网络安全防御【防火墙双机热备带宽管理综合实验】

news2024/11/23 4:05:10

目录

一、实验拓扑图

二、实验要求 

三、实验思路:

四、实验步骤:

1、FW3的网络相关配置:

2、FW1的新增配置:

3、交换机LSW6(总公司)的新增配置:

4、双机热备技术配置(双机热备的组网形式,做负载分担模式,游客区和DMZ区走FW3,生产区和办公区的流量走FW1):

5、带宽策略相关配置:

(1)办公区上网用户限制流量不超过100M,其中销售部人员在其基础上限制流量不超过60M,且销售部一共10人,每人限制流量不超过6M

(2)销售部保证email应用在办公时间至少可以使用10M的带宽,每个人至少1M

(3)移动链路采用的是100M的带宽,要求游客区用户仅能占用50M,并且基于在线地址进行动态均分

(4)外网访问内网服务器,下行流量不超过40M,DMZ中的每台服务器限制对外提供的最大下行带宽不超过20M。


一、实验拓扑图

 

二、实验要求 

1、DMZ区的服务器,办公区仅能在办公时间内(9:00-18:00)可以访问,生产区设备全天都是可以访问的

2、生产区不允许访问互联网,办公区和游客区允许访问互联网

3、办公区设备10.0.2.20不允许访问DMZ区的FTP服务器和HTTP服务器,仅能ping通10.0.3.10

4、办公区分为市场部和研发部,研发部IP地址固定,访问DMZ区使用匿名认证,研发部需要用户绑定IP地址,访问DMZ区使用免认证;

游客区人员不固定,不允许访问DMZ区和生产区,统一使用Guest用户登录,密码Admin@123,游客仅有访问公司门户网站和上网的权利,门户网站地址10.0.3.10

5、生产区访问DMZ区时,需要进行protal认证,设立生产区用户架构,至少包含三个部门,每个部门三个用户,用户统一密码openlab123,

首次登录需要修改密码,用户过期时间设定为10天,用户不允许多人使用

6、创建一个自定义管理员,要求不能拥有系统管理的功能

【前6个要求已完成,需要查看请前往下面网址】http://t.csdnimg.cn/K1Dsxicon-default.png?t=N7T8http://前6个要求

7、办公区设备可以通过电信链路和移动链路上网(多对多的NAT,并且需要保留一个公网IP不能用来转换)

8、分公司设备可以通过总公司的移动链路和电信链路访问到Dmz区的http服务器

9、多出口环境基于带宽比例进行选路,但是,办公区中10.0.2.10该设备只能通过电信的链路访问互联网。链路开启过载保护,保护阈值80%;

10、分公司内部的客户端可以通过域名访问到内部的服务器,公网设备也可以通过域名访问到分公司内部服务器;

11、游客区仅能通过移动链路访问互联网

【要求7-11已完成,需要查看请前往下面的网址】http://t.csdnimg.cn/VO4mIicon-default.png?t=N7T8http://要求7-11

【本篇博客是完成要求12-16】

12,对现有网络进行改造升级,将当个防火墙组网改成双机热备的组网形式,做负载分担模式,游客区和DMZ区走FW3,生产区和办公区的流量走FW1

13,办公区上网用户限制流量不超过100M,其中销售部人员在其基础上限制流量不超过60M,且销售部一共10人,每人限制流量不超过6M

14,销售部保证email应用在办公时间至少可以使用10M的带宽,每个人至少1M

15,移动链路采用的是100M的带宽,要求游客区用户仅能占用50M,并且基于在线地址进行动态均分

16,外网访问内网服务器,下行流量不超过40M,DMZ中的每台服务器限制对外提供的最大下行带宽不超过20M。

三、实验思路:

1、IP地址的划分要,区域划分要清晰合理,本实验看拓扑图很复杂,注意好线的连接关系;

2、对于新加的设备FW3进行相关的网络配置;

3、防火墙双机热备技术的负载分担模式的相关配置;

4、流量的带宽管理配置。

四、实验步骤:

1、FW3的网络相关配置:

对于一个刚启动防火墙的配置:

 开启防火墙后需要登录用户名和密码,第一次默认的用户名:admin,密码:Admin@123;

登录成功之后需要修改你的密码才能进入防火墙的用户视图。

  防火墙的g0/0/0口默认的IP地址为192.168.0.1/24;但是我们需要在浏览器中打开FW2的web服务就需要将g0/0/0接口的IP地址修改为192.168.142.30/24与我们Clound中虚拟网卡通一个网段才行。

在防火墙中g0/0/0口中开启所有的服务:

[USG6000V1-GigabitEthernet0/0/0]service-manage all permit

FW3 的连线情况(拓扑图中实在是太乱了):

g0/0/0 --- LSW1 g0/0/4

g1/0/0 (g1/0/0.1 : 10.0.1.2 [生产区],  g1/0/0.2 : 10.0.2.2[办公区])--- LSW6 g0/0/4

g1/0/1(IP:10.10.10.3) --- FW1 g1/0/5(IP:10.10.10.1) [HRP]

g1/0/2 (IP:10.10.10.4)--- FW1 g1/0/6(IP:10.10.10.2) [HRP]

g1/0/3 (12.0.0.3) --- LSW11 g0/0/2  [电信]

g1/0/4 (21.0.0.3) --- LSW12 g0/0/2  [移动]

g1/0/5 (10.0.3.2) --- LWS2 g0/0/4   [DMZ]

g1/0/6 (10.0.0.2) --- LSW8 g0/0/4   [游客区]

HRP IP地址划分:

10.10.10.0/24

新建安全区域(BG,YK,电信,移动):

 

 

 

 

 

配置网络接口详情:

g1/0/0 (g1/0/0.1 : 10.0.1.2 [生产区],  g1/0/0.2 : 10.0.2.2[办公区])--- LSW6 g0/0/4

 

FW2的HRP接口的链路聚合:

g1/0/1(IP:10.10.10.3) --- FW1 g1/0/5(IP:10.10.10.1) [HRP]

g1/0/2 (IP:10.10.10.4)--- FW1 g1/0/6(IP:10.10.10.2) [HRP]

新建一个HRP单独的安全区域:

g1/0/3 (12.0.0.3) --- LSW11 g0/0/2  [电信]

 

g1/0/4 (21.0.0.3) --- LSW12 g0/0/2  [移动]

 

g1/0/5 (10.0.3.2) --- LWS2 g0/0/4   [DMZ]

 

g1/0/6 (10.0.0.2) --- LSW8 g0/0/4   [游客区]

2、FW1的新增配置:

FW1的HRP链路聚合:

g1/0/1(IP:10.10.10.3) --- FW1 g1/0/5(IP:10.10.10.1) [HRP]

g1/0/2 (IP:10.10.10.4)--- FW1 g1/0/6(IP:10.10.10.2) [HRP]

 

新建一个HRP单独安全区域:

 

3、交换机LSW6(总公司)的新增配置:

[Huawei]int g0/0/4

[Huawei-GigabitEthernet0/0/4]p l t

[Huawei-GigabitEthernet0/0/4]port trunk allow-pass vlan 2 3

[Huawei-GigabitEthernet0/0/4]undo port trunk allow-pass vlan 1

4、双机热备技术配置(双机热备的组网形式,做负载分担模式,游客区和DMZ区走FW3,生产区和办公区的流量走FW1):

FW1:

 

勾选了主动抢占,则代表开启抢占模式,默认开启60S抢占延迟

(抢占延时主要是为了应对一些接口可能出现反复震荡的情况)

静态路由自动备份建议勾选

 

 

 

 

 

FW3:

 

 

 

 

 

 

FW1配置完成双机热备视图:

FW2配置完成双机热备视图:

同步情况:

安全策略:

 

NAT策略:

 

5、带宽策略相关配置:

(1)办公区上网用户限制流量不超过100M,其中销售部人员在其基础上限制流量不超过60M,且销售部一共10人,每人限制流量不超过6M

办公区上网限制:

 

策略独占: 每个带宽策略调用这个通道,都按照通道中的设定执行

策略共享: 所有带宽策略调用这个通道,都按照通道中的设定执行

 

安全策略是可以根据你的带宽策略自动生成的

 

销售部上网限制:

 

(2)销售部保证email应用在办公时间至少可以使用10M的带宽,每个人至少1M

 

 

 

(3)移动链路采用的是100M的带宽,要求游客区用户仅能占用50M,并且基于在线地址进行动态均分

 

 

开启了动态均分,则根据在线的用户或者IP数量来分配总流量。

 

 

(4)外网访问内网服务器,下行流量不超过40M,DMZ中的每台服务器限制对外提供的最大下行带宽不超过20M。

 

 

 

至此本实验全部完成!!!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1929242.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

【人工智能】高级搜索技术(模拟退火搜索算法和遗传算法解决旅行商问题)

目录 一、旅行商问题 1. 需求分析 2. 数据结构、功能模块设计与说明 2.1 数据结构 (1)模拟退火搜索算法 (2)遗传算法 2.2 功能模块设计 (1)模拟退火搜索算法 (2)遗传算法 …

离散数学,传递闭包的运算 ,集合的划分和覆盖 ,等价关系 ,等价类,相容关系 ,偏序关系

目录 1.传递闭包的运算 2.集合的划分和覆盖 3.等价关系 4.等价类 等价关系的性质 商集 5.相容关系 相容类 写出以下相容关系的最大相容类 完全覆盖 6.偏序关系 覆盖 7.哈斯图例子 1.传递闭包的运算 2.集合的划分和覆盖 3.等价关系 4.等价类 等价关…

starrcoks内存溢出后重启失败

sr版本:version 2.1.12 RELEASE (build 04f2931) 部署方式: FE:10.6.xx.107~10.6.xx.109 BE:10.6.xx.107~10.6.xx.111 问题:某天10.6.xx.107机器上的BE提示内存溢出(日志如下),重启后,be却无法…

Gooxi受邀参加第三届中国数据中心服务器与设备峰会

7月2-3日,第三届中国数据中心服务器与设备峰会在上海召开,作为国内最聚焦在服务器领域的专业峰会,吸引了来自全国的行业专家、服务器与机房设备厂家,企业IT用户,数据中心业主共同探讨AIGC时代下智算中心设备的设计之道…

普通人用AI提升收入的四种途径分享(附教程)

全文干货视频很长,建议先收藏再看。 实操和AI绘画工具可以扫描下方,免费获取 01 提升赚钱效率:拆解主业,让AI为你的主业做乘法 首先我要告诉你的是,用 AI 来提升收入这件事并不难,只不过大多数人用错了方…

文心一言 VS 讯飞星火 VS chatgpt (304)-- 算法导论22.2 2题

二、请计算出在图22-3所示无向图上运行广度优先搜索算法后的 d 值和 π 值。这里假定结点 u 为算法所用的源结点。 文心一言: 为了计算在图22-3所示的无向图上运行广度优先搜索(BFS)算法后的d值和π值,我们首先需要明确图的结构…

【linux】服务器重装系统之系统盘写入准备

【linux】服务器重装系统之系统盘写入准备 【创作不易,求点赞关注收藏】😀 文章目录 【linux】服务器重装系统之系统盘写入准备一、前期准备1、准备一个U盘,并进行格式化2、下载UltralSO工具3、下载对应的Ubuntu版本 二、写入操作教程 一、…

手机和电脑通过TCP传输(一)

一.工具 手机端:网络调试精灵 电脑端:野火网络调试助手 在开始通信之前,千万要查看一下电脑的防火墙是否关闭,否则可能会无法通信 在开始通信之前,千万要查看一下电脑的防火墙是否关闭,否则可能会无法通信…

中仕公考:考公基层工作经历怎么计算?

在国家及省级公务员考试中,可能会有岗位要求“基层工作经历”,很多考生对于这一概念了解的不是很清楚,该经历定义为个人在县级或以下级别的机关、国有企事业单位、以及村(社区)组织或其他经济和社会组织中的工作历程。 须知:应届…

Python与MQTT:构建物联网通信的桥梁

🚀Python与MQTT:构建物联网通信的桥梁🌉 在这个万物互联的时代,物联网(IoT)技术正以前所未有的速度改变着我们的生活。从智能家居到智慧城市,从工业自动化到农业智能化,物联网的触角…

前端开发体系+html文件详解

目录 html骨架 body主体内基本元素 基本元素 超文本(超链接跳转) 锚点 图片标签 列表标签 表格标签 框架标签(窗口标签) 音频标签 视频标签 VScode编译器 输入框 字体样式 实例展示: 首先简要介绍前端的整…

电脑远程开关机

1. 远程开机 参考:https://post.smzdm.com/p/664774/ 1.1 Wake On LAN - 局域网唤醒(需要主板支持,一般都支持) 要使用远程唤醒,有几种方式:使用类似向日葵开机棒(很贵)、公网ip&…

防火墙负载分担,带宽策略

一、实验拓扑图 二、实验要求 12,对现有网络进行改造升级,将当个防火墙组网改成双机热备的组网形式,做负载分担模式,游客区和DMZ区走FW3,生产区和办公区的流量走FW1 13,办公区上网用户限制流量不超过100M&a…

【Python】基础语法(函数、列表和元组、字典、文件)

。一、函数 1、函数是什么 编程中的函数和数学中的函数有一定的相似之处。 数学上的函数,比如 y sin x,x 取不同的值,y 就会得到不同的结果。 编程中的函数是一段可以被重复使用的代码片段。 (1)求数列的和&…

Go语言--广播式并发聊天服务器

实现功能 每个客户端上线,服务端可以向其他客户端广播上线信息;发送的消息可以广播给其他在线的客户支持改名支持客户端主动退出支持通过who查找当前在线的用户超时退出 流程 变量 用户结构体 保存用户的管道,用户名以及网络地址信息 typ…

第二届大数据、计算智能与应用国际会议(BDCIA2024)

会议日期:2024年11月15-17日 会议地点:中国-湖北省-黄冈市 主办单位:黄冈师范学院 【大会主席】 【主讲嘉宾】 大会邀请到来自美国、英国、加拿大、新加坡、意大利、越南等10余位领域内学术大咖作主题报告,并与参会人员互动交…

实战:功能强大齐全BBS论坛项目Echo简介

项目简介 Echo 是一套前后端不分离的开源社区系统,基于目前主流 Java Web 技术栈(SpringBoot MyBatis MySQL Redis Kafka Elasticsearch Spring Security ...),并提供详细的开发文档和配套教程。包含帖子、评论、私信、系…

29.【C语言】自定义函数

1、自定义详解 *提示&#xff1a;先看第12,19篇 例&#xff1a;写一个程序交换两个变量的值 #define _CRT_SECURE_NO_WARNINGS #include <stdio.h> void swap(int x, int y) {int z 0;z x;x y;y z; } int main() {int a 10;int b 20;swap(a, b);printf("%d…

目标检测--X-anylabeling使用自己的模型自动标注

一、x-anylabeling安装教程 x-anylabeling安装教程——软件安装教程——X-AnyLabeling 安装与自动标注 二、x-anylabeling使用自己的模型标注&#xff08;YOLOv5 v6.0&#xff09; 2.1 训练权重.pt转onnx 环境配置 将requiements.txt中export部分的注释恢复 然后pip insta…