实验拓扑

image.png


实验解法

1.按拓扑结构连接内部网络(Trust区域)和Internet网络(Untrust区域),Host_1和Host_2均在Oracle VM VirtualBox中使用虚拟机,按图配置Host_1、Host_2的IP地址和网关。在Host_2上使用工具软件Quick easy ftp server和MyWebServer分别架设FTP服务和WEB服务。。
2.在S5820上完成以下配置,配置内部网络实现VLAN10互通,配置G1/0/1的IP地址,同
时勿忘配置缺省路由。

  1. [H3C]sysname S3
  2. [S3]vlan 10
  3. [S3-vlan10]quit
  4. [S3]interface vlan 10
  5. [S3-Vlan-interface10]ip address 192.168.10.1 24
  6. [S3-Vlan-interface10]quit
  7. [S3]interface GigabitEthernet 1/0/2
  8. [S3-GigabitEthernet1/0/2]port access vlan 10
  9. [S3]interface GigabitEthernet 1/0/1
  10. [S3-Gi gabi tEthernet 1/0/1]port link-mode route
  11. [S3-GigabitEthernet1/0/1lip address 192. 168.1.2 24
  12. [S3-GigabitEthernet1/0/l]quit
  13. [S3]ip route-static 0.0.0.0 0.0.0.0 192.168.1.1
  1. 在MSR3620上完成以下配置,配置模拟internet, 按图配置MSR3620的接口IP地址。 ```swift [H3C]sysname R [R]interface GigabitEthernet 0/0 [R-GigabitEthernet0/0lip address 211.1.1.1 29 [R-Gi gabi tEthernet0/0]quit. [R]interface Gigabi tEthernet 0/1 [R-Gigabi tEthernet0/1lip address 211.2.2.1 24.
  1. 结果验证:完成以上配置后,host_ 2可以ping211.2.2.1211.1.1.1<br />4.F1060防火墙上配置接口IP地址,并在Trust安全域中加入G1/0/10接口,在Untrust安全域中加入G1/0/2接口。
  2. ```swift
  3. [H3C]sysname firewall
  4. [firewall]interface GigabitEthernet 1/0/10
  5. [firewall-Gi gabi tEthernet1/0/10lip address 192.168.1.1 24
  6. [firewall-Gi gabi tEthernet 1/0/10lquit
  7. [firewall]interface GigabitEthernet 1/0/2
  8. [firewall-GigabitEthernet1/0/2lip address 211.1.1.2 29
  9. [firewall-GigabitEthernet1/0/2]quit
  10. [firewall]security-zone name Trust
  11. [firewall-security-zone Trust]import interface Gi gabitEthernet 1/0/10
  12. [firewall-security-zone-Trust]quit
  13. [firewall]security-zone name Untrust
  14. [firewall-security-zone-Untrust]import interface GigabitEthernet 1/0/2
  15. [firewall-security-zone-Untrust]quit
  1. 在F1060防火墙上配置访问控制列表,对从内部网络IP地址段访问Internet予以放行
    1. [firewallacl advanced 3000
    2. [firewall-acl-ipv4-adv-3000]rule permit ip source 192.168.10.0 0.0.0.255 destination any
    3. [firewall-acl-ipv4-adv-3000]quit
    6.在F1060 防火墙.上配置安全域间实例,从trust到untrust安全域,执行访问控制列表
    3000的检查。
    1. [firewall]zone-pair security source trust destination untrust
    2. [firewall-zone-pair-security-Trust-Untrust]packet filter 3000
  2. 在F1060防火墙上配置NAT地址池,起始IP地址为211.1.1.3,终止IP为211.1.1.6。在出接口GE1/0/2上应用acl3000和nat地址池 ```swift [firewall]nat address-group 0 [firewall-address-group-Q]address 211.1.1.3 211.1.1.6 [firewall-address-group-0]quit [firewall]interface GigabitEthernet 1/0/2 [firewall-Gi gabitEthernet1/0/2]nat outbound 3000 address-group 0 //关于动态NAT的说明,有三种模式,分别是PAT、 NO-PAT、 Easy NAT, 在接口模式下。
  1. ➢如果使用指令 nat outbound 3000 address-group 0,为PAT模式,即,内部地址:内端口号<-->地址池中外部地址:外端口号,有进行传输层端口的变化。WEB管理界面如下图。<br />![image.png](https://cdn.nlark.com/yuque/0/2021/png/22032126/1634266226120-90027da2-6354-4400-851f-238860f53de6.png#clientId=u2a89def7-99b4-4&from=paste&height=74&id=u18442455&margin=%5Bobject%20Object%5D&name=image.png&originHeight=147&originWidth=1452&originalType=binary&ratio=1&size=171359&status=done&style=none&taskId=u35c45704-a3d6-4c7c-8924-da0fea34e54&width=726)<br />如果使用指令nat outbound 3000 address- group 0 no-pat, 为NO-RAT模式,即,内部地址<---->地址池中外部地址,没有进行传输层端口的变化。WEB管理界面如下图。<br />![image.png](https://cdn.nlark.com/yuque/0/2021/png/22032126/1634266335893-dc8545f1-c2a1-4819-a1c9-495c2d7160f4.png#clientId=u2a89def7-99b4-4&from=paste&height=75&id=u392bc501&margin=%5Bobject%20Object%5D&name=image.png&originHeight=149&originWidth=1447&originalType=binary&ratio=1&size=173892&status=done&style=none&taskId=u80481cd5-136f-4ea1-9e30-261c0d26b40&width=723.5)<br />如果使用指令nat outhgund 3000,为Easy NAT转换模式,即,内部地址:内端口号<--->接口IP地址:外端口号,有进行传输层端口的变化。WEB管理界面如下图。<br />![image.png](https://cdn.nlark.com/yuque/0/2021/png/22032126/1634266446156-7519eb6d-dc9a-433c-8291-717863692542.png#clientId=u2a89def7-99b4-4&from=paste&height=75&id=u86be0f3a&margin=%5Bobject%20Object%5D&name=image.png&originHeight=150&originWidth=1455&originalType=binary&ratio=1&size=171861&status=done&style=none&taskId=u23107821-e5dd-450f-af9c-99cb0f8d077&width=727.5)<br />如果使用指令nat outbound 3000,为Easy NAT转换模式,即,内部地址:内端口号<---->接口IP地址:外端口号,有进行传输层端口的变化。WEB管理界面如下图。<br />![image.png](https://cdn.nlark.com/yuque/0/2021/png/22032126/1634266564011-90fec7df-e1a5-4c1a-ae6f-92e960bd914a.png#clientId=u2a89def7-99b4-4&from=paste&height=73&id=uded7fd19&margin=%5Bobject%20Object%5D&name=image.png&originHeight=146&originWidth=1449&originalType=binary&ratio=1&size=161412&status=done&style=none&taskId=u78868e13-f1ad-490a-8a02-a7e2a33b432&width=724.5)<br />8.在F1060防火墙上配置静态路由,使得从防火墙去往内部网络、去往Internet均有路由。
  2. ```swift
  3. [firewall]ip route-static 0.0.0.0 0.0.0.0 211.1.1.1
  4. [firewall]ip route-static 192.168.10.0 24 192.168.1.2