智能选路+NAT实验

文章目录

• 智能选路+NAT实验
• • 一、实验拓扑
  • 二、实验要求
  • • 1、根据下列表格所示，为每个设备配置合理的IP地址：
    • 2、防火墙安全区域配置
    • 3、防火墙地址组信息
    • 4、用户认证配置
    • 5、防火墙安全策略配置
    • 6、创建智能选路
  • 三、实验配置
  • • 1，IP配置
    • 2，划分和创建安全区域
    • 3、配置防火墙地址
    • 4、用户认证配置
    • 5、用户认证策略配置
    • 6、安全策略配置
    • 7、添加运营商地址
    • 8、配置智能选路
    • • a、配置真实DNS服务器信息
      • b、创建虚拟服务，虚拟DNS服务器
      • c、配置DNS透明代理功能
      • d、配置透明代理策略

智能选路+NAT实验

一、实验拓扑

二、实验要求

1、根据下列表格所示，为每个设备配置合理的IP地址：

设备	接口	IP
FW	GE1/0/0	192.168.1.254/24
	GE1/0/1	12.0.0.1/24
	GE1/0/2	13.0.0.1/24
R2	GE0/0/0	12.0.0.2/24
	GE0/0/1	100.1.1.254/24
	GE0/0/2	110.1.1.254/24
R3	GE0/0/0	13.0.0.3/24
	GE0/0/1	200.1.1.254/24
	GE0/0/2	210.1.1.254/24

设备	IP	备注
Clinet1	192.168.1.1/24	内网VIP用户
Clinet2	192.168.1.2/24	内网普通用户
电信DNS	100.1.1.1/24	电信运营商
百度web-1	110.1.1.1/24	百度服务器1
百度web-2	210.1.1.1/24	百度服务器2
联通DNS	200.1.1.1/24	联通运营商

2、防火墙安全区域配置

设备	接口	安全区域	优先级
FW	GE1/0/0	Trust	默认
	GE1/0/1	Untrust_1	70
	GE1/0/2	Untrust_2	80

3、防火墙地址组信息

设备	地址	地址组	描述信息
Clinet1	192.168.1.1/24	Trust_Clinet	VIP用户
Clinet2	192.168.1.2/24	Trust_Clinet	普通用户
电信DNS	100.1.1.1/24	Untrust_1_Server	电信运营商的DNS服务器
百度web-1	110.1.1.1/24	Untrust_1_Server	电信运营商网络的百度web
百度web-2	210.1.1.1/24	Untrust_2_Server	联通运营商网络的百度web
联通DNS	200.1.1.1/24	Untrust_2_Server	联通运营商的DNS服务器

4、用户认证配置

项目	数据
认证域	名称：openlab 认证方案：Portal 接入控制：上网行为管理 新用户认证选项：使用/openlab组权限
用户组信息
VIP组	用户组组名：A 用户组所属组：/openlab
PT组	用户组组名：B 用户组所属组：/openlab
VIP用户	用户组组名：VIP 用户组所属组：/openlab/A
普通用户	用户组组名：PT 用户组所属组：/openlab/B
用户信息
VIP用户	用户登录名：user_001 用户显示名：张三 用户所属组：/openlab/A/VIP 不允许多人同时使用该账号登录 IP/MAC绑定方式：双向绑定 IP/MAC地址：Clinet1的MAC
普通用户	用户登录名：PT_001 用户显示名：李四 用户所属组：/openlab/B/PT 允许多人同时使用该账号登录

用户认证策略要求：
VIP用户在访问任何区域时，都需要使用免认证策略；
普通用户在访问Untrust_1区域时，需要使用Portal认证；在访问Untrust_2区域时，需要使用匿名认证。

认证策略	数据
VIP用户认证策略	名称：policy_VIP_1 描述：VIP用户认证策略 源安全区域：Trust 目的安全区域：any 源地址/地区：Clinet1 目的地址/地区：Untrust_1_Server,Untrust_2_Server 认证动作：免认证
普通用户认证策略	名称：policy_PT_2 描述：普通用户_to_Untrust_1 源安全区域：Trust 目的安全区域：Untrust_1_Server 源地址/地区：Clinet2 目的地址/地区：Untrust_1_Server 认证动作：Portal认证
	名称：policy_PT_3 描述：普通用户_to_Untrust_2 源安全区域：Trust 目的安全区域：Untrust_2_Server 源地址/地区：Clinet2 目的地址/地区：Untrust_2_Server 认证动作：匿名认证

5、防火墙安全策略配置

VIP用户可以在工作日内的任何时间访问电信和联通的相关服务；
普通用户只能在周一、周三、周五的任何时间访问电信的相关服务，在周二、周四的任何时间访问联通的相关服务。

策略名称	内容
policy_01	描述：VIP_to_电信和联通 源安全区域：Trust 目的安全区域：Untrust_1、Untrust_2 源地址：Clinet1 目的地址：any 服务：HTTP、HTTPS 动作：允许
policy_02	描述：普通_ to _电信 源安全区域：Trust 目的安全区域：Untrust_1 源地址：Clinet2 目的地址：Untrust_1_Server 服务：HTTP、HTTPS 动作：允许
policy_3	描述：普通_ to _联通 源安全区域：Trust 目的安全区域：Untrust_2 源地址：Clinet2 目的地址：Untrust_2_Server 服务：HTTP、HTTPS 动作：允许

6、创建智能选路

    在网络中部署DNS代理服务器或启用路由器的DNS代理功能。
    配置DNS代理服务器以监听客户端的DNS查询请求。
    根据查询请求的目的地（如域名或IP地址范围），配置DNS代理服务器选择不同的DNS服务器进行解析。
    确保DNS代理服务器能够透明地处理DNS查询请求，即客户端无需更改其DNS设置即可使用透明DNS选路功能。

三、实验配置

[FW]interface GigabitEthernet 0/0/0
[FW-GigabitEthernet0/0/0]service-manage all permit
注：配置防火墙时，先开启0/0/0管理口的相关服务，便于在web页面访问服务器。

1，IP配置

FW

[FW]interface GigabitEthernet 1/0/0
[FW-GigabitEthernet1/0/0]ip address 192.168.1.254 24
[FW]interface GigabitEthernet 1/0/1
[FW-GigabitEthernet1/0/1]ip address 12.0.0.1 24
[FW]interface GigabitEthernet 1/0/2
[FW-GigabitEthernet1/0/2]ip address 13.0.0.1 24

R2

[R2]interface GigabitEthernet 0/0/0
[R2-GigabitEthernet0/0/0]ip add 12.0.0.2 24
[R2]interface GigabitEthernet 0/0/1
[R2-GigabitEthernet0/0/1]ip add 100.1.1.254 24
[R2]interface GigabitEthernet 0/0/2
[R2-GigabitEthernet0/0/2]ip add 110.1.1.254 24

R3

[R3]interface GigabitEthernet 0/0/0
[R3-GigabitEthernet0/0/0]ip add 13.0.0.3 24
[R3]interface GigabitEthernet 0/0/1
[R3-GigabitEthernet0/0/1]ip add 200.1.1.254 24
[R3]interface GigabitEthernet 0/0/2
[R3-GigabitEthernet0/0/2]ip add 210.1.1.254 24

2，划分和创建安全区域

[FW]firewall zone trust 
[FW-zone-trust]add interface GigabitEthernet 1/0/0

[FW]firewall zone name Untrust_1
[FW-zone-Untrust_1]set priority 70
[FW-zone-Untrust_1]add interface GigabitEthernet 1/0/1

[FW]firewall zone name Untrust_2
[FW-zone-Untrust_2]set priority 80
[FW-zone-Untrust_2]add interface GigabitEthernet 1/0/2

3、配置防火墙地址

创建地址组：

创建地址：

4、用户认证配置

创建认证域：

创建用户组信息：

创建用户信息：

5、用户认证策略配置

6、安全策略配置

创建时间集：

创建安全策略：

创建NAT策略：

7、添加运营商地址

下载地址库模板：

修改运营商地址：

导入运营商地址：

​ 注意：导入运营商地址，只能在web页面进行。

8、配置智能选路

a、配置真实DNS服务器信息

[FW]slb enable      ----开启服务器负载均衡功能
[FW]slb   ------进入服务器负载均衡配置视图
[FW-slb]group 0 dns    -----创建服务器组
[FW-slb-group-0]metric roundrobin   -----算法修改为简单轮询算法
[FW-slb-group-0]rserver 0 rip 100.1.1.1 port 53       -----设定真实服务器IP地址和端口号
[FW-slb-group-0]rserver 1 rip 200.1.1.1 port 53

b、创建虚拟服务，虚拟DNS服务器

[FW]slb
[FW-slb]vserver 0 dns      -----创建虚拟服务器组
[FW-slb-vserver-0]vip 10.10.10.10   -----设定虚拟服务器IP地址
[FW-slb-vserver-0]group dns    ------关联真实服务器组，组名为dns

c、配置DNS透明代理功能

[FW]dns-transparent-policy      ------进入DNS透明代理视图
[FW-policy-dns]dns transparent-proxy enable     -----开启透明代理功能，模拟器上无法通过web页面配置，只能通过命令开启

[FW]dns-transparent-policy
[FW-policy-dns]dns server bind interface GigabitEthernet 1/0/1 preferred 100.1.1.1       ------将100.1.1.1这个DNS的IP地址与出接口绑定
[FW-policy-dns]dns server bind interface GigabitEthernet 1/0/2 preferred 200.1.1.1       ------将200.1.1.1这个DNS的IP地址与出接口绑定

d、配置透明代理策略

[FW]dns-transparent-policy
[FW-policy-dns]rule name dns_policy     -----创建策略规则
[FW-policy-dns-rule-dns_policy]source-address 192.168.1.0 24   ----设定源IP地址
[FW-policy-dns-rule-dns_policy]enable    ----启用规则
[FW-policy-dns-rule-dns_policy]action tpdns     -----配置DNS透明代理规则动作为"代理"