【自学安全防御】二、防火墙NAT智能选路综合实验

使命要求：

（衔接上一个实验所以从第七点开始，但与上一个实验关系不大）
7，办公区装备可以通过电信链路和移动链路上网(多对多的NAT，并且需要保存一个公网IP不能用来转换)
8，分公司装备可以通过总公司的移动链路和电信链路访问到Dmz区的http服务器
9，多出口情况基于带宽比例进行选路，但是，办公区中10.0.2.10该装备只能通过电信的链路访问互联网。链路开启过载保护，保护阈值80%；
10，分公司内部的客户端可以通过域名访问到内部的服务器，公网装备也可以通过域名访问到分公司内部服务器；
11，游客区仅能通过移动链路访问互联网
实验拓扑:

实验步骤：

七、办公区装备可以通过电信链路和移动链路上网(多对多的NAT，并且需要保存一个公网IP不能用来转换)

1、完成实验拓扑摆设，使web界面管理防火墙设置（上一个实验第一个步骤有写过程）
2、在FW1上，将全部接口的防火墙设置IP设置好，在设置缺省路由使最好把源进源出勾上，如下：

3、查看路路由表是否有题目，检查缺省路由是否开了没，并且项目NAT策略时设置地点池使要勾选黑洞路由，看是否存在黑洞路由，如下：

4、创建安全区域，如下：

5、将防火墙g1/0/1和g1/0/2分别绑定到电信和移动链路，设置如下：

将上网目的IP写入文件中，如下：

6、设置NAT策略，需要注意的是在地点池设置完成后，需要点击新建安全策略，使防火墙放行流量才能再做NAT转换，设置如下：

1）在设置地点池时需要注意一下就是要勾选黑洞路由，然后在高级设置中添加一个保存IP12.0.0.6（地点池中的任一一个IP），如下：

8、效果测试：
1）将公网100.0.0.10的httpserver服务打开，用办公区client7访问服务，发现服务访问成功。

2）看NAT策略命中情况，发现成功命中。

3）抓防火墙FW1的g0/0/1和g0/0/2接口的流量，发现电信链路和移动链路都有流量流出，即而且转换地点是12.0.0.5（非预留地点），综上：实验7完成。

八、分公司装备可以通过总公司的移动链路和电信链路访问到Dmz区的http服务器

1、在FW2上，添加FL安全域，代表分公司网络区，如下：

2、设置好接口IP及网关，如下：

3、在FW2上做NAT策略，做个easy ip 即可，并主动生成安全策略，如下：

4、在FW2上，设置NAT策略，开放DMZ区的httpserver，使用服务器映射，即公网端口与私网端口一对一转换，在电信链路和移动链路上分别做一个NAT策略，并且主动生成安全策略，（注意这个过程是先转换地点再进行安全策略）如下：

5、效果测试：
1.）用client6访问12.0.0.2的80端口，访问成功：

2）在FW1上，查看会话表，发现地点转换成功，（此时走的的电信链路）如下：

3）使client6访问21.0.0.2的80端口，访问成功，如下：

4）在FW1上，查看会话表，发现地点转换成功，（此时走的的移动链路）如下：

5）在FW1和FW2上看看NAT策略匹配情况，发现全部NAT策略都可被匹配，实验完成，如下：
FW1：

FW2：

九、多出口情况基于带宽比例进行选路，但是，办公区中10.0.2.10该装备只能通过电信的链路访问互联网。链路开启过载保护，保护阈值80%；

1、在FW1中，找到网络，路由，智能选路，点击设置，选择根据宽带负载分担，新建电信和移动链路，如下：

2、在接口中，点击g1/0/1和g1/0/2，写入入方向宽带和出方向宽带，设置过载保护阈值80%，如下：

3、设置NAT策略，源地点写10.0.0.2，出接口为g1/0/1 TODX，注意：需要把之前移动链路绑定的移动地点库的IP删掉，否则实验不成功，由于如果电信和移动的地点库一样，就会使出去访问互联网的数据流均负载分担，所以得选两个出口，与题目要求不符，建议直接把电信和移动的地点库删掉，才能实现流量根据链路带宽分担。

4、设置路由策略，位置如下：

5、效果测试：
1）安全策略成功匹配，如下：

2）NAT策略成功匹配，如下：

3）会话表显示10.0.2.10从电信口出，如下：

十、分公司内部的客户端可以通过域名访问到内部的服务器，公网装备也可以通过域名访问到分公司内部服务器；

1、在FW2上，写NAT策略，地点转换方式为双向地点转换，源为FL区域目的IP为23.0.0.2，使分公司内网IP先访问FW2，转换源IP为192.168.1.0即出接口g1/0/1,同时目的IP装换为服务器内网IP，由于是域名访问，此时FW2防火墙并不知道此域名对应的IP是什么，所以接下来要去额外做一个NAT策略去访问DNS服务器，（无需主动添加安全策略）如下：

2、加一个NAT策略，使访问外网的DNS服务器，并且主动添加安全策略，设置如下：

3、最告急的就是肯定要给客户端加上DNS地点，如下：

4、写NAT策略，使外网访问内网服务器（底部80端口），并主动生成安全策略，如下：

5、效果测试，用分别用内网和外网访问服务器域名，均成功：

十一：游客区仅能通过移动链路访问互联网

1、在FW1，上做NAT策略，并主动生成安全策略，如下：

2、找到网络，点击路由—>智能路由—>策略路由->新建，设置如下：

3、效果测试：
1）用游客区client4访问公网服务器100.0.0.100，访问成功，如下：

2）、查看NAT策略匹配情况，成功匹配，如下：

3）看会话表，成功匹配安全策略，并从移动链路出，如下：

到这里实验就完成了，恭喜各人，哈哈哈！！！
继承加油吧！！

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。