eNSP下模拟企业网双机热备应用及实现部署方案及其原理_ensp gre+nat+双机热备

**

1.详细描述防火墙安全策略匹配原则和流程？

**
答：
匹配原则：
首包流程，做安全策略过滤，建立新会话列表—>未命中会话列表执行首包流程—>命中会话列表执行后续包流程
【首包流程做安全策略匹配，后续包（已通过会话包检查的）流程不做安全匹配（满足会话表要求）】
匹配流程：
1）匹配条件：
流量进防火墙，匹配源安全区域，目的安全区域，源地址，目的地址，用户，服务，应用，时间段等
第一条不满足，匹配第二个条，如果还不满足，继续，如果都不满足，禁止
匹配到某一条
服务：源端口号，目的端 口号
2）动作：允许（permit），禁止(deny)
3）配置文件：
匹配到文件某条过滤没通过的，pass掉，数据同样被丢弃
只有配置文件每一条都通过，才到达对端
2.总结源NAT地址池转换方式？
答：
1）不带端口转换的地址池方式
一对一的ip地址的转换，端口不进行转换（只针对ip转换）。NAT地址池中可以包含多个公网地址。
2）带端口转换的地址池方式
将不同的内部地址映射到同一公有地址的不同端口上，转换时同时转换地址和端口，即可实现多个私网地址共用一个或多个公网地址的需求。实现多对一地址转换。NAT地址池中可以包含一个或多个公网地址。
3.总结为什么要有域间双向NAT，如何实现的？
答：为简化配置服务器至公网的路由，可在NAT Server基础上，增加源NAT配置。
当配置NAT Server时，服务器需要配置到公网地址的路由才可正常发送回应报文。如果要简化配置，避免配置到公网地址的路由，则可以对外网用户的源IP地址也进行转换，转换后的源IP地址与服务器的私网地址在同一网段。这样内部服务器会缺省将回应报文发给网关，即设备本身，由设备来转发回应报文。
实现：NAT Server+源NAT
内网服务器dmz区域；外网intnet用户untrust区域
1）外网用户访问内网服务器时，目的地址是防火墙对外公网地址
防火墙进行地址转化，将目的地址变为内网服务器地址
2）内网服务器回复外网时，由于没有公网路由，需要先添加地址
4.防火墙双机热备实验
实验要求如下：
创建两个VRRP备份组，trust区域vrid为1，untrust区域vrid为2，防火墙之间启用HRP备份，IP地址规划如下：

配置命令（粘贴命令）
**

1.配置ip地址

**

FW1
[FW1]interface g1/0/0
[FW1-GigabitEthernet1/0/0]ip address 10.1.2.1 24
1
2
3