实验一:在FW上配置静态路由实现互通
2022/6/9 23:25:42
本文主要是介绍实验一:在FW上配置静态路由实现互通,对大家解决编程问题具有一定的参考价值,需要的程序猿们随着小编来一起学习吧!
实验:在FW上配置静态路由实现互通
网络拓扑图
一、配置步骤
1.配置IP地址
R1:
FW:
ISP:
2.配置路由
①在R2上面配置静态路由
②在ISP上面配置静态路由
3.在FW上配置安全策略实现内网主机和PC可以访问ISP的接口地址1.1.2
①在防火墙上配置Trust区域,将G1/0/1加入。再配置安全策 略,命名为test,配置允许访问的源区域和目标区域;
②在防火墙上配置Untrust区域,将G1/0/0加入。再配置安全策略,命名为test1,配置允许访问的源区域和目标区域;
③配置安全策略,命名为test2,允许Trust访问Untrust区域。
④在各接口开启允许ping的命令:service-manage ping permit
⑤自此,可以实现内网主机PC可以访问ISP的接口地址1.1.2
二、添加步骤
1.首先在ISP路由器的环回口创建IP地址
2.在FW上面配置默认路由,实现上网需求
3.在FW、R1上面配置OSPF,实现内网互通,及FW可以访问Trust域内的任意主机
①配置OSPF
②查看FW的邻居关系
③要将之前配置的本地默认路由条目通过OSPF协议转发给OSPF邻居
④查看R1的OSPF的路由表
⑤R1可以访问ISP
⑥ PC1可以访问ISP
4.配置防火墙安全策略,实现内网中只有1.1.0/24网段的主机可以访问8.8.8.8服务器
测试:
5.桥接本地主机,实现WEB登录FW做配置。
①进行桥接
②在FW的g0/0/0接口下输入service-manager all permit。
在防火墙下输入:web-manager enable
③在本地浏览器里登录输入https://192.168.0.1:8443
④同步系统时间
⑤选择接入互联网方式
⑥LAN接口是连接Trust接口(内网接口)
⑦安全策略(命令行输入,在Web页面下的显示)
思考题:
1.如何实现ISP可以主动ping通过内网主机PC
通过目的NAT,对公网访问IP转换为内网IP,实现外部网络访问内网主机。
①配置源NAT:配置源NAT地址转换,仅配置源地址访问内网--> 公网的转换.
[FW1] nat-policy // 配置NAT地址转换
[FW1-policy-nat] rule name isp2pc // 指定策略名称
[FW-policy-nat-rule-isp2pc] egress-interface GigabitEthernet 1/0/0 // 外网接口IP
[FW-policy-nat-rule-isp2pc] action source-nat easy-ip // 源地址转换
②配置目标NAT: 外网访问8.8.8自动映射到内网的10.1.1.10这台主机上.
--------------------------------------------NAT规则---------------------------------------------------
# 外网主机访问8.8.8.8主机自动映射到内部的10.1.1.20
[FW1] firewall detect ftp
[FW]nat server isp2pc global 10.1.1.20 inside 8.8.8.8 no-reverse
[FW1] security-policy // 配置安全策略
[FW-policy-security]rule name untrust-isp// 规则名称
[FW-policy-security-rule-untrust-isp] source-zone untrust // 源安全区域(外部)
[FW-policy-security-rule-untrust-isp] destination-zone trust // 目标安全区域(内部)
[FW-policy-security-rule-untrust-isp] action permit // 放行配置
[FW-policy-security-rule-untrust-isp] quit
③
④
⑤
⑥测试
实现了ISP ping通过内网主机PC
2.如何实现PC在访问8.8.8.9的同时10.2.2.1可以访问8.8.8.8。
①在FW上安全策略test2中再添加允许源地址为2.2.1可以访问Untrust区域。
②实现了2.2.1可以访问8.8.8.8。
③PC也可以访问8.8.8.9
这篇关于实验一:在FW上配置静态路由实现互通的文章就介绍到这儿,希望我们推荐的文章对大家有所帮助,也希望大家多多支持为之网!
- 2024-05-09聊聊如何通过arthas-tunnel-server来远程管理所有需要arthas监控的应用
- 2024-05-09log4j2这么配就对了
- 2024-05-09nginx修改Content-Type
- 2024-05-09Redis多数据源,看这篇就够了
- 2024-05-09Google Chrome驱动程序 124.0.6367.62(正式版本)去哪下载?
- 2024-05-09有没有大佬知道这种数据应该怎么抓取呀?
- 2024-05-09这种运行结果里的10.100000001,怎么能最快改成10.1?
- 2024-05-09企业src漏洞挖掘-有意思的命令执行
- 2024-05-08阿里云域名注册流程,分享给第一次购买域名的新手站长!
- 2024-05-082024年,行业变动下的程序员应该首先学习哪种编程语言?
