一、NAT实验
一、源地址转换
1、首先搭建NAT实验环境的拓扑:
这里需要配置各个设备的ip、掩码、网关;省略
2、登录防火墙设备并且为防火墙设备的0/0/0接口配置与虚拟网卡一个网段的ip,并且开启该接口的全部服务
[USG6000V1]int gi 0/0/0
[USG6000V1-GigabitEthernet0/0/0]ip add 192.168.159.100 24
[USG6000V1-GigabitEthernet0/0/0]service-manage all permit 3、 然后在防火墙上进行区域划分并且为接口配置ip:
GE1/0/2口为trust区域
GE1/0/0口是untrust1区域
4、下面制定NAT策略
5、在安全策略中放行该策略的流量
6、使用内网的PC尝试访问外网的PC:
7、抓包查看:
当内网的pcping外网的pc时使用的是nat1转换后的ip说明nat转换成功了!
二、目标地址转换(端口映射)
1、首先在trust区域中的服务器上上传资源并且开启WEB服务
2、在防火墙上配置端口映射
3、新建策略放行该流量
4、在外网的client上尝试访问trust区域服务器上面的资源
成功获取到了资源!
三、NAT的域间双向转换
1、在trust区域新增加个服务器:
2、防火墙上新建NAT地址转换
需要建立源地址池:
目的转化地址:
3、制定安全策略
4、在内网的web服务器上上传资源并且开启服务
5、在外部的client上尝试访问web4上传的资源
成功访问!
6、尝试抓包查看:
四、NAT的域内双向转换
适用场景:当内网PC以公网形式访问内网服务器时
外网的server2做内网的web服务的DNS
1、设置DNS
2、防火墙制定NAT策略
源地址池:
目标地址:
3、制定安全策略
4、在trust区域新增加一个client用于测试
5、尝试访问
6、抓包查看
二、双机热备实验
1、首先需要增加一台防火墙与原有的防火墙进行相连,连接后的拓扑:
2、为新的防火墙配置ip并且开启接口的所有功能:
[USG6000V1-GigabitEthernet0/0/0]ip add 192.168.159.200 24
[USG6000V1-GigabitEthernet0/0/0]service-manage all permit 3、主防护墙配置
(1)首先为主备相连接的心跳线接口配置ip
(2)配置双机热备
(3)配置接口监控
(4)配置虚拟ip地址
注意:这里因为网关修改为了10.1.1.254和200.1.1.254所有其他同区域设备的网关均需要修改
这是主设备当前的双机热备状态:
保存主防火墙的配置
4、备防火墙配置
(1)首先配置连接两个区域的接口ip
(2)配置心跳线ip
(3)双机热备
(4)监控接口
(5)虚拟ip地址
备防火墙的状态:
保存备防火墙的配置;
5、注意一定要写一条策略放行心跳线这个网段的流量
6、登录主防火墙进行同步:
点击详细->同步配置
7、登录备防火墙查看同步情况:
8、关闭主服务器尝试使用内网PC访问外网PC
成功访问!!!