该实验如果有做的不足的地方请见谅

实验目标:

按要求划分区域,公司内部办公区为trust,服务器区为dmz,外部网络为untrust。

PC1和PC2为公司内部办公区,需要从防火墙中的DHCP服务获取IP地址,并通过nat技术使内部网络能连接外部网络。而外部网络想要连接Server2服务器则需要在防火墙中映射Server2的IP至GE1/0/3接口,使用户通过访问GE1/0/3接口连接到Server2。

以上拓扑图需要用到USG6000V设备

注意USG6000V防火墙设备需要更改密码 原密码为:Admin@123

设备

端口号

IP地址

USG6000V

GE1/0/1

10.1.1.254/24

GE1/0/2

10.2.1.254/24

GE1/0/3

100.1.1.2/28

AR3260-AR2

GE0/0/0

100.1.1.1/28

GE0/0/1

172.16.1.254/24

PC1

E0/0/1

DHCP获取

(10.1.1.10-10.1.1.15)

PC2

E0/0/1

DHCP获取

(10.1.1.10-10.1.1.15)

Server1

E0/0/0

10.2.1.1/24

Server2

E0/0/0

10.2.1.2/24

办公区NAT转换地址池:100.1.1.10-100.1.1.14

首先配置防火墙与路由器的接口地址和静态路由:

[FW]interface g1/0/1

[FW-GigabitEthernet1/0/1]ip address 10.1.1.254 24

[FW]interface g1/0/2

[FW-GigabitEthernet1/0/2]ip address 10.2.1.254 24

[FW]interface g1/0/3

[FW-GigabitEthernet1/0/3]ip address 100.1.1.2 28

[FW]ip route-static 0.0.0.0 0 100.1.1.1

[R]interface g0/0/0

[R-GigabitEthernet0/0/3]ip address 100.1.1.1 28

[R]interface g0/0/1

[R-GigabitEthernet0/0/3]ip address 172.16.1.254 24

[R]ip route-static 0.0.0.0 0 100.1.1.2

接下来进行防火墙区域配置及DHCP下发trust:

[FW]firewall zone trust

[FW-zone-trust]add interface g1/0/1

[FW]firewall zone dmz

[FW-zone-dmz]add interface g1/0/2

[FW]firewall zone untrust

[FW-zone-untrust]add interface g1/0/3

[FW]interface g1/0/1

[FW-GigabitEthernet1/0/1]dhcp select interface

[FW-GigabitEthernet1/0/1]dhcp server ip-range 10.1.1.1 10.1.1.253

[FW-GigabitEthernet1/0/1]dhcp server gateway-list 10.1.1.254

[FW-GigabitEthernet1/0/1]dhcp server excluded-ip-address 10.1.1.1 10.1.1.9

[FW-GigabitEthernet1/0/1]dhcp server excluded-ip-address 10.1.1.16 10.1.1.253

进入PC机查看:

可以看到IP地址获取成功网关为10.1.1.254防火墙的GE1/0/1接口地址

开始对内网访问外网进行NAT转换:

创建NAT地址池

[FW]nat address-group 1

[FW-address-group-1]section 0 100.1.1.10 100.1.1.14

[FW-address-group-1]mode pat  //模式更改为pat模式

进入NAT策略配置

[FW]nat-policy

[FW-policy-nat]rule name trust-nat  //创建名为trust-nat的规则

[FW-policy-nat-rule-trust-nat]source-zone trust  //源区域trust

[FW-policy-nat-rule-trust-nat]destination-zone untrust  //目的区域untrust

[FW-policy-nat-rule-trust-nat]source-address 10.1.1.0 mask 255.255.255.0

[FW-policy-nat-rule-trust-nat]action source-nat address-group 1  //应用NAT地址池1

//源IP地址为10.1.1.0的地址可以使用NAT地址池1进行地址转换

进入安全策略设置区域通信:

[FW]security-policy

[FW-policy-security]rule name trust-untrust  //创建策略规则

[FW-policy-security-rule-trust-untrust]source-zone trust

[FW-policy-security-rule-trust-untrust]destination-zone untrust

[FW-policy-security-rule-trust-untrust]source-address 10.1.1.0 mask 255.255.255.0

[FW-policy-security-rule-trust-untrust]action permit  //策略动作为允许

//源区域信任区中的源IP地址为10.1.1.0的地址可以对非信任区进行通信

使用PC机ping非信任区:

在防火墙中查看会话表查看结果

[FW]display firewall session table

再进行server2的外部地址映射使得非信任区能连接到server2的http

[FW]nat server protocol tcp global 100.1.1.2 inside 10.2.1.2

//内部网络10.2.1.2tcp协议映射在100.1.1.2上

[FW]security-policy

[FW-policy-security]rule name un-dmz

[FW-policy-security-rule-un-dmz]source-zone untrust

[FW-policy-security-rule-un-dmz]destination-zone dmz

[FW-policy-security-rule-un-dmz]service http

[FW-policy-security-rule-un-dmz]action permit

最后使用client访问http://100.1.1.1/index.html

防火墙NAT配置与DHCP下发的更多相关文章

  1. Juniper srx防火墙NAT配置

    一.基础操作说明: 1.  设备恢复出厂化 root# load factory-default root# set system root-authentication plain-text-pas ...

  2. centos LB负载均衡集群 三种模式区别 LVS/NAT 配置 LVS/DR 配置 LVS/DR + keepalived配置 nginx ip_hash 实现长连接 LVS是四层LB 注意down掉网卡的方法 nginx效率没有LVS高 ipvsadm命令集 测试LVS方法 第三十三节课

    centos   LB负载均衡集群 三种模式区别 LVS/NAT 配置  LVS/DR 配置  LVS/DR + keepalived配置  nginx ip_hash 实现长连接  LVS是四层LB ...

  3. Juniper SRX防火墙简明配置手册(转)

    在执行mit命令前可通过配置模式下show命令查看当前候选配置(Candidate Config),在执行mit后配置模式下可通过run show config命令查看当前有效配置(Active co ...

  4. Centos防火墙的配置

    Selinux的三种模式:enforcing,passive,disable 临时更改模式:setengorce 1|0        1:enforcing,   0:passive [root@C ...

  5. LVS/NAT 配置

    LVS/NAT 配置 实验环境 三台主机:Linux Centos 6.4 32位 调度器Director:192.168.1.160(内网IP).192.168.2.20(公网IP) HTTP真实服 ...

  6. 外网Telnet虚拟机,及nat配置等

    环境整体是使用GNS3,通过cloud真实连接到虚拟机 cloud1 nginx主机 cloud2 nginx主机https连接 cloud3 Internet测试主机 下面贴每个网络设备配置,特别注 ...

  7. 华为USG6000V防火墙简单配置案例

    如图,PC1是企业内网用户,要通过防火墙NAT方式( 1.1.1.105-1.1.1.106 )访问Internet,Server是企业的FTP服务器,通过静态NAT方式供外网用户访问,对外的地址是1 ...

  8. 【Ubuntu】NAT配置

    1.简介 2.配置 1.简介 NAT(Network Address Translation,网络地址转换)是将IP 数据包头中的IP 地址转换为另一个IP 地址的过程.在实际应用中,NAT 主要用于 ...

  9. Network Object NAT配置介绍

    1.Dynamic NAT(动态NAT,动态一对一) 实例一: 传统配置方法: nat (Inside) 1 10.1.1.0 255.255.255.0 global (Outside) 1 202 ...

  10. 计算机网络之动态主机配置协议DHCP

    为了将软件协议做成通用的和便于移植,协议软件的编写者不会把所有细节都固定在源代码中,而是把协议软件参数化,这就使得在很多台计算机上使用同一个经过编译的二进制代码成为可能. 一台计算机和另一台计算机的区 ...

随机推荐

  1. 【运维技巧】海豚调度工作流实例卡在正在停止&任务实例卡在正在运行怎么办?

    在大数据调度系统中,,大家可能会碰到任务实例状态更新不及时的情况. 对于Apache DolphinScheduler用户来说,这可能意味着前端显示的任务状态与实际情况不一致,即使任务已经在后台停止运 ...

  2. IntelliJ IDEA 2024.2 发布:Spring Data JPA即时查询、自动补全cron表达式

    今早看到,IntelliJ IDEA 2024.2 发布的邮件提示,看了一眼这个版本更新的新特性真的太适合我了!也许这些能力对关注DD的小伙伴也有帮助,所以搞篇博客介绍和推荐一下.下面就来一起看看这个 ...

  3. JAVA for Cplex(更新版)

    一.Cplex的介绍 Cplex是一种专门用来求解大规模线性规划问题的求解工具.不仅仅是LP问题,对于二次规划 QP,二次有约束规划QCP,混合整数线性规划MIP问题,甚至Network Flow问题 ...

  4. jQuery的基本操作总结

    什么是jquery? 就是一个用js的插件库   解决了原生dom的操作的兼容性和代码量 使用前需要引入它的js库 以下例子以 jQuery1.12.4.js  这个版本为例 一:jQuery入口函数 ...

  5. 3. EMC EMS EMI

    1. 定义 1.1 EMC(Electromagnetic Compatibility) 电磁兼容性(EMC)是指系统正常工作的能力,不受其正常环境中电磁现象的干扰,不产生干扰其他设备的电干扰. 1. ...

  6. 新员工一口气写完了这些C语言例子,领导给他转正了!

    持续更新中... 很多想从事嵌入式Linux开发的老铁问一口君,有没有快速提升自己编程水平的小例子? 一口君根据自己多年工作经验,整理了一些基于Linux的c语言的非常实用的小例子, 这些例子在嵌入式 ...

  7. MAC地址格式详解

    以太网编址 在数据链路层,数据帧通常依赖于MAC地址来进行数据交换,它如同公网IP地址一样要求具有全球唯一性,这样才可以识别每一台主机.那么MAC地址如何做到这点?它的格式又是什么? MAC地址,英文 ...

  8. Kubernetes 初学部署遇到的问题

    ### Kubernetes 部署文档(CentOS 7.9) 本文采用centos9 截至2024年8月21日官网已经不再提供其他下载 直接用最新版即可 1. CentOS 7.9 内核版本问题 截 ...

  9. 每天那么多工作,我为什么能做到 "不忘事" ?

    大家好,我是程序员鱼皮. 我相信很多朋友都遇到过丢失工作.或者忘记事情的情况,尤其是事情一多,就更容易遗漏:而如果在工作中你漏掉了某项任务,需要上级或同事重复提醒你,是很影响别人对你的印象的. 那么如 ...

  10. /etc/shells 文件解释

    /etc/shells 文件是 UNIX 和类 UNIX 操作系统中的一个文本文件,它列出了系统上认为是合法的.用户可以选择的 shell 的完整路径.这个文件对于系统安全和用户环境配置很重要. 以下 ...