智能选路+NAT实验

文章目录

智能选路+NAT实验

一、实验拓扑

二、实验要求

1、根据下列表格所示,为每个设备配置合理的IP地址:

设备 接口 IP
FW GE1/0/0 192.168.1.254/24
GE1/0/1 12.0.0.1/24
GE1/0/2 13.0.0.1/24
R2 GE0/0/0 12.0.0.2/24
GE0/0/1 100.1.1.254/24
GE0/0/2 110.1.1.254/24
R3 GE0/0/0 13.0.0.3/24
GE0/0/1 200.1.1.254/24
GE0/0/2 210.1.1.254/24
设备 IP 备注
Clinet1 192.168.1.1/24 内网VIP用户
Clinet2 192.168.1.2/24 内网普通用户
电信DNS 100.1.1.1/24 电信运营商
百度web-1 110.1.1.1/24 百度服务器1
百度web-2 210.1.1.1/24 百度服务器2
联通DNS 200.1.1.1/24 联通运营商

2、防火墙安全区域配置

设备 接口 安全区域 优先级
FW GE1/0/0 Trust 默认
GE1/0/1 Untrust_1 70
GE1/0/2 Untrust_2 80

3、防火墙地址组信息

设备 地址 地址组 描述信息
Clinet1 192.168.1.1/24 Trust_Clinet VIP用户
Clinet2 192.168.1.2/24 Trust_Clinet 普通用户
电信DNS 100.1.1.1/24 Untrust_1_Server 电信运营商的DNS服务器
百度web-1 110.1.1.1/24 Untrust_1_Server 电信运营商网络的百度web
百度web-2 210.1.1.1/24 Untrust_2_Server 联通运营商网络的百度web
联通DNS 200.1.1.1/24 Untrust_2_Server 联通运营商的DNS服务器

4、用户认证配置

项目 数据
认证域 名称:openlab 认证方案:Portal 接入控制:上网行为管理 新用户认证选项:使用/openlab组权限
用户组信息
VIP组 用户组组名:A 用户组所属组:/openlab
PT组 用户组组名:B 用户组所属组:/openlab
VIP用户 用户组组名:VIP 用户组所属组:/openlab/A
普通用户 用户组组名:PT 用户组所属组:/openlab/B
用户信息
VIP用户 用户登录名:user_001 用户显示名:张三 用户所属组:/openlab/A/VIP 不允许多人同时使用该账号登录 IP/MAC绑定方式:双向绑定 IP/MAC地址:Clinet1的MAC
普通用户 用户登录名:PT_001 用户显示名:李四 用户所属组:/openlab/B/PT 允许多人同时使用该账号登录
复制代码
用户认证策略要求:
VIP用户在访问任何区域时,都需要使用免认证策略;
普通用户在访问Untrust_1区域时,需要使用Portal认证;在访问Untrust_2区域时,需要使用匿名认证。
认证策略 数据
VIP用户认证策略 名称:policy_VIP_1 描述:VIP用户认证策略 源安全区域:Trust 目的安全区域:any 源地址/地区:Clinet1 目的地址/地区:Untrust_1_Server,Untrust_2_Server 认证动作:免认证
普通用户认证策略 名称:policy_PT_2 描述:普通用户_to_Untrust_1 源安全区域:Trust 目的安全区域:Untrust_1_Server 源地址/地区:Clinet2 目的地址/地区:Untrust_1_Server 认证动作:Portal认证
名称:policy_PT_3 描述:普通用户_to_Untrust_2 源安全区域:Trust 目的安全区域:Untrust_2_Server 源地址/地区:Clinet2 目的地址/地区:Untrust_2_Server 认证动作:匿名认证

5、防火墙安全策略配置

复制代码
VIP用户可以在工作日内的任何时间访问电信和联通的相关服务;
普通用户只能在周一、周三、周五的任何时间访问电信的相关服务,在周二、周四的任何时间访问联通的相关服务。
策略名称 内容
policy_01 描述:VIP_to_电信和联通 源安全区域:Trust 目的安全区域:Untrust_1、Untrust_2 源地址:Clinet1 目的地址:any 服务:HTTP、HTTPS 动作:允许
policy_02 描述:普通_ to _电信 源安全区域:Trust 目的安全区域:Untrust_1 源地址:Clinet2 目的地址:Untrust_1_Server 服务:HTTP、HTTPS 动作:允许
policy_3 描述:普通_ to _联通 源安全区域:Trust 目的安全区域:Untrust_2 源地址:Clinet2 目的地址:Untrust_2_Server 服务:HTTP、HTTPS 动作:允许

6、创建智能选路

复制代码
    在网络中部署DNS代理服务器或启用路由器的DNS代理功能。
    配置DNS代理服务器以监听客户端的DNS查询请求。
    根据查询请求的目的地(如域名或IP地址范围),配置DNS代理服务器选择不同的DNS服务器进行解析。
    确保DNS代理服务器能够透明地处理DNS查询请求,即客户端无需更改其DNS设置即可使用透明DNS选路功能。

三、实验配置

复制代码
[FW]interface GigabitEthernet 0/0/0
[FW-GigabitEthernet0/0/0]service-manage all permit
注:配置防火墙时,先开启0/0/0管理口的相关服务,便于在web页面访问服务器。

1,IP配置

FW

复制代码
[FW]interface GigabitEthernet 1/0/0
[FW-GigabitEthernet1/0/0]ip address 192.168.1.254 24
[FW]interface GigabitEthernet 1/0/1
[FW-GigabitEthernet1/0/1]ip address 12.0.0.1 24
[FW]interface GigabitEthernet 1/0/2
[FW-GigabitEthernet1/0/2]ip address 13.0.0.1 24

R2

复制代码
[R2]interface GigabitEthernet 0/0/0
[R2-GigabitEthernet0/0/0]ip add 12.0.0.2 24
[R2]interface GigabitEthernet 0/0/1
[R2-GigabitEthernet0/0/1]ip add 100.1.1.254 24
[R2]interface GigabitEthernet 0/0/2
[R2-GigabitEthernet0/0/2]ip add 110.1.1.254 24

R3

复制代码
[R3]interface GigabitEthernet 0/0/0
[R3-GigabitEthernet0/0/0]ip add 13.0.0.3 24
[R3]interface GigabitEthernet 0/0/1
[R3-GigabitEthernet0/0/1]ip add 200.1.1.254 24
[R3]interface GigabitEthernet 0/0/2
[R3-GigabitEthernet0/0/2]ip add 210.1.1.254 24

2,划分和创建安全区域

复制代码
[FW]firewall zone trust 
[FW-zone-trust]add interface GigabitEthernet 1/0/0

[FW]firewall zone name Untrust_1
[FW-zone-Untrust_1]set priority 70
[FW-zone-Untrust_1]add interface GigabitEthernet 1/0/1

[FW]firewall zone name Untrust_2
[FW-zone-Untrust_2]set priority 80
[FW-zone-Untrust_2]add interface GigabitEthernet 1/0/2

3、配置防火墙地址

创建地址组:

创建地址:

4、用户认证配置

创建认证域:

创建用户组信息:

创建用户信息:

5、用户认证策略配置

6、安全策略配置

创建时间集:



创建安全策略:

创建NAT策略:

7、添加运营商地址

下载地址库模板:

修改运营商地址:

导入运营商地址:

注意:导入运营商地址,只能在web页面进行。

8、配置智能选路

a、配置真实DNS服务器信息
复制代码
[FW]slb enable      ----开启服务器负载均衡功能
[FW]slb   ------进入服务器负载均衡配置视图
[FW-slb]group 0 dns    -----创建服务器组
[FW-slb-group-0]metric roundrobin   -----算法修改为简单轮询算法
[FW-slb-group-0]rserver 0 rip 100.1.1.1 port 53       -----设定真实服务器IP地址和端口号
[FW-slb-group-0]rserver 1 rip 200.1.1.1 port 53
b、创建虚拟服务,虚拟DNS服务器
复制代码
[FW]slb
[FW-slb]vserver 0 dns      -----创建虚拟服务器组
[FW-slb-vserver-0]vip 10.10.10.10   -----设定虚拟服务器IP地址
[FW-slb-vserver-0]group dns    ------关联真实服务器组,组名为dns
c、配置DNS透明代理功能
复制代码
[FW]dns-transparent-policy      ------进入DNS透明代理视图
[FW-policy-dns]dns transparent-proxy enable     -----开启透明代理功能,模拟器上无法通过web页面配置,只能通过命令开启
复制代码
[FW]dns-transparent-policy
[FW-policy-dns]dns server bind interface GigabitEthernet 1/0/1 preferred 100.1.1.1       ------将100.1.1.1这个DNS的IP地址与出接口绑定
[FW-policy-dns]dns server bind interface GigabitEthernet 1/0/2 preferred 200.1.1.1       ------将200.1.1.1这个DNS的IP地址与出接口绑定
d、配置透明代理策略
复制代码
[FW]dns-transparent-policy
[FW-policy-dns]rule name dns_policy     -----创建策略规则
[FW-policy-dns-rule-dns_policy]source-address 192.168.1.0 24   ----设定源IP地址
[FW-policy-dns-rule-dns_policy]enable    ----启用规则
[FW-policy-dns-rule-dns_policy]action tpdns     -----配置DNS透明代理规则动作为"代理"
相关推荐
编程到天明1 分钟前
CTF实战:用Sqlmap破解表单输入型SQL注入题(输入账号密码/username&password)
sql·网络安全·web
m0_738120723 小时前
Solar月赛(应急响应)——攻击者使用什么漏洞获取了服务器的配置文件?
运维·服务器·安全·web安全·网络安全
卓码软件测评7 小时前
软件测试测评公司关于HTTP安全头配置与测试?
web安全·网络安全·安全性测试·web app
敲上瘾14 小时前
渗透测试常用指令
服务器·测试工具·网络安全·压力测试
根本睡不醒#20 小时前
kali安装maven
java·web安全·网络安全·maven
AWS官方合作商1 天前
AWS IAM:安全访问管理的核心指南
网络安全·云计算·aws
枷锁—sha1 天前
【BUUCTF系列】[HCTF 2018]WarmUp1
android·网络·web安全·网络安全
王火火(DDoS CC防护)1 天前
DDoS安全防护是什么?六点讲透
网络安全·ddos防御·ddos攻击
桑晒.2 天前
CSRF漏洞原理及利用
前端·web安全·网络安全·csrf
网安INF2 天前
【论文阅读】-《RayS: A Ray Searching Method for Hard-label Adversarial Attack》
论文阅读·人工智能·深度学习·计算机视觉·网络安全·对抗攻击