当前位置: 首页 > news >正文

防火墙NAT地址转换和智能选举综合实验

news 来源:原创 2024/9/20 15:27:34

一、实验拓扑

目录

一、实验拓扑

二、实验要求(接上一个实验要求后)

三、实验步骤

3.1办公区设备可以通过电信链路和移动链路上网(多对多的NAT,并且需要保留一个公网IP不能用来转换)

3.2分公司设备可以通过总公司的移动链路和电信链路访问到Dmz区的http服务器

3.2.1 首先需要先让分公司能上公网才能进行后续的访问地址

注:黑洞路由解释:

3.2.2 将DMZ区域的http服务器开放到公网,让分公司通过公网地址去访问它

测试电信链路访问

3.3智能选路:多出口环境基于带宽比例进行选路,但是,办公区中10.0.2.10该设备只能通过电信的链路访问互联网。链路开启过载保护,保护阈值80%;

3.3.1将电信和移动分别设置位两条链路接口供智能选路

3.3.2再添加智能选路,

3.3.3办公区中10.0.2.10该设备只能通过电信的链路访问互联网

测试流量也是源进源出

3.4分公司内部的客户端可以通过域名访问到内部的服务器,公网设备也可以通过域名访问到分公司内部服务器;

3.5游客区仅能通过移动链路访问互联网

测试通过移动链路上网

二、实验要求(接上一个实验要求后)

7,办公区设备可以通过电信链路和移动链路上网(多对多的NAT,并且需要保留一个公网IP不能用来转换)
8,分公司设备可以通过总公司的移动链路和电信链路访问到Dmz区的http服务器
9,多出口环境基于带宽比例进行选路,但是,办公区中10.0.2.10该设备只能通过电信的链路访问互联网。链路开启过载保护,保护阈值80%;
10,分公司内部的客户端可以通过域名访问到内部的服务器,公网设备也可以通过域名访问到分公司内部服务器;
11,游客区仅能通过移动链路访问互联网

三、实验步骤

3.1办公区设备可以通过电信链路和移动链路上网(多对多的NAT,并且需要保留一个公网IP不能用来转换)

首先给办公区做两条NAT分别是电信和移动两条NAT

在高级设置中写保留的IP地址

保留这个地址后不会分配这个IP地址

3.2分公司设备可以通过总公司的移动链路和电信链路访问到Dmz区的http服务器

3.2.1 首先需要先让分公司能上公网才能进行后续的访问地址

这里要选择都勾选上勾选上了端口即是多对多NAPT

注:黑洞路由解释:

配置黑洞路由就是会使公网地址池中的地址都生成一条指向其自身的空接口,这里主要是为了 应对公网地址和出接口地址不在同一个网段的情况,因为在这种情况下,如果公网用户访问地址池中的公网地址,将可能造成环路,所以,需要通过空接口防环;如果公网地址池地址和出接口在同一个网段,也可以勾选该选项,这种情况下虽然不会出现环路,但是,有了这个黑洞路由,可以减少ARP报文的出现;

黑洞路由就是会自动生成空接口,在同一个网段中勾选上了黑洞路由,那么就会优先匹配空接口因为掩码是32/31位,所以会直接将询问地址的ARP包丢弃

路由黑洞:汇总的时候包含了实际网络中不存在的网段,额外占用资源,不能与缺省相遇,会成环,可以使用空接口解决

3.2.2 将DMZ区域的http服务器开放到公网,让分公司通过公网地址去访问它

公网端口与私网地址一对一转换:12.0.0.1:80--->10.0.3.10:80,端口只能是开放的那个端口

公网端口与私网端口一对一转换:12.0.0.1:8080--->10.0.3.10:80;12.0.0.1:80--->10.0.3.10:8080,端口可以变化

公网地址与私网端口一对一转换:12.0.0.1:80--->10.0.3.10:80;12.0.0.1:443--->10.0.3.10:80,不管访问这个公网的哪个端口都会转换位私网固定的端口

测试电信链路访问

3.3智能选路:多出口环境基于带宽比例进行选路,但是,办公区中10.0.2.10该设备只能通过电信的链路访问互联网。链路开启过载保护,保护阈值80%;

3.3.1将电信和移动分别设置位两条链路接口供智能选路

3.3.2再添加智能选路,

在对应电信和移动的接口并设置保护阈值80%,最好勾选源进源出,不然可能会造成选路不佳

3.3.3办公区中10.0.2.10该设备只能通过电信的链路访问互联网

设置一条策略路由抓取办公区通过移动出去的流量并放行

测试流量也是源进源出

3.4分公司内部的客户端可以通过域名访问到内部的服务器,公网设备也可以通过域名访问到分公司内部服务器;

3.4.1将公网与分公司的http服务器做一个目标NAT转换,

3.4.2分公司内部通过域名访问内部的服务器

首先要将内部设备与服务器做一个双向绑定,

注意:这里的目的地址要与之前的公网访问分公司服务器的目的地址网段一样,因为里面公网服务器是DNS,一个域名只能对应一个网段IP,所以公网和分公司要要通过公网IP访问内部服务器的IP就必须在域名对应IP的同一个网段

测试分别通过域名访问服务器

3.5游客区仅能通过移动链路访问互联网

做一条NAT策略让游客区能用户能上网

在做一条策略路由抓取游客区通过移动访问的流量并将其放行

测试通过移动链路上网

移动接口关闭则不能访问

相关文章:

  • 北京网站建设多少钱?
  • 辽宁网页制作哪家好_网站建设
  • 高端品牌网站建设_汉中网站制作
  • 代谢组数据分析(十五):基于python语言构建PLS-DA算法构建分类模型
  • LLM-阿里 DashVector + langchain self-querying retriever 优化 RAG 实践【Query 优化】
  • springboot系列教程(一):简介与入门案例(含源码)
  • html5——CSS列表样式属性
  • django报错(一):python manage.py makemigrations,显示“No changes detected”
  • android的跨进程通讯方式
  • Qt窗口程序整理汇总
  • 【D3.js in Action 3 精译】第二章 DOM 的操作方法
  • 大语言模型 API
  • 虚拟机及其Debian(kali)安装
  • 元服务体验-服务发现
  • 基于STM32设计的物联网智能鱼缸(微信小程序)(187)
  • 进程通信(3): System V IPC
  • 2.I/O口
  • Ubuntu系统成功安装Docker教程
  • CSS 三角实现
  • dva中组件的懒加载
  • ES2017异步函数现已正式可用
  • gulp 教程
  • Iterator 和 for...of 循环
  • linux安装openssl、swoole等扩展的具体步骤
  • Python实现BT种子转化为磁力链接【实战】
  • Spring Boot MyBatis配置多种数据库
  • SSH 免密登录
  • Terraform入门 - 1. 安装Terraform
  • vue从入门到进阶:计算属性computed与侦听器watch(三)
  • Xmanager 远程桌面 CentOS 7
  • 测试开发系类之接口自动化测试
  • 小程序 setData 学问多
  • 怎样选择前端框架
  • 中文输入法与React文本输入框的问题与解决方案
  • 主流的CSS水平和垂直居中技术大全
  • 数据可视化之下发图实践
  • ​软考-高级-信息系统项目管理师教程 第四版【第14章-项目沟通管理-思维导图】​
  • # Redis 入门到精通(一)数据类型(4)
  • (7)svelte 教程: Props(属性)
  • (android 地图实战开发)3 在地图上显示当前位置和自定义银行位置
  • (LLM) 很笨
  • (二十四)Flask之flask-session组件
  • (附源码)计算机毕业设计ssm-Java网名推荐系统
  • (附源码)计算机毕业设计ssm高校《大学语文》课程作业在线管理系统
  • (附源码)计算机毕业设计SSM在线影视购票系统
  • (剑指Offer)面试题41:和为s的连续正数序列
  • (九)信息融合方式简介
  • (三分钟)速览传统边缘检测算子
  • (算法)前K大的和
  • (五)IO流之ByteArrayInput/OutputStream
  • (转)EOS中账户、钱包和密钥的关系
  • (转)Linux NTP配置详解 (Network Time Protocol)
  • .NET Core 将实体类转换为 SQL(ORM 映射)
  • .net 受管制代码
  • .NET/C# 获取一个正在运行的进程的命令行参数
  • .net6+aspose.words导出word并转pdf
  • .Net高阶异常处理第二篇~~ dump进阶之MiniDumpWriter
  • .NET委托:一个关于C#的睡前故事