文章目錄
- 實驗拓撲
- 實驗要求
- 實驗配置
- 地址規劃
- 靜態路由配置
- 防火墻劃分安全區域
- 防火墻配置安全策略
- 配置NAT地址池
- 配置NAT策略
- 連通性測驗
- 使用Easy-ip做地址轉換
- DMZ區域配置FTP服務器
- 總結
實驗拓撲
實驗要求
- 全網互通
實驗配置
地址規劃
# AR1
int g0/0/0
ip ad 172.16.1.254 24
int g0/0/2
ip ad 192.168.1.254 24
int g0/0/1
ip ad 10.1.12.1 24
# FW
int g0/0/0
ip ad 192.168.43.3 24 //這里配置與橋接的網卡的地址同一個網段的IP
int g1/0/0
ip ad 10.1.12.2 24
int g1/0/1
ip ad 12.1.1.1 24
int g1/0/2
ip ad 13.1.1.1 24
# AR2
int g0/0/0
ip ad 12.1.1.2 24
int g0/0/1
ip ad 2.2.2.254 24
int g0/0/2
ip ad 2.2.1.254 24
如果需要使用Web管理界面管理,需要在防火墻的G0/0/0介面下開啟Web管理
service-manage all permit
- 在物理機上測驗與防火墻G0/0/0介面的連通性
- 在瀏覽器訪問:
https://192.168.43.3:8443登錄
靜態路由配置
# AR1
ip route-static 0.0.0.0 0 10.1.12.2 //配置預設路由,也可以寫明細路由
# AR2
ip route-static 0.0.0.0 0 12.1.1.1
# AR3
ip route-static 0.0.0.0 0 13.1.1.1
# FW
ip route-static 3.3.3.0 24 13.1.1.3
ip route-static 2.2.0.0 22 12.1.1.2
ip route-static 192.168.1.0 24 10.1.12.1
ip route-static 172.16.1.0 24 10.1.12.1
防火墻劃分安全區域
# FW
firewall zone trust
add int g 1/0/0
q
firewall zone untrust
add int g 1/0/2
q
firewall zone dmz
add int g 1/0/1
q
防火墻配置安全策略
# FW
security-policy
rule name tr_un
source-zone trust
destination-zone untrust
source-address 172.16.1.0 24 //也可以精確匹配
source-address 192.168.1.0 24
action permit
rule name tr_dmz
source-zone trust
destination-zone dmz
source-address 172.16.1.0 24
source-address 192.168.1.0 24
action permit
rule name un_dmz
source-zone untrust
destination-zone dmz
source-address 3.3.3.0 24
action permit
rule name dmz_tr
source-zone dmz
destination-zone trust
source-address 2.2.0.0 22
action permit
rule name dmz_un
source-zone dmz
destination-zone untrust
source-address 2.2.0.0 22
action permit
配置NAT地址池
# FW
nat address-group 1
mode no-pat local //不使用一對一映射,不做埠轉換
route enable
section 0 100.1.1.1 100.1.1.10 //公網映射的地址范圍
配置NAT策略
# FW
nat-policy
rule name 1
source-zone trust
destination-zone untrust
source-address 172.16.1.0 24 //可以寫精確地址
source-address 192.168.1.0 24
destination-address 3.3.3.0 24
action source-nat address-group 1 //對源做NAT地址轉換
- 配置AR3回防火墻的靜態路由
ip route-static 100.1.1.0 24 13.1.1.1
連通性測驗
- 在PC和Client上分別測驗與其他設備的連通性
- 在防火墻的G1/0/2介面抓包查看源地址是否轉換
使用Easy-ip做地址轉換
# FW
nat-policy
rule name 1
undo action source-nat
nat address-group 1
mode pat
nat-policy
rule name 1
action source-nat easy-ip //使用easy-ip 做地址轉換
通過命令
dis firewall session table查看地址轉換的表項
通過抓包查看
DMZ區域配置FTP服務器
- 配置公網IP映射到內網的服務器地址
# FW
nat server 1 protocol tcp global 100.1.1.1 ftp inside 2.2.1.1 ftp
- 防火墻配置從untrust區域到dmz區域的安全策略(前面已配置,這里可以不用配置)
rule name un_dmz
source-zone untrust
destination-zone dmz
source-address 3.3.3.0 24
destination-address 2.2.1.0 24 //可以配置精確地址也可以不配置
action permit
配置Server 1的FTP服務,使用給Client 2訪問
- 如果不能訪問,檢查AR3上是否有路由
查看防火墻上的會話表資訊
dis firewall session table
配置HTTP相同的配置nat server
nat server protocol tcp global 100.1.1.2 80 inside 2.2.1.1 80拓展:
- 這里還可以在Server端配置DNS服務器,配置相關的域名與IP的映射關系
- 客戶端也配置相應的DNS服務器地址,可以實作在客戶端通過域名訪問HTTP
總結
- 如果不通,檢查以下步驟:
- 檢查路由器以及防火墻的路由表
dis ip routing-table查看是否有去往目的網段的路由,沒有則檢查靜態路由配置 - 有路由,檢查防火墻的安全策略以及介面的區域規劃
- 檢查在AR3上是否配置了回防火墻的靜態路由
- 可以通過
dis firewall session table查看地串列會話址轉換 - 如果無法訪問Server端的服務,檢查Server端的服務是否啟動
以上內容均屬原創,如有不詳或錯誤,敬請指出,
本文作者:
壞壞
本文鏈接: https://blog.csdn.net/qq_45668124/article/details/109110876
著作權宣告: 本博客所有文章除特別宣告外,均采用
CC BY-NC-SA 4.0 許可協議,轉載請聯系作者注明出處并附帶本文鏈接!
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/179307.html
標籤:其他