实验：在FW上配置静态路由实现互通

网络拓扑图

一、配置步骤

1.配置IP地址

R1：

FW：

ISP：

2.配置路由

  ①在R2上面配置静态路由

②在ISP上面配置静态路由

3.在FW上配置安全策略实现内网主机和PC可以访问ISP的接口地址1.1.2

       ①在防火墙上配置Trust区域，将G1/0/1加入。再配置安全策  略，命名为test，配置允许访问的源区域和目标区域；

       ②在防火墙上配置Untrust区域，将G1/0/0加入。再配置安全策略，命名为test1，配置允许访问的源区域和目标区域；

       ③配置安全策略，命名为test2，允许Trust访问Untrust区域。

④在各接口开启允许ping的命令：service-manage ping permit

⑤自此，可以实现内网主机PC可以访问ISP的接口地址1.1.2

二、添加步骤

1.首先在ISP路由器的环回口创建IP地址

2.在FW上面配置默认路由，实现上网需求

3.在FW、R1上面配置OSPF，实现内网互通，及FW可以访问Trust域内的任意主机

①配置OSPF

②查看FW的邻居关系

③要将之前配置的本地默认路由条目通过OSPF协议转发给OSPF邻居

④查看R1的OSPF的路由表

⑤R1可以访问ISP

⑥ PC1可以访问ISP

4.配置防火墙安全策略，实现内网中只有1.1.0/24网段的主机可以访问8.8.8.8服务器

测试：

5.桥接本地主机，实现WEB登录FW做配置。

①进行桥接

②在FW的g0/0/0接口下输入service-manager all permit。

在防火墙下输入：web-manager enable

③在本地浏览器里登录输入https://192.168.0.1:8443

④同步系统时间

⑤选择接入互联网方式

⑥LAN接口是连接Trust接口（内网接口）

⑦安全策略（命令行输入，在Web页面下的显示）

思考题：

1.如何实现ISP可以主动ping通过内网主机PC

通过目的NAT，对公网访问IP转换为内网IP，实现外部网络访问内网主机。

①配置源NAT:配置源NAT地址转换,仅配置源地址访问内网--> 公网的转换.

[FW1] nat-policy // 配置NAT地址转换
[FW1-policy-nat] rule name isp2pc // 指定策略名称
[FW-policy-nat-rule-isp2pc] egress-interface GigabitEthernet 1/0/0 // 外网接口IP
[FW-policy-nat-rule-isp2pc] action source-nat easy-ip // 源地址转换

②配置目标NAT: 外网访问8.8.8自动映射到内网的10.1.1.10这台主机上.

--------------------------------------------NAT规则---------------------------------------------------
# 外网主机访问8.8.8.8主机自动映射到内部的10.1.1.20
[FW1] firewall detect ftp
[FW]nat server isp2pc global 10.1.1.20 inside 8.8.8.8 no-reverse

[FW1] security-policy // 配置安全策略
[FW-policy-security]rule name untrust-isp// 规则名称
[FW-policy-security-rule-untrust-isp] source-zone untrust // 源安全区域(外部)
[FW-policy-security-rule-untrust-isp]  destination-zone trust // 目标安全区域(内部)
[FW-policy-security-rule-untrust-isp]  action permit // 放行配置
[FW-policy-security-rule-untrust-isp]  quit

③

④

⑤

⑥测试

实现了ISP ping通过内网主机PC

2.如何实现PC在访问8.8.8.9的同时10.2.2.1可以访问8.8.8.8。

①在FW上安全策略test2中再添加允许源地址为2.2.1可以访问Untrust区域。

②实现了2.2.1可以访问8.8.8.8。

③PC也可以访问8.8.8.9