文章目录
智能选路+NAT实验
一、实验拓扑
二、实验要求
1、根据下列表格所示,为每个设备配置合理的IP地址:
| 设备 | 接口 | IP |
|---|---|---|
| FW | GE1/0/0 | 192.168.1.254/24 |
| GE1/0/1 | 12.0.0.1/24 | |
| GE1/0/2 | 13.0.0.1/24 | |
| R2 | GE0/0/0 | 12.0.0.2/24 |
| GE0/0/1 | 100.1.1.254/24 | |
| GE0/0/2 | 110.1.1.254/24 | |
| R3 | GE0/0/0 | 13.0.0.3/24 |
| GE0/0/1 | 200.1.1.254/24 | |
| GE0/0/2 | 210.1.1.254/24 |
| 设备 | IP | 备注 |
|---|---|---|
| Clinet1 | 192.168.1.1/24 | 内网VIP用户 |
| Clinet2 | 192.168.1.2/24 | 内网普通用户 |
| 电信DNS | 100.1.1.1/24 | 电信运营商 |
| 百度web-1 | 110.1.1.1/24 | 百度服务器1 |
| 百度web-2 | 210.1.1.1/24 | 百度服务器2 |
| 联通DNS | 200.1.1.1/24 | 联通运营商 |
2、防火墙安全区域配置
| 设备 | 接口 | 安全区域 | 优先级 |
|---|---|---|---|
| FW | GE1/0/0 | Trust | 默认 |
| GE1/0/1 | Untrust_1 | 70 | |
| GE1/0/2 | Untrust_2 | 80 |
3、防火墙地址组信息
| 设备 | 地址 | 地址组 | 描述信息 |
|---|---|---|---|
| Clinet1 | 192.168.1.1/24 | Trust_Clinet | VIP用户 |
| Clinet2 | 192.168.1.2/24 | Trust_Clinet | 普通用户 |
| 电信DNS | 100.1.1.1/24 | Untrust_1_Server | 电信运营商的DNS服务器 |
| 百度web-1 | 110.1.1.1/24 | Untrust_1_Server | 电信运营商网络的百度web |
| 百度web-2 | 210.1.1.1/24 | Untrust_2_Server | 联通运营商网络的百度web |
| 联通DNS | 200.1.1.1/24 | Untrust_2_Server | 联通运营商的DNS服务器 |
4、用户认证配置
| 项目 | 数据 |
|---|---|
| 认证域 | 名称:openlab 认证方案:Portal 接入控制:上网行为管理 新用户认证选项:使用/openlab组权限 |
| 用户组信息 | |
| VIP组 | 用户组组名:A 用户组所属组:/openlab |
| PT组 | 用户组组名:B 用户组所属组:/openlab |
| VIP用户 | 用户组组名:VIP 用户组所属组:/openlab/A |
| 普通用户 | 用户组组名:PT 用户组所属组:/openlab/B |
| 用户信息 | |
| VIP用户 | 用户登录名:user_001 用户显示名:张三 用户所属组:/openlab/A/VIP 不允许多人同时使用该账号登录 IP/MAC绑定方式:双向绑定 IP/MAC地址:Clinet1的MAC |
| 普通用户 | 用户登录名:PT_001 用户显示名:李四 用户所属组:/openlab/B/PT 允许多人同时使用该账号登录 |
用户认证策略要求:
VIP用户在访问任何区域时,都需要使用免认证策略;
普通用户在访问Untrust_1区域时,需要使用Portal认证;在访问Untrust_2区域时,需要使用匿名认证。| 认证策略 | 数据 |
|---|---|
| VIP用户认证策略 | 名称:policy_VIP_1 描述:VIP用户认证策略 源安全区域:Trust 目的安全区域:any 源地址/地区:Clinet1 目的地址/地区:Untrust_1_Server,Untrust_2_Server 认证动作:免认证 |
| 普通用户认证策略 | 名称:policy_PT_2 描述:普通用户_to_Untrust_1 源安全区域:Trust 目的安全区域:Untrust_1_Server 源地址/地区:Clinet2 目的地址/地区:Untrust_1_Server 认证动作:Portal认证 |
| 名称:policy_PT_3 描述:普通用户_to_Untrust_2 源安全区域:Trust 目的安全区域:Untrust_2_Server 源地址/地区:Clinet2 目的地址/地区:Untrust_2_Server 认证动作:匿名认证 |
5、防火墙安全策略配置
VIP用户可以在工作日内的任何时间访问电信和联通的相关服务;
普通用户只能在周一、周三、周五的任何时间访问电信的相关服务,在周二、周四的任何时间访问联通的相关服务。| 策略名称 | 内容 |
|---|---|
| policy_01 | 描述:VIP_to_电信和联通 源安全区域:Trust 目的安全区域:Untrust_1、Untrust_2 源地址:Clinet1 目的地址:any 服务:HTTP、HTTPS 动作:允许 |
| policy_02 | 描述:普通_ to _电信 源安全区域:Trust 目的安全区域:Untrust_1 源地址:Clinet2 目的地址:Untrust_1_Server 服务:HTTP、HTTPS 动作:允许 |
| policy_3 | 描述:普通_ to _联通 源安全区域:Trust 目的安全区域:Untrust_2 源地址:Clinet2 目的地址:Untrust_2_Server 服务:HTTP、HTTPS 动作:允许 |
6、创建智能选路
在网络中部署DNS代理服务器或启用路由器的DNS代理功能。
配置DNS代理服务器以监听客户端的DNS查询请求。
根据查询请求的目的地(如域名或IP地址范围),配置DNS代理服务器选择不同的DNS服务器进行解析。
确保DNS代理服务器能够透明地处理DNS查询请求,即客户端无需更改其DNS设置即可使用透明DNS选路功能。三、实验配置
[FW]interface GigabitEthernet 0/0/0
[FW-GigabitEthernet0/0/0]service-manage all permit
注:配置防火墙时,先开启0/0/0管理口的相关服务,便于在web页面访问服务器。1,IP配置
FW
[FW]interface GigabitEthernet 1/0/0
[FW-GigabitEthernet1/0/0]ip address 192.168.1.254 24
[FW]interface GigabitEthernet 1/0/1
[FW-GigabitEthernet1/0/1]ip address 12.0.0.1 24
[FW]interface GigabitEthernet 1/0/2
[FW-GigabitEthernet1/0/2]ip address 13.0.0.1 24R2
[R2]interface GigabitEthernet 0/0/0
[R2-GigabitEthernet0/0/0]ip add 12.0.0.2 24
[R2]interface GigabitEthernet 0/0/1
[R2-GigabitEthernet0/0/1]ip add 100.1.1.254 24
[R2]interface GigabitEthernet 0/0/2
[R2-GigabitEthernet0/0/2]ip add 110.1.1.254 24R3
[R3]interface GigabitEthernet 0/0/0
[R3-GigabitEthernet0/0/0]ip add 13.0.0.3 24
[R3]interface GigabitEthernet 0/0/1
[R3-GigabitEthernet0/0/1]ip add 200.1.1.254 24
[R3]interface GigabitEthernet 0/0/2
[R3-GigabitEthernet0/0/2]ip add 210.1.1.254 24
2,划分和创建安全区域
[FW]firewall zone trust
[FW-zone-trust]add interface GigabitEthernet 1/0/0
[FW]firewall zone name Untrust_1
[FW-zone-Untrust_1]set priority 70
[FW-zone-Untrust_1]add interface GigabitEthernet 1/0/1
[FW]firewall zone name Untrust_2
[FW-zone-Untrust_2]set priority 80
[FW-zone-Untrust_2]add interface GigabitEthernet 1/0/23、配置防火墙地址
创建地址组:
创建地址:
4、用户认证配置
创建认证域:
创建用户组信息:
创建用户信息:
5、用户认证策略配置
6、安全策略配置
创建时间集:
创建安全策略:
创建NAT策略:
7、添加运营商地址
下载地址库模板:
修改运营商地址:
导入运营商地址:
注意:导入运营商地址,只能在web页面进行。
8、配置智能选路
a、配置真实DNS服务器信息
[FW]slb enable ----开启服务器负载均衡功能
[FW]slb ------进入服务器负载均衡配置视图
[FW-slb]group 0 dns -----创建服务器组
[FW-slb-group-0]metric roundrobin -----算法修改为简单轮询算法
[FW-slb-group-0]rserver 0 rip 100.1.1.1 port 53 -----设定真实服务器IP地址和端口号
[FW-slb-group-0]rserver 1 rip 200.1.1.1 port 53
b、创建虚拟服务,虚拟DNS服务器
[FW]slb
[FW-slb]vserver 0 dns -----创建虚拟服务器组
[FW-slb-vserver-0]vip 10.10.10.10 -----设定虚拟服务器IP地址
[FW-slb-vserver-0]group dns ------关联真实服务器组,组名为dns
c、配置DNS透明代理功能
[FW]dns-transparent-policy ------进入DNS透明代理视图
[FW-policy-dns]dns transparent-proxy enable -----开启透明代理功能,模拟器上无法通过web页面配置,只能通过命令开启
[FW]dns-transparent-policy
[FW-policy-dns]dns server bind interface GigabitEthernet 1/0/1 preferred 100.1.1.1 ------将100.1.1.1这个DNS的IP地址与出接口绑定
[FW-policy-dns]dns server bind interface GigabitEthernet 1/0/2 preferred 200.1.1.1 ------将200.1.1.1这个DNS的IP地址与出接口绑定
d、配置透明代理策略
[FW]dns-transparent-policy
[FW-policy-dns]rule name dns_policy -----创建策略规则
[FW-policy-dns-rule-dns_policy]source-address 192.168.1.0 24 ----设定源IP地址
[FW-policy-dns-rule-dns_policy]enable ----启用规则
[FW-policy-dns-rule-dns_policy]action tpdns -----配置DNS透明代理规则动作为"代理"