toop接上回
1.实验拓扑及要求
前情回顾
-
DMZ区内的服务器,办公区仅能在办公时间内(9:00 - 18:00)可以访问,生产区的设备全天可以访问.
-
生产区不允许访问互联网,办公区和游客区允许访问互联网
-
办公区设备10.0.2.10不允许访问DMZ区的FTP服务器和HTTP服务器,仅能ping通10.0.3.10
-
办公区分为市场部和研发部,市场部IP地址固定,访问DMZ区使用匿名认证,研发部需要用户绑定IP地址,访问DMZ区使用免认证,游客区人员不固定,不允许访问DMZ区和生产区,统一使用Guest用户登录,密码Admin@123
-
生产区访问DMZ区时,需要进行protal认证,设立生产区用户组织架构,至少包含三个部门,每个部门三个用户,用户统一密openlab123,首次登录需要修改密码,用户过期时间设定为10天,用户不允许多人使用
-
创建一个自定义管理员,要求不能拥有系统管理的功能
书接上回
-
办公区设备可以通过电信链路和移动链路上网(多对多的NAT,并且需要保留一个公网IP不能用来转换)
-
分公司设备可以通过总公司的移动链路和电信链路访问到Dmz区的http服务器
-
多出口环境基于带宽比例进行选路,但是,办公区中10.0.2.10该设备只能通过电信的链路访问互联网。链路开启过载保护,保护阈值80%
-
分公司内部的客户端可以通过域名访问到内部的服务器,公网设备也可以通过域名访问到分公司内部服务器;
-
游客区仅能通过移动链路访问互联网
实验思路
-
创建电信,移动安全区,将对应接口划入其中,创建移动、电信线路的办公区指向ISP的多对多的NAPT,创建源地址转换池,保留一个
-
总公司区,创建分公司(分公司的源nat转化地址)访问HTTP服务起的安全策略,分别创建移动,电信的目标NAT指向HTTP服务器,目标地址为接口地址,采用NAPT方式;分公司,创建访问电信,移动地址的安全策略,创建内网到移动、电信地址的源NAT,采用多对多NAPT
-
分别创建移动、电信的链路接口,移动、电信接口分别开启多出口,设置限制带宽和过载保护阈值;设置智能选路为依据带宽,将移动、电信链路接口加入;设置10.0.2.10走电信的策略路由
-
配置DNS服务器,添加解析条目;分公司,设置双向nat用于内网域名访问;设置目标NAT指向HTTP服务器,用于公网访问,采用接口地址NAPT;添加外网到HTTP的安全策略
-
添加游客区走移动链路的源NAT,添加游客区走移动链路的策略路由
实验过程
1.完善toop图配好IP地址
FW2的基础配置
办公区设备可以通过电信链路和移动链路上网(多对多的NAT,并且需要保留一个公网IP不能用来转换)
FW1
移动 源NAT
电信 源NAT
测试
分公司设备可以通过总公司的移动链路和电信链路访问到Dmz区的http服务器
总公司FW1
安全策略
电信 目标NAT
移动目标NAT
分公司FW2
安全策略
源NAT
测试
电信线路
FW1
FW2
移动线路
FW1
FW2
多出口环境基于带宽比例进行选路,但是,办公区中10.0.2.10该设备只能通过电信的链路访问互联网。链路开启过载保护,保护阈值80%
多出口环境基于带宽比例进行选路 FW1
办公区中10.0.2.10该设备只能通过电信的链路访问互联网
测试
-
增加可行度添加一条走移动的静态路由
-
10.0.2.10测试
-
10.0.2.20测试
分公司内部的客户端可以通过域名访问到内部的服务器,公网设备也可以通过域名访问到分公司内部服务器;
分公司内部的客户端可以通过域名访问到内部的服务器
搭建DNS服务器
FW2
安全策略:添加DNS的IP地址
源NAT 添加DNS的IP地址
双向NAT
测试
公网设备也可以通过域名访问到分公司内部服务器;
FW2
安全策略
目标NAT
测试
游客区仅能通过移动链路访问互联网
FW1
添加YK区源NAT转换走移动区域
为了保险添加策略路由
测试
为了测试添加一条走向电信的静态
游客区
非游客区
一些小发现
当把游客那条策略路由禁用后,保留指向电信的静态缺省。那么就会优先看路由,发现电信这个接口没有配关于游客区的nat那么就不会转换地址
