG6000V1]int GigabitEthernet 0/0/0
[USG6000V1-GigabitEthernet0/0/0]ip address 192.168.81.1 24
[USG6000V1-GigabitEthernet0/0/0]service-manage  all permit 

2、办公区设备可以通过电信链路和移动链路上网(多对多的NAT,并且需要保留一个公网IP不能用来转换)

(1)做一条配置到电信的nat策略,并且保留一条地址,自动配置安全策略

先将电信移动的区域划分出来,并且将接口之前分在untrust区域的分别分到电信和移动区域去:

做nat策略:

(2)配置到移动的nat策略,安全策略和保留地址

(3)配置到电信的nat策略,安全策略和保留地址(与移动配置方法一致)

(4)测试

3、分公司设备可以通过总公司的移动链路和电信链路访问到Dmz区的http服务器

配置端口服务器映射,需要配置两条,移动和电信的公网id映射到10.0.3.10

(1)配置移动的公网id映射到10.0.3.10

(2)配置电信的公网id映射到10.0.3.10

(3)测试:公网到dmz的http

(4)写一条分公司到总公司的nat策略

4、多出口环境基于带宽比例进行选路,但是,办公区中10.0.2.10该设备只能通过电信的链路访问互联网。链路开启过载保护,保护阈值80%

(1)配置多出口环境基于带宽比例进行选路,链路开启过载保护,保护阈值80%

修改带宽阈值占比为80%

(2)办公区中10.0.2.10该设备只能通过电信的链路访问互联网

(3)测试:在pc端查看是否走的是电信,而不是移动

4、分公司内部的客户端可以通过域名访问到内部的服务器,公网设备也可以通过域名访问到分公司内部服务器

(1)公网与分公司做个端到端的目标NAT

(2)分公司内部通过公网域名访问内部服务器

(3)测试

5、游客区仅能通过移动链路访问互联网

相关推荐
AI慧聚堂6 分钟前
自动化 + 人工智能:投标行业的未来是什么样的?
运维·人工智能·自动化
不爱学英文的码字机器9 分钟前
[Linux] Shell 命令及运行原理
linux·运维·服务器
cdut_suye20 分钟前
Linux工具使用指南:从apt管理、gcc编译到makefile构建与gdb调试
java·linux·运维·服务器·c++·人工智能·python
qq_4336184424 分钟前
shell 编程(三)
linux·运维·服务器
苹果醋332 分钟前
2020重新出发,MySql基础,MySql表数据操作
java·运维·spring boot·mysql·nginx
两张不够花34 分钟前
Jenkins 持续集成部署
运维·jenkins
网安墨雨43 分钟前
常用网络协议
网络·网络协议
Tlzns1 小时前
Linux网络——UDP的运用
linux·网络·udp
Hacker_xingchen1 小时前
天融信Linux系统安全问题
linux·运维·系统安全
丘狸尾1 小时前
[cisco 模拟器] ftp服务器配置
android·运维·服务器