该实验如果有做的不足的地方请见谅
实验目标:
按要求划分区域,公司内部办公区为trust,服务器区为dmz,外部网络为untrust。
PC1和PC2为公司内部办公区,需要从防火墙中的DHCP服务获取IP地址,并通过nat技术使内部网络能连接外部网络。而外部网络想要连接Server2服务器则需要在防火墙中映射Server2的IP至GE1/0/3接口,使用户通过访问GE1/0/3接口连接到Server2。
以上拓扑图需要用到USG6000V设备
注意USG6000V防火墙设备需要更改密码 原密码为:Admin@123
设备
端口号
IP地址
USG6000V
GE1/0/1
10.1.1.254/24
GE1/0/2
10.2.1.254/24
GE1/0/3
100.1.1.2/28
AR3260-AR2
GE0/0/0
100.1.1.1/28
GE0/0/1
172.16.1.254/24
PC1
E0/0/1
DHCP获取
(10.1.1.10-10.1.1.15)
PC2
E0/0/1
DHCP获取
(10.1.1.10-10.1.1.15)
Server1
E0/0/0
10.2.1.1/24
Server2
E0/0/0
10.2.1.2/24
办公区NAT转换地址池:100.1.1.10-100.1.1.14
首先配置防火墙与路由器的接口地址和静态路由:
[FW]interface g1/0/1
[FW-GigabitEthernet1/0/1]ip address 10.1.1.254 24
[FW]interface g1/0/2
[FW-GigabitEthernet1/0/2]ip address 10.2.1.254 24
[FW]interface g1/0/3
[FW-GigabitEthernet1/0/3]ip address 100.1.1.2 28
[FW]ip route-static 0.0.0.0 0 100.1.1.1
[R]interface g0/0/0
[R-GigabitEthernet0/0/3]ip address 100.1.1.1 28
[R]interface g0/0/1
[R-GigabitEthernet0/0/3]ip address 172.16.1.254 24
[R]ip route-static 0.0.0.0 0 100.1.1.2
接下来进行防火墙区域配置及DHCP下发trust:
[FW]firewall zone trust
[FW-zone-trust]add interface g1/0/1
[FW]firewall zone dmz
[FW-zone-dmz]add interface g1/0/2
[FW]firewall zone untrust
[FW-zone-untrust]add interface g1/0/3
[FW]interface g1/0/1
[FW-GigabitEthernet1/0/1]dhcp select interface
[FW-GigabitEthernet1/0/1]dhcp server ip-range 10.1.1.1 10.1.1.253
[FW-GigabitEthernet1/0/1]dhcp server gateway-list 10.1.1.254
[FW-GigabitEthernet1/0/1]dhcp server excluded-ip-address 10.1.1.1 10.1.1.9
[FW-GigabitEthernet1/0/1]dhcp server excluded-ip-address 10.1.1.16 10.1.1.253
进入PC机查看:
可以看到IP地址获取成功网关为10.1.1.254防火墙的GE1/0/1接口地址
开始对内网访问外网进行NAT转换:
创建NAT地址池
[FW]nat address-group 1
[FW-address-group-1]section 0 100.1.1.10 100.1.1.14
[FW-address-group-1]mode pat //模式更改为pat模式
进入NAT策略配置
[FW]nat-policy
[FW-policy-nat]rule name trust-nat //创建名为trust-nat的规则
[FW-policy-nat-rule-trust-nat]source-zone trust //源区域trust
[FW-policy-nat-rule-trust-nat]destination-zone untrust //目的区域untrust
[FW-policy-nat-rule-trust-nat]source-address 10.1.1.0 mask 255.255.255.0
[FW-policy-nat-rule-trust-nat]action source-nat address-group 1 //应用NAT地址池1
//源IP地址为10.1.1.0的地址可以使用NAT地址池1进行地址转换
进入安全策略设置区域通信:
[FW]security-policy
[FW-policy-security]rule name trust-untrust //创建策略规则
[FW-policy-security-rule-trust-untrust]source-zone trust
[FW-policy-security-rule-trust-untrust]destination-zone untrust
[FW-policy-security-rule-trust-untrust]source-address 10.1.1.0 mask 255.255.255.0
[FW-policy-security-rule-trust-untrust]action permit //策略动作为允许
//源区域信任区中的源IP地址为10.1.1.0的地址可以对非信任区进行通信
使用PC机ping非信任区:
在防火墙中查看会话表查看结果
[FW]display firewall session table
再进行server2的外部地址映射使得非信任区能连接到server2的http
[FW]nat server protocol tcp global 100.1.1.2 inside 10.2.1.2
//内部网络10.2.1.2tcp协议映射在100.1.1.2上
[FW]security-policy
[FW-policy-security]rule name un-dmz
[FW-policy-security-rule-un-dmz]source-zone untrust
[FW-policy-security-rule-un-dmz]destination-zone dmz
[FW-policy-security-rule-un-dmz]service http
[FW-policy-security-rule-un-dmz]action permit
最后使用client访问http://100.1.1.1/index.html
Original: https://www.cnblogs.com/Alexing/p/16228730.html
Author: 一头大笨向
Title: 防火墙NAT配置与DHCP下发
原创文章受到原创版权保护。转载请注明出处:https://www.johngo689.com/582326/
转载文章受原作者版权保护。转载请注明原作者出处!