- 12021-09-20 Android(R) user版本启动ADB,并设置root权限_android user 版本开启adb root 和 adb remount
- 2微软:警惕利用VMware ESXi进行身份验证绕过攻击_cve-2024-37085 的 esxihypervisor
- 3基于qt的图书管理系统----01数据库设计_qt图书管理系统
- 4k8s1.18.0完整部署教程
- 5为ChatGLM-6B模型的训练纪实(三)——阶段性成果展示_chatglm-6b 分析图片行为
- 6如何在浏览器看到ASP的错误详细信息(IIS7.0)
- 7模拟实现unordered_set和unordered_map
- 8机器学习中的 K-均值聚类算法及其优缺点_k-均值算法缺陷 程序表示
- 9android studio apt代码编写实战
- 10【雕爷学编程】Arduino动手做(181)---Maixduino AI开发板9_maixduino开发教程
防火墙NAT、智能选路综合实验
赞
踩
目录
一、实验拓扑
二、实验要求
1,办公区设备可以通过电信链路和移动链路上网(多对多的NAT,并且需要保留一个公网IP不能用来转换)
2,分公司设备可以通过总公司的移动链路和电信链路访问到Dmz区的http服务器
3,多出口环境基于带宽比例进行选路,但是,办公区中10.0.2.10该设备只能通过电信的链路访问互联网。链路开启过载保护,保护阈值80%;
4,分公司内部的客户端可以通过域名访问到内部的服务器,公网设备也可以通过域名访问到分公司内部服务器;
5,游客区仅能通过移动链路访问互联网
三、实验思路
1、先创建电信、移动两个安全区域,再将接口划入区域中,再做多对多的源NAT策略
2、先给分公司的防火墙配置IP地址、划分区域,及其他设备配置IP地址,做服务器映射
3、配置全局选路策略
4、配置NAT策略实现可以访问到内部的服务器,配置DNS,实现域名访问
5、配置NAT策略实现游客区访问公网
四、实验配置
1、实现办公区通过电信、移动访问公网
先将接口划入区域
做NAT策略 (源NAT) ---- 多对多的NAT选用地址池
先写好安全策略
电信:
保留一个公网IP不能用来转换
移动:
测试:
抓包:
2、实现分公司通过电信、移动访问DMZ区http服务器
配置IP地址、划分区域
[USG6000V1]int g0/0/0
[USG6000V1-GigabitEthernet0/0/0]ip add 192.168.100.2 24
[USG6000V1-GigabitEthernet0/0/0]service-manage all permit
做NAT策略
先在FW3配置服务器映射使untrust能访问到内部
再在FW4配置源NAT,让trust区可以访问untrust区
测试:
3、配置全局选路策略
先创建两个链路接口:
做全局策略
链路开启过载保护,保护阈值80%
结果:
办公区中10.0.2.10该设备只能通过电信的链路访问互联网
测试:
4、实现分公司、公网设备通过域名访问各自区域 的服务器
内部访问服务器:
双向NAT让内网可以访问外网
外部访问内部服务器:
方法一:NAT策略
方法二:服务器映射
给访问设备配置域名服务器ip,并启动
客户端保存域名服务器
测试:
5、实现游客区通过移动访问公网
游客区可能因为负载分担走电信,但电信触发不了安全策略,走不通,所以要写策略路由
测试:
抓包:
