防火墙NAT和智能选路实验详解(华为)

目录

    • 实验概述
      • 实验拓扑
      • 实验要求
        • 要求一
        • 要求二
        • 要求三
        • 要求四
        • 要求五

实验概述

从我上面一个博客能够了解到NAT和防火墙选路原理 ——>防火墙nat和智能选路,这一章我通过实验来详解防火墙关于nat和智能选路从而能熟练使用和配置防火墙,这里使用的是华为USG6000V1 、ensp模拟器进行实验。

实验拓扑

在这里插入图片描述

实验要求

在这里插入图片描述

要求一

要使办公区设备可以通过电信和移动链路上网并采用多对多NAT,并且需要留一个公网IP不能用来转换,这里为了使公网IP能够合理使用,可以采用动态多对多nat配置NAPT实现ip和端口同时转换。
首先我们要对电信和移动进行接口划分,划分到单独的安全区域,并配置IP和网关(网关就是到ISP的缺省路由)
在这里插入图片描述

在这里插入图片描述
接口划分好后,来到策略->NAT策略里面新建一个策略,可以进行如下的配置

在这里插入图片描述
在这里面选择仅转换源地址,仅使内网地址向外网地址转换,源安全区域到目的地址选择BG->DX、YD控制安全区域,在下面我们配置地址池来进行多对多的转换,不选择esay ip(出接口地址)
在这里插入图片描述
来到地址池界面我们放置好地址池的范围,并配置路由黑洞就是配置空接口放置出现环路,勾上允许端口地址转换说明使用NATP技术来配合端口进行转换基于五元组,题目要求保留一个地址如下图所配。
在这里插入图片描述
配置完NAT策略后同时要放通安全策略才可以实现真正的通联
直接点击快捷创建安全策略点击确定
在这里插入图片描述
这样我们就配置好了,办公区走两条路上网是随机的,走哪条路便会触发哪条路的nat转换。此时我们可以抓包进行分析
在这里插入图片描述
当办公区的平板pingISP路由器时选择的电信过去并从移动回来
在这里插入图片描述
办公区另一台也实现了ISP的访问,选择的移动过去移动回来,此时两个接口使用的是负载分担,如果想单口单出可以在接口处选择源进源出或者配置策略路由,这里实现了通过电信和移动进行上网。
在这里插入图片描述

要求二

分公司能通过互联网来访问总公司的DMZ服务器,这里我们要首先配置分公司的上网要求,配置分公司的上网nat地址转换这里选择的是esay NAT(出接口地址),并配置安全策略

在这里插入图片描述
测试分公司电脑能进行上网
在这里插入图片描述
第二部需要配置总公司对服务器的地址映射
这是在nat策略内配置
在这里插入图片描述

这是在服务器映射内配置,两种配置都可有效,nat策略配置更加细化
在这里插入图片描述

两端配置完成后进行测试
在这里插入图片描述
分公司能访问到总公司的http服务器

要求三

要求多出口环境基于带宽比例进行选路,但是,办公区的10.0.2.10只能通过电信的链路访问互联网。链路开启过载保护,保护阈值80%
要满足这个条件首先需要创建链路接口用来绑定运营商,用来进行智能选路
在这里插入图片描述
办公区的10.0.2.10只能通过电信访问互联网即配置策略路由,在策略路由内配置
在这里插入图片描述
下面进行测试
在这里插入图片描述
由此可以看出流量单从电信出口进出
在这里插入图片描述
在这里插入图片描述
然后开启链路保护阈值80%,并在全局选路策略里面选择根据链路带宽进行负载分担。

要求四

分公司可以通过域名访问内部的服务器,公网设备也可以通过域名访问分公司内部服务器
首先在公网服务器上放置一个DNS服务器并配置到分公司的公网IP地址,方便映射到分公司内部服务器
在这里插入图片描述
在分公司内部的主机(13.0.0.2)通过域名访问内部的服务器(13.0.0.4)的时候从dns获取到地址为公网的地址(14.0.0.2)然后再映射到内网的服务器访问,但是服务器收到请求后会发现来的地址是从内网的地址(13.0.0.2)发出来的在回复请求时就不会通过服务器来回复而是直接通过交换机进行回复,这样的话在防火墙上SYN包就不会完整的建立从而建立不了会话表所以也通信不了。这个时候要实现会话表的建立就需要在防火墙给内部服务器端口转换时ip地址也同时转换,这个时候就需要用的双向转换技术。
在这里插入图片描述
配置源地址和目标地址同时转换,在配置策略放行
在这里插入图片描述
成功通过DNS访问内网服务器
一下是抓包分析
在这里插入图片描述
DNS服务器成功收到dns请求并回复服务器地址14.0.0.2
在这里插入图片描述
由1、2可以看到防火墙成功将地址转换为防火墙网关地址进行服务器的访问,后面服务器响应的地址也回复给了网关,网关成功充当了中介的角色。

要求五

游客仅能通过移动链路访问互联网
这里我们就要通过策略路由来进行实现,配置策略路由
在这里插入图片描述
在这里插入图片描述

测试
在这里插入图片描述
测试可看出游客仅通过移动链路进行来回通信。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/797687.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

安防监控视频平台LntonCVS视频融合共享平台智慧消防实现远程集中视频监控方案

近年来,电力系统内变电站着火事件频发,这对消防安全管理提出了严峻挑战。我国消防安全基础设施不完善、管理机制不健全、应急处置能力不足及公众消防安全意识淡薄等问题,严重制约了消防安全的提升。因此,加强变电站的消防安全管理…

【Linux 文件读写描述符重定向 Linux 一切皆文件缓冲区】

文章目录 一、文件的读写操作二、文件描述符三、文件重定向四、理解 Linux 一切皆文件五、文件缓冲区 一、文件的读写操作 文件内容属性 当文件没有被操作的时候,一般文件还是在磁盘当中 文件操作文件内容的操作文件属性的操作,文件操作有可能即改变内容…

最新版智能修图-中文luminar ai 1.55(13797) 和 neo1.20,支持m芯片和intel芯片(绝对可用)

Luminar AI for macOS 完整版本 这个程序是第一个完全由人工智能驱动的图像编辑器。有了它,创建引人注目的照片是有趣的,令人惊讶的容易。它是一个独立的照片编辑器和macOS插件。 Luminar AI for macOS 轻轻地塑造和完善一个肖像打造富有表现力的眼睛…

Arduino PID整定

Arduino PID整定 Tuning an Arduino PID Introduction to Tuning an Arduino PID 例如,我们可能想把一箱水加热到华氏 100 度。 我们需要能够在不同的条件下实现这一目标,例如房间的环境(周围)温度。 此外,我们可能会…

WPF学习(6) -- WPF命令和通知

一 、WPF命令 1.ICommand代码 创建一个文件夹和文件 using System; using System.Collections.Generic; using System.Linq; using System.Text; using System.Threading.Tasks; using System.Windows.Input;namespace 学习.Command {public class MyCommand : ICommand{Acti…

无损音乐播放器推荐:Audirvana for Mac 中文激活版

udirvana 是一款高品质的音乐播放软件,专为Mac操作系统设计。它被设计来提供音频播放的最高标准,支持多种音频格式,包括高达32位/192kHz的高分辨率音频。Audirvana Plus 是其高级版本,提供了更多的功能和优化,例如音频…

LabVIEW远程实验数据采集系统

随着科学研究的不断发展,实验室对远程数据采集和监控的需求越来越高。传统的数据采集方式往往需要实验人员亲临现场,费时费力,且数据实时性较差。为了解决这些问题,基于LabVIEW开发了一套远程实验数据采集系统,实现对实…

【深度学习入门篇 ⑤ 】PyTorch网络模型创建

【🍊易编橙:一个帮助编程小伙伴少走弯路的终身成长社群🍊】 大家好,我是小森( ﹡ˆoˆ﹡ ) ! 易编橙终身成长社群创始团队嘉宾,橙似锦计划领衔成员、阿里云专家博主、腾讯云内容共创官…

0/1背包

0/1背包 背包问题是DP最经典的类型之一,而0/1背包是最经典最基础的背包问题。 一个背包体积为 v v v,现有 n n n种物品,第 i i i个物品对应体积为 c i c_i ci​,价值为 w i w_i wi​,每件物品最多可放1次,…

初识影刀:EXCEL根据部门筛选低值易耗品

第一次知道这个办公自动化的软件还是在招聘网站上,了解之后发现对于办公中重复性的工作还是挺有帮助的,特别是那些操作非EXCEL的重复性工作,当然用在EXCEL上更加方便,有些操作比写VBA便捷。 下面就是一个了解基本操作后&#xff…

如何追踪ping连接中的所有路由器的数量和IP

如何快速判断ping连接经过的路由器个数和IP? 方法一: ping命令会返回一个TTL,TTL(Time To Live)存活时间,一般初始值为64,每经过一个路由器就减一,当TTL为0时丢弃网络包&#xff0…

【深度学习】PyTorch深度学习笔记01-Overview

参考学习:B站视频【《PyTorch深度学习实践》完结合集】-刘二大人 ------------------------------------------------------------------------------------------------------- 1. 基于规则的深度学习 2. 经典的机器学习——手动提取一些简单的特征 3. 表示学习…

Linux问题解决

1、打开VMware Workstation,开启需要安装VMware Tools的虚拟机,在顶部选择菜单栏的虚拟机选项卡,点击“安装VMware Tools(T)”。 或者有时在底部会弹出提示框安装tools,点击安装也可以。 2、进入ubuntu系统后&#xff…

《Linux系统编程篇》vim的使用 ——基础篇

引言 上节课我们讲了,如何将虚拟机的用户目录映射到自己windows的z盘,虽然这样之后我们可以用自己的编译器比如说Visual Studio Code,或者其他方式去操作里面的文件,但是这是可搭建的情况下,在一些特殊情况下&#xf…

【Linux】数据流重定向

数据流重定向(redirect)由字面上的意思来看,好像就是将【数据给它定向到其他地方去】的样子? 没错,数据流重定向就是将某个命令执行后应该要出现在屏幕上的数据,给它传输到其他的地方,例如文件或…

4G LTE 教程 物理通道结构

https://www.artizanetworks.com/resources/tutorials/phy_cha.html 下行物理信道: 物理下行链路共享信道 (PDSCH) 承载 DL-SCH 和 PCH。DL-SCH 包含实际用户数据。物理下行链路控制信道 (PDCCH) 通知UEPCH和DL-SCH的资源分配情况,以及DL-SCH相关的HARQ…

tongweb8 使用命令行对应用进行操作(by lqw)

文章目录 声明思路和概念新增应用更新应用启动应用停止应用删除应用 声明 本帖只是做一些简单的应用查看,新增,启动,停止,删除操作,仅供参考,详细内容建议参考TongwebV8.0 命令行工具参考,生产…

InjectFix 热更新解决方案

简介 今天来谈一谈,项目种的客户端热更新解决方案。InjectFix是腾讯xlua团队出品的一种用于Unity中C#代码热更新热修复的解决方案。支持Unity全系列,全平台。与xlua的思路类似,InjectFix解决的痛点主要在于Unity中C#代码写的逻辑在发包之后无…

Python爬虫:基础爬虫架构及爬取证券之星全站行情数据!

爬虫成长之路(一)里我们介绍了如何爬取证券之星网站上所有A股数据,主要涉及网页获取和页面解析的知识。爬虫成长之路(二)里我们介绍了如何获取代理IP并验证,涉及了多线程编程和数据存储的知识。此次我们将在…

深度学习LSTM之预测光伏发电

代码一:训练LSTM模型 代码逐段分析 import numpy as np import pandas as pd import tensorflow.keras as tk from tensorflow.keras import layers首先,导入了必要的库:numpy用于数值计算,pandas用于数据处理,tenso…