防火墙NAT智能选举综合实验

目录

一、实验要求：

二、实验思路:

三、实验步骤:

3.1办公区设备可以通过电信链路和移动链路上网(多对多的NAT，并且需要保留一个公网IP不能用来转换)

3.2分公司设备可以通过总公司的移动链路和电信链路访问到Dmz区的http服务器

[3.2.1 首先需要先让分公司能上公网才能进行后续的访问地址](#3.2.1 首先需要先让分公司能上公网才能进行后续的访问地址)

注：黑洞路由解释：

[3.2.2 将DMZ区域的http服务器开放到公网，让分公司通过公网地址去访问它](#3.2.2 将DMZ区域的http服务器开放到公网，让分公司通过公网地址去访问它)

测试电信链路访问

3.3智能选路：多出口环境基于带宽比例进行选路，但是，办公区中10.0.2.10该设备只能通过电信的链路访问互联网。链路开启过载保护，保护阈值80%；

3.3.1将电信和移动分别设置位两条链路接口供智能选路

3.3.2再添加智能选路

3.3.3办公区中10.0.2.10该设备只能通过电信的链路访问互联网

测试流量也是源进源出

3.4分公司内部的客户端可以通过域名访问到内部的服务器，公网设备也可以通过域名访问到分公司内部服务器；

3.4.1将公网与分公司的http服务器做一个目标NAT转换

3.4.2分公司内部通过域名访问内部的服务器

首先要将内部设备与服务器做一个双向绑定,注意：这里的目的地址要与之前的公网访问分公司服务器的目的地址网段一样，因为里面公网服务器是DNS，一个域名只能对应一个网段IP，所以公网和分公司要要通过公网IP访问内部服务器的IP就必须在域名对应IP的同一个网段

​编辑

测试分别通过域名访问服务器

3.5游客区仅能通过移动链路访问互联网

测试通过移动链路上网

---

实验拓扑：

一、实验要求：

1，DMZ区内的服务器，办公区仅能在办公时间内（9：00 - 18：00）可以访问，生产区的设备全天可以访问.

2，生产区不允许访问互联网，办公区和游客区允许访问互联网

3，办公区设备10.0.2.10不允许访问DMZ区的FTP服务器和HTTP服务器，仅能ping通10.0.3.10

4，办公区分为市场部和研发部，市场部IP地址固定，访问DMZ区使用匿名认证，研发部需要用户绑定IP地址，访问DMZ区使用免认证；

游客区人员不固定，不允许访问DMZ区和生产区，统一使用Guest用户登录，密码Admin@123

5，生产区访问DMZ区时，需要进行protal认证，设立生产区用户组织架构，至少包含三个部门，每个部门三个用户，用户统一密码openlab123，首次

登录需要修改密码，用户过期时间设定为10天,用户不允许多人使用

6，创建一个自定义管理员，要求不能拥有系统管理的功能

7，办公区设备可以通过电信链路和移动链路上网(多对多的NAT，并且需要保留一个公网IP不能用来转换)

8，分公司设备可以通过总公司的移动链路和电信链路访问到Dmz区的http服务器

9，多出口环境基于带宽比例进行选路，但是，办公区中10.0.2.10该设备只能通过电信的链路访问互联网。链路开启过载保护，保护阈值80%；

10，分公司内部的客户端可以通过域名访问到内部的服务器，公网设备也可以通过域名访问到分公司内部服务器；

11，游客区仅能通过移动链路访问互联网

二、实验思路:

每个设备都配置好IP地址保证都是呈现双UP的，将我们一些新增的设备启动并配置好IP地址，还要做好防火墙FW2的网络配置。

要会做NAT策略中的多对多NAT，会保留IP地址，还有双向NAT和智能选路策略配置

进行相应的服务测试，抓包查看其数据流通效果或者策略匹配命中情况。

三、实验步骤:

3.1办公区设备可以通过电信链路和移动链路上网(多对多的NAT，并且需要保留一个公网IP不能用来转换)

首先给办公区做两条NAT分别是电信和移动两条NAT

在高级设置中写保留的IP地址

保留这个地址后不会分配这个IP地址

3.2分公司设备可以通过总公司的移动链路和电信链路访问到Dmz区的http服务器

3.2.1 首先需要先让分公司能上公网才能进行后续的访问地址

这里要选择都勾选上勾选上了端口即是多对多NAPT

注：黑洞路由解释：

配置黑洞路由就是会使公网地址池中的地址都生成一条指向其自身的空接口，这里主要是为了 应对公网地址和出接口地址不在同一个网段的情况，因为在这种情况下，如果公网用户访问地址池中的公网地址，将可能造成环路，所以，需要通过空接口防环；如果公网地址池地址和出接口在同一个网段，也可以勾选该选项，这种情况下虽然不会出现环路，但是，有了这个黑洞路由，可以减少ARP报文的出现；

黑洞路由就是会自动生成空接口，在同一个网段中勾选上了黑洞路由，那么就会优先匹配空接口因为掩码是32/31位，所以会直接将询问地址的ARP包丢弃

路由黑洞：汇总的时候包含了实际网络中不存在的网段，额外占用资源，不能与缺省相遇，会成环，可以使用空接口解决

3.2.2 将DMZ区域的http服务器开放到公网，让分公司通过公网地址去访问它

公网端口与私网地址一对一转换：12.0.0.1:80--->10.0.3.10:80,端口只能是开放的那个端口

公网端口与私网端口一对一转换：12.0.0.1:8080--->10.0.3.10:80；12.0.0.1:80--->10.0.3.10:8080，端口可以变化

公网地址与私网端口一对一转换：12.0.0.1:80--->10.0.3.10:80；12.0.0.1:443--->10.0.3.10:80,不管访问这个公网的哪个端口都会转换位私网固定的端口

测试电信链路访问

3.3智能选路：多出口环境基于带宽比例进行选路，但是，办公区中10.0.2.10该设备只能通过电信的链路访问互联网。链路开启过载保护，保护阈值80%；

3.3.1将电信和移动分别设置位两条链路接口供智能选路

3.3.2再添加智能选路

在对应电信和移动的接口并设置保护阈值80%，最好勾选源进源出，不然可能会造成选路不佳

3.3.3办公区中10.0.2.10该设备只能通过电信的链路访问互联网

设置一条策略路由抓取办公区通过移动出去的流量并放行

测试流量也是源进源出

3.4分公司内部的客户端可以通过域名访问到内部的服务器，公网设备也可以通过域名访问到分公司内部服务器；

3.4.1将公网与分公司的http服务器做一个目标NAT转换

3.4.2分公司内部通过域名访问内部的服务器

首先要将内部设备与服务器做一个双向绑定,

注意：这里的目的地址要与之前的公网访问分公司服务器的目的地址网段一样，因为里面公网服务器是DNS，一个域名只能对应一个网段IP，所以公网和分公司要要通过公网IP访问内部服务器的IP就必须在域名对应IP的同一个网段

测试分别通过域名访问服务器

3.5游客区仅能通过移动链路访问互联网

做一条NAT策略让游客区能用户能上网

在做一条策略路由抓取游客区通过移动访问的流量并将其放行

测试通过移动链路上网