文章目录
实验拓扑
实验要求
- 全网互通
实验配置
地址规划
# AR1
int g0/0/0
ip ad 172.16.1.254 24
int g0/0/2
ip ad 192.168.1.254 24
int g0/0/1
ip ad 10.1.12.1 24
# FW
int g0/0/0
ip ad 192.168.43.3 24 //这里配置与桥接的网卡的地址同一个网段的IP
int g1/0/0
ip ad 10.1.12.2 24
int g1/0/1
ip ad 12.1.1.1 24
int g1/0/2
ip ad 13.1.1.1 24
# AR2
int g0/0/0
ip ad 12.1.1.2 24
int g0/0/1
ip ad 2.2.2.254 24
int g0/0/2
ip ad 2.2.1.254 24
如果需要使用Web管理界面管理,需要在防火墙的G0/0/0接口下开启Web管理
service-manage all permit
- 在物理机上测试与防火墙G0/0/0接口的连通性
- 在浏览器访问:
https://192.168.43.3:8443
登录
静态路由配置
# AR1
ip route-static 0.0.0.0 0 10.1.12.2 //配置缺省路由,也可以写明细路由
# AR2
ip route-static 0.0.0.0 0 12.1.1.1
# AR3
ip route-static 0.0.0.0 0 13.1.1.1
# FW
ip route-static 3.3.3.0 24 13.1.1.3
ip route-static 2.2.0.0 22 12.1.1.2
ip route-static 192.168.1.0 24 10.1.12.1
ip route-static 172.16.1.0 24 10.1.12.1
防火墙划分安全区域
# FW
firewall zone trust
add int g 1/0/0
q
firewall zone untrust
add int g 1/0/2
q
firewall zone dmz
add int g 1/0/1
q
防火墙配置安全策略
# FW
security-policy
rule name tr_un
source-zone trust
destination-zone untrust
source-address 172.16.1.0 24 //也可以精确匹配
source-address 192.168.1.0 24
action permit
rule name tr_dmz
source-zone trust
destination-zone dmz
source-address 172.16.1.0 24
source-address 192.168.1.0 24
action permit
rule name un_dmz
source-zone untrust
destination-zone dmz
source-address 3.3.3.0 24
action permit
rule name dmz_tr
source-zone dmz
destination-zone trust
source-address 2.2.0.0 22
action permit
rule name dmz_un
source-zone dmz
destination-zone untrust
source-address 2.2.0.0 22
action permit
配置NAT地址池
# FW
nat address-group 1
mode no-pat local //不使用一对一映射,不做端口转换
route enable
section 0 100.1.1.1 100.1.1.10 //公网映射的地址范围
配置NAT策略
# FW
nat-policy
rule name 1
source-zone trust
destination-zone untrust
source-address 172.16.1.0 24 //可以写精确地址
source-address 192.168.1.0 24
destination-address 3.3.3.0 24
action source-nat address-group 1 //对源做NAT地址转换
- 配置AR3回防火墙的静态路由
ip route-static 100.1.1.0 24 13.1.1.1
连通性测试
- 在PC和Client上分别测试与其他设备的连通性
- 在防火墙的G1/0/2接口抓包查看源地址是否转换
使用Easy-ip做地址转换
# FW
nat-policy
rule name 1
undo action source-nat
nat address-group 1
mode pat
nat-policy
rule name 1
action source-nat easy-ip //使用easy-ip 做地址转换
通过命令
dis firewall session table
查看地址转换的表项
通过抓包查看
DMZ区域配置FTP服务器
- 配置公网IP映射到内网的服务器地址
# FW
nat server 1 protocol tcp global 100.1.1.1 ftp inside 2.2.1.1 ftp
- 防火墙配置从untrust区域到dmz区域的安全策略(前面已配置,这里可以不用配置)
rule name un_dmz
source-zone untrust
destination-zone dmz
source-address 3.3.3.0 24
destination-address 2.2.1.0 24 //可以配置精确地址也可以不配置
action permit
配置Server 1的FTP服务,使用给Client 2访问
- 如果不能访问,检查AR3上是否有路由
查看防火墙上的会话表信息
dis firewall session table
配置HTTP相同的配置nat server
nat server protocol tcp global 100.1.1.2 80 inside 2.2.1.1 80
拓展:
- 这里还可以在Server端配置DNS服务器,配置相关的域名与IP的映射关系
- 客户端也配置相应的DNS服务器地址,可以实现在客户端通过域名访问HTTP
总结
- 如果不通,检查以下步骤:
- 检查路由器以及防火墙的路由表
dis ip routing-table
查看是否有去往目的网段的路由,没有则检查静态路由配置 - 有路由,检查防火墙的安全策略以及接口的区域规划
- 检查在AR3上是否配置了回防火墙的静态路由
- 可以通过
dis firewall session table
查看地列表会话址转换 - 如果无法访问Server端的服务,检查Server端的服务是否启动
以上内容均属原创,如有不详或错误,敬请指出。
本文链接: https://blog.csdn.net/qq_45668124/article/details/109110876
版权声明: 本博客所有文章除特别声明外,均采用
CC BY-NC-SA 4.0 许可协议。转载请联系作者注明出处并附带本文链接!