Java教程

实验一:在FW上配置静态路由实现互通

本文主要是介绍实验一:在FW上配置静态路由实现互通,对大家解决编程问题具有一定的参考价值,需要的程序猿们随着小编来一起学习吧!

实验:在FW上配置静态路由实现互通

网络拓扑图

一、配置步骤

1.配置IP地址

 

R1:

 

FW:

 

ISP:

     

2.配置路由

  ①在R2上面配置静态路由

 

②在ISP上面配置静态路由

 

3.在FW上配置安全策略实现内网主机和PC可以访问ISP的接口地址1.1.2

       ①在防火墙上配置Trust区域,将G1/0/1加入。再配置安全策  略,命名为test,配置允许访问的源区域和目标区域;

       ②在防火墙上配置Untrust区域,将G1/0/0加入。再配置安全策略,命名为test1,配置允许访问的源区域和目标区域;

       ③配置安全策略,命名为test2,允许Trust访问Untrust区域。

 

④在各接口开启允许ping的命令:service-manage ping permit

 

⑤自此,可以实现内网主机PC可以访问ISP的接口地址1.1.2

 

二、添加步骤

1.首先在ISP路由器的环回口创建IP地址

 

2.在FW上面配置默认路由,实现上网需求

 

3.在FW、R1上面配置OSPF,实现内网互通,及FW可以访问Trust域内的任意主机

①配置OSPF

 

②查看FW的邻居关系

 

③要将之前配置的本地默认路由条目通过OSPF协议转发给OSPF邻居

 

④查看R1的OSPF的路由表

 

⑤R1可以访问ISP

 

⑥ PC1可以访问ISP

 

4.配置防火墙安全策略,实现内网中只有1.1.0/24网段的主机可以访问8.8.8.8服务器

 

测试:

 

 

5.桥接本地主机,实现WEB登录FW做配置。

①进行桥接

 

 

②在FW的g0/0/0接口下输入service-manager all permit。

在防火墙下输入:web-manager enable

 

③在本地浏览器里登录输入https://192.168.0.1:8443

 

④同步系统时间

 

⑤选择接入互联网方式

 

⑥LAN接口是连接Trust接口(内网接口)

 

⑦安全策略(命令行输入,在Web页面下的显示)

 

 

思考题:

1.如何实现ISP可以主动ping通过内网主机PC

通过目的NAT,对公网访问IP转换为内网IP,实现外部网络访问内网主机。

①配置源NAT:配置源NAT地址转换,仅配置源地址访问内网--> 公网的转换.

[FW1] nat-policy // 配置NAT地址转换
[FW1-policy-nat] rule name isp2pc // 指定策略名称
[FW-policy-nat-rule-isp2pc] egress-interface GigabitEthernet 1/0/0 // 外网接口IP
[FW-policy-nat-rule-isp2pc] action source-nat easy-ip // 源地址转换

②配置目标NAT: 外网访问8.8.8自动映射到内网的10.1.1.10这台主机上.

--------------------------------------------NAT规则---------------------------------------------------
# 外网主机访问8.8.8.8主机自动映射到内部的10.1.1.20
[FW1] firewall detect ftp
[FW]nat server isp2pc global 10.1.1.20 inside 8.8.8.8 no-reverse


[FW1] security-policy // 配置安全策略
[FW-policy-security]rule name untrust-isp// 规则名称
[FW-policy-security-rule-untrust-isp] source-zone untrust // 源安全区域(外部)
[FW-policy-security-rule-untrust-isp]  destination-zone trust // 目标安全区域(内部)
[FW-policy-security-rule-untrust-isp]  action permit // 放行配置
[FW-policy-security-rule-untrust-isp]  quit

 

 

 

⑥测试

实现了ISP ping通过内网主机PC

 

2.如何实现PC在访问8.8.8.9的同时10.2.2.1可以访问8.8.8.8。

①在FW上安全策略test2中再添加允许源地址为2.2.1可以访问Untrust区域。

 

②实现了2.2.1可以访问8.8.8.8。

 

③PC也可以访问8.8.8.9

 

这篇关于实验一:在FW上配置静态路由实现互通的文章就介绍到这儿,希望我们推荐的文章对大家有所帮助,也希望大家多多支持为之网!