实验:在FW上配置静态路由实现互通

网络拓扑图

一、配置步骤

1.配置IP地址

R1:

FW:

ISP:

     

2.配置路由

①在R2上面配置静态路由

②在ISP上面配置静态路由

3.在FW上配置安全策略实现内网主机和PC可以访问ISP的接口地址1.1.2

①在防火墙上配置Trust区域,将G1/0/1加入。再配置安全策  略,命名为test,配置允许访问的源区域和目标区域;

②在防火墙上配置Untrust区域,将G1/0/0加入。再配置安全策略,命名为test1,配置允许访问的源区域和目标区域;

③配置安全策略,命名为test2,允许Trust访问Untrust区域。

④在各接口开启允许ping的命令:service-manage ping permit

⑤自此,可以实现内网主机PC可以访问ISP的接口地址1.1.2

二、添加步骤

1.首先在ISP路由器的环回口创建IP地址

2.在FW上面配置默认路由,实现上网需求

3.在FW、R1上面配置OSPF,实现内网互通,及FW可以访问Trust域内的任意主机

①配置OSPF

②查看FW的邻居关系

③要将之前配置的本地默认路由条目通过OSPF协议转发给OSPF邻居

④查看R1的OSPF的路由表

⑤R1可以访问ISP

⑥ PC1可以访问ISP

4.配置防火墙安全策略,实现内网中只有1.1.0/24网段的主机可以访问8.8.8.8服务器

测试:

5.桥接本地主机,实现WEB登录FW做配置。

①进行桥接

②在FW的g0/0/0接口下输入service-manager all permit。

在防火墙下输入:web-manager enable

③在本地浏览器里登录输入https://192.168.0.1:8443

④同步系统时间

⑤选择接入互联网方式

⑥LAN接口是连接Trust接口(内网接口)

⑦安全策略(命令行输入,在Web页面下的显示)

 

思考题:

1.如何实现ISP可以主动ping通过内网主机PC

通过目的NAT,对公网访问IP转换为内网IP,实现外部网络访问内网主机。

①配置源NAT:配置源NAT地址转换,仅配置源地址访问内网--> 公网的转换.

[FW1] nat-policy // 配置NAT地址转换
[FW1-policy-nat] rule name isp2pc // 指定策略名称
[FW-policy-nat-rule-isp2pc] egress-interface GigabitEthernet 1/0/0 // 外网接口IP
[FW-policy-nat-rule-isp2pc] action source-nat easy-ip // 源地址转换

②配置目标NAT: 外网访问8.8.8自动映射到内网的10.1.1.10这台主机上.

--------------------------------------------NAT规则---------------------------------------------------
# 外网主机访问8.8.8.8主机自动映射到内部的10.1.1.20
[FW1] firewall detect ftp
[FW]nat server isp2pc global 10.1.1.20 inside 8.8.8.8 no-reverse

[FW1] security-policy // 配置安全策略
[FW-policy-security]rule name untrust-isp// 规则名称
[FW-policy-security-rule-untrust-isp] source-zone untrust // 源安全区域(外部)
[FW-policy-security-rule-untrust-isp]  destination-zone trust // 目标安全区域(内部)
[FW-policy-security-rule-untrust-isp]  action permit // 放行配置
[FW-policy-security-rule-untrust-isp]  quit

⑥测试

实现了ISP ping通过内网主机PC

2.如何实现PC在访问8.8.8.9的同时10.2.2.1可以访问8.8.8.8。

①在FW上安全策略test2中再添加允许源地址为2.2.1可以访问Untrust区域。

②实现了2.2.1可以访问8.8.8.8。

③PC也可以访问8.8.8.9

实验一:在FW上配置静态路由实现互通的更多相关文章

  1. Network基础(五):配置静态路由、配置浮动路由、配置多路由的静态路由、配置默认路由

    一.配置静态路由 目标: 配置路由接口IP地址并通过静态路由的配置实现全网的互通. 方案: 按如下网络拓扑配置接口IP地址并通过静态路由的配置实现全网的互通如下图所示: 步骤: 步骤一:配置静态路由 ...

  2. H3C路由器配置——静态路由

    一.网络畅通条件及排错思路 1.网络畅通的条件 网络畅通的条件:数据包能去能回,也是我们排除网络故障的理论依据. 2.网络不畅通示列 ①.目标主机不可达 原因分析:可能是数据包没有到达目的地,在中途就 ...

  3. Centos7/RHEL 7 配置静态路由

    如图: 业务地址:192.168.10.0/24    192.168.20.0/24管理地址:172.168.10.0/24    172.168.20.0/24 需求:每台主机配置两张网卡,分别连 ...

  4. ubuntu 配置静态路由

    原文:http://blog.sina.com.cn/s/blog_6fd8d5d90101f1xy.html -------------------------------------------- ...

  5. 技能实际操作:如何为Centos7 配置静态路由?

    如图: 业务地址:192.168.10.0/24 ---- 192.168.20.0/24 管理地址:172.168.10.0/24 --- 172.168.20.0/24 需求:每台主机配置两张网卡 ...

  6. 华为HCIA认证零基础入门-网络工程师必备之什么是静态路由?如何配置静态路由?

    一.静态路由功能介绍:静态路由就是手工配置的路由,使得数据包能够按照预定的路径传送到指定的目标网络. 当不能通过动态路由协议学到一些目标网络的路由时,配置静态路由就会显得十分重要. 二.静态路由应用场 ...

  7. CentOS启动网络提示connect: Network is unreachable(配置静态路由)

    ls /etc/sysconfig/network-script/ifcfg-eth0 一.看是否在上述目录下存在ifcfg-eth0 这个文件,若存在则按下面的步骤操作: 1.手工配置ip看能不能配 ...

  8. VMware在Centos7上配置静态IP的方法

    使用NAT模式 在这里记下192.168.161.2 进入系统,为系统自动分配一个ip 记录下 192.168.161.129 进入网络管理器配置文件目录 cd /etc/sysconfig/netw ...

  9. 阿里云线上ROS静态路由转发,有大坑。

    原因见上去,阿里云不支持VPC中转流量,VPC1和VPC2都在国内,VPC3在香港,如果按阿里云的做法,必须付费2次国际隧道的钱,才可以实现三个VPC互通.明显很浪费钱. 所以我们只能在三个VPC,各 ...

随机推荐

  1. 动态代理-JDK

    代理模式:假设一个场景,你的公司是一位软件公司,你是一位软件工程师,显然客户带着需求不会去找你谈,而是去找商务谈,此时商务就代表公司. 商务的作用:商务可以谈判:也有可能在开发软件之前就谈失败,此时商 ...

  2. SpringCloud Alibaba入门之Nacos(SCA)

    SpringCloud Alibaba Spring Cloud Alibaba 致力于提供微服务开发 的一站式解决方案.此项目包含开发分布式应用微服务的必需组件,方便开发者通过 Spring Clo ...

  3. findmnt、lsblk、mount 命令查看磁盘、目录挂载、挂载点以及文件系统格式等情况

    findmnt 展示出了目标挂载点( TARGET ).源设备( SOURCE ).文件系统类型( FSTYPE )以及相关的挂载选项( OPTIONS ),例如文件系统是否是可读可写或者只读的.根( ...

  4. Python Windows 快捷键自动给剪贴板(复制)图片添加水印

    编写一个能在windows上使用的按下快捷键自动给剪贴板(复制)的图片添加水印的小工具.plyer.PIL.pyinstaller.pynput.win32clipboard库.记录自己踩过的坑,部分 ...

  5. flutter常用命令--不定期更新

    // 更新flutter flutter upgrade // Dart 构造函数默认值 ImageGridView({Key key, this.imgs, this.isEdit: false}) ...

  6. acwing刷题-放养又没有完全放养

    题目 一个鲜为人知的事实是,奶牛拥有自己的文字:「牛文」. 牛文由 26 个字母 a 到 z 组成,但是当奶牛说牛文时,可能与我们所熟悉的 abcdefghijklmnopqrstuvwxyz 不同, ...

  7. Myeclipse+svn相关文章

    Myeclipse安装svn插件https://www.cnblogs.com/liuyk-code/p/7519886.html 使用svn https://jingyan.baidu.com/ar ...

  8. 关于openstreet map的osm文件转shp文件方法(附arcgis10.2插件)

    一.下载并安装对应arcgis版本的osm插件 对应arcgis版本的osm转换插件在arcgis官网可以下载 http://www.arcgis.com/home/search.html?q=Arc ...

  9. java 中为什么重写 equals 后需要重写 hashCode

    本文为博主原创,未经允许不得转载: 1. equals 和 hashCode 方法之间的关系 这两个方法都是 Object 的方法,意味着 若一个对象在没有重写 这两个方法时,都会默认采用 Objec ...

  10. 从0开始用webpack开发antd,react组件库npm包并发布

    一.初始化一个npm包 1.新建一个文件夹(名称随意,建议和报名一致),输入命令 :npm init -y 会自动生成一个包的说明文件 package.json如下(本文以scroll-antd-ta ...