防火墙NAT配置与DHCP下发
该实验如果有做的不足的地方请见谅
实验目标:
按要求划分区域,公司内部办公区为trust,服务器区为dmz,外部网络为untrust。
PC1和PC2为公司内部办公区,需要从防火墙中的DHCP服务获取IP地址,并通过nat技术使内部网络能连接外部网络。而外部网络想要连接Server2服务器则需要在防火墙中映射Server2的IP至GE1/0/3接口,使用户通过访问GE1/0/3接口连接到Server2。
以上拓扑图需要用到USG6000V设备
注意USG6000V防火墙设备需要更改密码 原密码为:Admin@123
|
设备 |
端口号 |
IP地址 |
|
USG6000V |
GE1/0/1 |
10.1.1.254/24 |
|
GE1/0/2 |
10.2.1.254/24 |
|
|
GE1/0/3 |
100.1.1.2/28 |
|
|
AR3260-AR2 |
GE0/0/0 |
100.1.1.1/28 |
|
GE0/0/1 |
172.16.1.254/24 |
|
|
PC1 |
E0/0/1 |
DHCP获取 (10.1.1.10-10.1.1.15) |
|
PC2 |
E0/0/1 |
DHCP获取 (10.1.1.10-10.1.1.15) |
|
Server1 |
E0/0/0 |
10.2.1.1/24 |
|
Server2 |
E0/0/0 |
10.2.1.2/24 |
办公区NAT转换地址池:100.1.1.10-100.1.1.14
首先配置防火墙与路由器的接口地址和静态路由:
[FW]interface g1/0/1
[FW-GigabitEthernet1/0/1]ip address 10.1.1.254 24
[FW]interface g1/0/2
[FW-GigabitEthernet1/0/2]ip address 10.2.1.254 24
[FW]interface g1/0/3
[FW-GigabitEthernet1/0/3]ip address 100.1.1.2 28
[FW]ip route-static 0.0.0.0 0 100.1.1.1
[R]interface g0/0/0
[R-GigabitEthernet0/0/3]ip address 100.1.1.1 28
[R]interface g0/0/1
[R-GigabitEthernet0/0/3]ip address 172.16.1.254 24
[R]ip route-static 0.0.0.0 0 100.1.1.2
接下来进行防火墙区域配置及DHCP下发trust:
[FW]firewall zone trust
[FW-zone-trust]add interface g1/0/1
[FW]firewall zone dmz
[FW-zone-dmz]add interface g1/0/2
[FW]firewall zone untrust
[FW-zone-untrust]add interface g1/0/3
[FW]interface g1/0/1
[FW-GigabitEthernet1/0/1]dhcp select interface
[FW-GigabitEthernet1/0/1]dhcp server ip-range 10.1.1.1 10.1.1.253
[FW-GigabitEthernet1/0/1]dhcp server gateway-list 10.1.1.254
[FW-GigabitEthernet1/0/1]dhcp server excluded-ip-address 10.1.1.1 10.1.1.9
[FW-GigabitEthernet1/0/1]dhcp server excluded-ip-address 10.1.1.16 10.1.1.253
进入PC机查看:
可以看到IP地址获取成功网关为10.1.1.254防火墙的GE1/0/1接口地址
开始对内网访问外网进行NAT转换:
创建NAT地址池
[FW]nat address-group 1
[FW-address-group-1]section 0 100.1.1.10 100.1.1.14
[FW-address-group-1]mode pat //模式更改为pat模式
进入NAT策略配置
[FW]nat-policy
[FW-policy-nat]rule name trust-nat //创建名为trust-nat的规则
[FW-policy-nat-rule-trust-nat]source-zone trust //源区域trust
[FW-policy-nat-rule-trust-nat]destination-zone untrust //目的区域untrust
[FW-policy-nat-rule-trust-nat]source-address 10.1.1.0 mask 255.255.255.0
[FW-policy-nat-rule-trust-nat]action source-nat address-group 1 //应用NAT地址池1
//源IP地址为10.1.1.0的地址可以使用NAT地址池1进行地址转换
进入安全策略设置区域通信:
[FW]security-policy
[FW-policy-security]rule name trust-untrust //创建策略规则
[FW-policy-security-rule-trust-untrust]source-zone trust
[FW-policy-security-rule-trust-untrust]destination-zone untrust
[FW-policy-security-rule-trust-untrust]source-address 10.1.1.0 mask 255.255.255.0
[FW-policy-security-rule-trust-untrust]action permit //策略动作为允许
//源区域信任区中的源IP地址为10.1.1.0的地址可以对非信任区进行通信
使用PC机ping非信任区:
在防火墙中查看会话表查看结果
[FW]display firewall session table
再进行server2的外部地址映射使得非信任区能连接到server2的http
[FW]nat server protocol tcp global 100.1.1.2 inside 10.2.1.2
//内部网络10.2.1.2tcp协议映射在100.1.1.2上
[FW]security-policy
[FW-policy-security]rule name un-dmz
[FW-policy-security-rule-un-dmz]source-zone untrust
[FW-policy-security-rule-un-dmz]destination-zone dmz
[FW-policy-security-rule-un-dmz]service http
[FW-policy-security-rule-un-dmz]action permit
最后使用client访问http://100.1.1.1/index.html
