防火墙NAT和智能选路实验详解(华为)

news2024/11/16 4:33:26

目录

    • 实验概述
      • 实验拓扑
      • 实验要求
        • 要求一
        • 要求二
        • 要求三
        • 要求四
        • 要求五

实验概述

从我上面一个博客能够了解到NAT和防火墙选路原理 ——>防火墙nat和智能选路,这一章我通过实验来详解防火墙关于nat和智能选路从而能熟练使用和配置防火墙,这里使用的是华为USG6000V1 、ensp模拟器进行实验。

实验拓扑

在这里插入图片描述

实验要求

在这里插入图片描述

要求一

要使办公区设备可以通过电信和移动链路上网并采用多对多NAT,并且需要留一个公网IP不能用来转换,这里为了使公网IP能够合理使用,可以采用动态多对多nat配置NAPT实现ip和端口同时转换。
首先我们要对电信和移动进行接口划分,划分到单独的安全区域,并配置IP和网关(网关就是到ISP的缺省路由)
在这里插入图片描述

在这里插入图片描述
接口划分好后,来到策略->NAT策略里面新建一个策略,可以进行如下的配置

在这里插入图片描述
在这里面选择仅转换源地址,仅使内网地址向外网地址转换,源安全区域到目的地址选择BG->DX、YD控制安全区域,在下面我们配置地址池来进行多对多的转换,不选择esay ip(出接口地址)
在这里插入图片描述
来到地址池界面我们放置好地址池的范围,并配置路由黑洞就是配置空接口放置出现环路,勾上允许端口地址转换说明使用NATP技术来配合端口进行转换基于五元组,题目要求保留一个地址如下图所配。
在这里插入图片描述
配置完NAT策略后同时要放通安全策略才可以实现真正的通联
直接点击快捷创建安全策略点击确定
在这里插入图片描述
这样我们就配置好了,办公区走两条路上网是随机的,走哪条路便会触发哪条路的nat转换。此时我们可以抓包进行分析
在这里插入图片描述
当办公区的平板pingISP路由器时选择的电信过去并从移动回来
在这里插入图片描述
办公区另一台也实现了ISP的访问,选择的移动过去移动回来,此时两个接口使用的是负载分担,如果想单口单出可以在接口处选择源进源出或者配置策略路由,这里实现了通过电信和移动进行上网。
在这里插入图片描述

要求二

分公司能通过互联网来访问总公司的DMZ服务器,这里我们要首先配置分公司的上网要求,配置分公司的上网nat地址转换这里选择的是esay NAT(出接口地址),并配置安全策略

在这里插入图片描述
测试分公司电脑能进行上网
在这里插入图片描述
第二部需要配置总公司对服务器的地址映射
这是在nat策略内配置
在这里插入图片描述

这是在服务器映射内配置,两种配置都可有效,nat策略配置更加细化
在这里插入图片描述

两端配置完成后进行测试
在这里插入图片描述
分公司能访问到总公司的http服务器

要求三

要求多出口环境基于带宽比例进行选路,但是,办公区的10.0.2.10只能通过电信的链路访问互联网。链路开启过载保护,保护阈值80%
要满足这个条件首先需要创建链路接口用来绑定运营商,用来进行智能选路
在这里插入图片描述
办公区的10.0.2.10只能通过电信访问互联网即配置策略路由,在策略路由内配置
在这里插入图片描述
下面进行测试
在这里插入图片描述
由此可以看出流量单从电信出口进出
在这里插入图片描述
在这里插入图片描述
然后开启链路保护阈值80%,并在全局选路策略里面选择根据链路带宽进行负载分担。

要求四

分公司可以通过域名访问内部的服务器,公网设备也可以通过域名访问分公司内部服务器
首先在公网服务器上放置一个DNS服务器并配置到分公司的公网IP地址,方便映射到分公司内部服务器
在这里插入图片描述
在分公司内部的主机(13.0.0.2)通过域名访问内部的服务器(13.0.0.4)的时候从dns获取到地址为公网的地址(14.0.0.2)然后再映射到内网的服务器访问,但是服务器收到请求后会发现来的地址是从内网的地址(13.0.0.2)发出来的在回复请求时就不会通过服务器来回复而是直接通过交换机进行回复,这样的话在防火墙上SYN包就不会完整的建立从而建立不了会话表所以也通信不了。这个时候要实现会话表的建立就需要在防火墙给内部服务器端口转换时ip地址也同时转换,这个时候就需要用的双向转换技术。
在这里插入图片描述
配置源地址和目标地址同时转换,在配置策略放行
在这里插入图片描述
成功通过DNS访问内网服务器
一下是抓包分析
在这里插入图片描述
DNS服务器成功收到dns请求并回复服务器地址14.0.0.2
在这里插入图片描述
由1、2可以看到防火墙成功将地址转换为防火墙网关地址进行服务器的访问,后面服务器响应的地址也回复给了网关,网关成功充当了中介的角色。

要求五

游客仅能通过移动链路访问互联网
这里我们就要通过策略路由来进行实现,配置策略路由
在这里插入图片描述
在这里插入图片描述

测试
在这里插入图片描述
测试可看出游客仅通过移动链路进行来回通信。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1923645.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

lvs集群、NAT模式和DR模式、keepalive

目录 lvs集群概念 集群的类型:三种类型 系统可靠性指标 lvs集群中的术语 lvs的工作方式 NAT模式 lvs的工具 算法 实验 数据流向 步骤 一 、调度器配置(test1 192.168.233.10) 二、RS配置(nginx1和nginx2)…

Android:如何绘制View

点击查看Android 如何绘制视图官网 一、简介 Android 框架会在 Activity 获得焦点时请求 Activity 绘制其布局。Android 框架会处理绘制流程,但该 Activity 必须提供其布局层次结构的根节点。 Android 框架会绘制布局的根节点,并测量和绘制布局树。它会…

【每日一练】python类和对象现实举例详细讲解

""" 本节课程目的: 1.掌握类描述现实世界实物思想 2.掌握类和对象的关系 3.理解什么事面向对象 """ #比如设计一个闹钟,在这里就新建一个类 class Clock:idNone #闹钟的序列号,也就是类的属性priceNone #闹…

Redis学习笔记(个人向)

Redis学习笔记(个人向) 1. 概述 是一个高性能的 key-value 数据库;其具有以下三个特点: Redis支持数据的持久化,可以将内存中的数据保存在磁盘中,重启的时候可以再次加载进行使用。Redis不仅仅支持简单的key-value类型的数据&…

Nginx+Keepalive调度的高可用

nginxkeepalive: 调度器的高可用 vip地址主备之间的切换,主在工作时,p地址只在主上,主停止工作,p飘移到备服务器。 在主备的优先级不变的情况下,主恢复工作,vp会飘回到主服务器。 1、配优先级 2、配置…

EventBus学习

视频:05_尚硅谷_EventBus_粘性事件案例_哔哩哔哩_bilibili 1.整体框架 2.demo下载地址:https://github.com/greenrobot/EventBus 3.实现非粘性时间流程: 3.1导入架包eventbus-3.0.0.jar和eventbus-3.0.0-sources.jar 3.2在接受数据页面注…

k8s(五)---名称空间

五、名称空间 名称空间是k8s划分不同工作空间的逻辑单位,是k8s资源逻辑隔离的机,。可以给不同的租户,不同的环境、不同的项目创建对应的命名空间。 1、查看名称空间 kubectl get ns kubectl get namespaces 此处展示了四个命名空间 2、管理名称空间 1…

更新商品前端接口编写

文章目录 新增页面书写写表单价格符号的显示然后状态的书写后端枚举书写时间书写使用组件 新增页面书写 书写直接复制页面 写表单的绑定信息 然后绑定表单 表单绑定还有表单数据的绑定 标签中ref的作用就是将 该组件注册到vue对象的ref属性中 那么在vue运行的时候,会加载所…

IOC、DI<4> Unity、AOP、MVCAOP、UnityAOP 区别

IOC():控制反转,把程序上层对下层的依赖,转移到第三方的容器来装配 是程序设计的目标,实现方式包含了依赖注入和依赖查找(.net里面只有依赖注入) DI:依赖注入&#xff0c…

【网络文明】关注网络安全

在这个数字化时代,互联网已成为我们生活中不可或缺的一部分,它极大地便利了我们的学习、工作、娱乐乃至日常生活。然而,随着网络空间的日益扩大,网络安全问题也日益凸显,成为了一个不可忽视的全球性挑战。认识到网络安…

Gitee简易使用流程(后期优化)

目录 1.修改用户名 2.文件管理 新建文件/文件夹流程如下: 上传文件流程如下: 以主页界面为起点 1.修改用户名 点解右上角的头像--> 点击“账号设置” 点击左边栏里的“个人资料“ 直接修改用户名即可 2.文件管理 选择一个有修改权限仓库&#…

【轻松拿捏】Java-final关键字(面试)

目录 1. 定义和基本用法 回答要点: 示例回答: 2. final 变量 回答要点: 示例回答: 3. final 方法 回答要点: 示例回答: 4. final 类 回答要点: 示例回答: 5. final 关键…

yolov8预测

yoloV8 官方地址 预测 -Ultralytics YOLO 文档 1.图片预测 from ultralytics import YOLO #### 图片预测1 ### https://www.youtube.com/watch?vneBZ6huolkg ### https://github.com/ultralytics/ultralytics ### https://github.com/abdullahtarek/football_analysis…

Linux C语言基础 day10

目录 学习目标: 学习内容: 1.指针指向数组 1.1 指针与数组的关系 1.2 指针与一维数组关系实现 1.2.1 指针与一维数组的关系 1.2.2 指针指向一维整型数组作为函数参数传递 课外作业: 学习目标: 一周掌握 C基础知识 学习内…

专业条码二维码扫描设备和手机二维码扫描软件的区别?

条码二维码技术已广泛应用于我们的日常生活中,从超市结账到公交出行,再到各类活动的入场验证,条码二维码的便捷性不言而喻,而在条码二维码的扫描识别读取过程中,专业扫描读取设备和手机二维码扫描软件成为了两大主要工…

uniapp使用多列布局显示图片,一行两列

完整代码&#xff1a; <script setup>const src "https://qiniu-web-assets.dcloud.net.cn/unidoc/zh/shuijiao.jpg" </script><template><view class"content"><view class"img-list"><image :src"src…

日志自动分析-操作系统-GscanLogonTracerf8x

&#x1f3bc;个人主页&#xff1a;金灰 &#x1f60e;作者简介:一名简单的大一学生;易编橙终身成长社群的嘉宾.✨ 专注网络空间安全服务,期待与您的交流分享~ 感谢您的点赞、关注、评论、收藏、是对我最大的认可和支持&#xff01;❤️ &#x1f34a;易编橙终身成长社群&#…

TCP连接的三次握手和断开的四次挥手

TCP连接的建立过程通过三次握手完成&#xff0c;‌而连接的关闭过程则通过四次挥手完成。‌ 三次握手&#xff1a;‌这是TCP连接建立的过程&#xff0c;‌主要目的是确保双方都准备好进行数据传输。‌具体步骤如下&#xff1a;‌ 客户端向服务器发送一个SYN报文&#xff0c;‌请…

Canvas:实现在线动态时钟效果

想象一下&#xff0c;用几行代码就能创造出如此逼真的图像和动画&#xff0c;仿佛将艺术与科技完美融合&#xff0c;前端开发的Canvas技术正是这个数字化时代中最具魔力的一环&#xff0c;它不仅仅是网页的一部分&#xff0c;更是一个无限创意的画布&#xff0c;一个让你的想象…

利用宝塔安装一套linux开发环境

更新yum&#xff0c;并且更换阿里镜像源 删除yum文件 cd /etc/yum.repos.d/ 进入yum核心目录 ls sun.repo rm -rf * 删除之前配置的本地源 ls 配置阿里镜像源 wget -O /etc/yum.repos.d/CentOS-Base.repo https://mirrors.aliyun.com/repo/Centos-7.repo 配置扩展包 wge…