安全防御实验2
一、实验拓扑
二、实验要求
- 办公区设备可以通过电信链路和移动链路上网(多对多的NAT,并且需要保留一个公网IP不能用来转换)
- 分公司设备可以通过总公司的移动链路和电信链路访问到Dmz区的http服务器
- 多出口环境基于带宽比例进行选路,但是,办公区中10.0.2.10该设备只能通过电信的链路访问互联网。链路开启过载保护,保护阈值80%
- 分公司内部的客户端可以通过域名访问到内部的服务器,公网设备也可以通过域名访问到分公司内部服务器
- 游客区仅能通过移动链路访问互联网
三、实验思路
- 新建NAT策略,做从办公区的NAT经过移动和电信上网
- 在总公司上配置端口映射,基于12.0.0.2和21.0.0.2与私网的10.0.3.10的映射关系;然后在fw2上配置NAT策略
- 禁止通过移动端的10.0.2.10的安全策略;多出口环境基于带宽比例进行选路,链路开启过载保护,保护阈值80%
- 公网与分公司做个端到端的目标NAT;分公司内部通过公网域名访问内部服务器
- 游客区写一条NAT(只针对移动做一条easy ip)
四、实验步骤
配IP地址和环回测试
[R1-GigabitEthernet0/0/0]ip add 12.0.0.2 24[R1-GigabitEthernet0/0/2]ip add 21.0.0.2 24网关配置
[r1-GigabitEthernet4/0/0]ip add 100.0.0.1 24配置到电信的NAT策略和安全策略
配置服务器映射
配置分公司防火墙
测试
多出口环境选路,开启过载保护
多出口环境基于带宽比例进行选路,但是,办公区中10.0.1.10该设备只能通过电信的链路访问互联网。链路开启过载保护,保护阈值80%
使用策略路由禁止访问移动
分公司内部通过公网域名访问内部服务器
配置DNS服务器
测试
分公司服务器
公网客户端
游客区写NAT(通过移动链路访问互联网)
