实验拓扑

image.png

1.按拓扑结构连接内部服务器(DMZ.区域)和Internet网络(Untrust区域),Host_1 ,Host_2、Host_3均在Oracle VM VirtualBox中使用虚拟机,按图配置Host_1、Host_2、Host_3的IP地址和网关。在 Host_1使用工具软件zMyWebServer架设WEB服务,在 Host_2上使用工具软件Quick easy ftp server架设FTP服务。
2.在S5820上完成以下配置,配置内部网络实现 VLAN100互通。

  1. [H3C]sysname S3
  2. [s3]vlan 100
  3. [S3-vlan100]quit
  4. [s3]interface vlan 100
  5. [S3-Vlan-interface100]ip address 172.16.1.2 24
  6. [S3-Vlan-interface100]quit
  7. [s3]interface GigabitEthernet 1/0/10
  8. [S3-GigabitEthernet1/0/10]portaccess vlan 100
  9. [S3-GigabitEthernet1/0/10lquit
  10. [s3]interface GigabitEthernet 1/0/11
  11. [S3-GigabitEthernet1/0/11]port access vlan 100
  12. [S3-GigabitEthernet1/0/11]quit
  13. [s3]interface GigabitEthernet 1/0/1
  14. [S3-GigabitEthernet1/0/1lportaccess vlan 100
  15. [S3-GigabitEthernet1/0/1]quit

结果验证:完成以上配置后,host_1、Host_2可以ping通172.16.1.2
3.在 MSR3620上完成以下配置,配置模拟internet,按图配置MSR3620的接口IP地址。

  1. [H3C]sysname R
  2. [R]interface GigabitEthernet 0/0
  3. [R-GigabitEthernet0/0]ip address 211.1.1.1 29
  4. [R-GigabitEthernet0/0]quit
  5. [R]interface GigabitEthernet 0/1
  6. [R-GigabitEthernet0/1]ip address 211.2.2.1 24
  7. [R-GigabitEthernet0/1]quit

结果验证:完成以上配置后,host_3可以ping 通211.2.2.1和211.1.1.1
4.在F1060防火墙上配置G1/0/2的接口IP地址和VLAN100虚接口IP地址,并在 DMZ安全域中加入VLAN100虚接口,在 Untrust安全域中加入G1/0/2接口。

  1. [H3C]sysname firewall
  2. [firewall]ylan100
  3. [firewall-vlan100lquit
  4. [firewall]interface GigabitEthernet 1/0/5
  5. [firewall-GigabitEthernet1/0/5]port link-mode bridge
  6. [firewall-GigabitEthernet1/0/5]port access vlan 100 
  7. [firewall-GigabitEthernet1/0/5]quit
  8. [firewall]interface vlan 100
  9. [firewall-VIan-interface100]ip address 172.16.1.1 24
  10. [firewall-Vlan-interface100lquit
  11. [firewall]interface GigabitEthernet 1/0/2
  12. [firewall-GigabitEthernet1/0/2]ip address 211.1.1.2 29
  13. [firewall-GigabitEthernet1/0/2]quit
  14. [firewall]security-zone name DMZ
  15. [firewall-security-zone-DMZ]import interface vlan 100
  16. [firewall-security-zone-DMZlquit
  17. [firewall]security-zone name Untrust 
  18. [firewall-security-zone-Untrust]import interface GigabitEthernet 1/0/2

5.在F1060防火墙上配置访问控制列表,对从Internet访问内部服务器予以放行。

  1. [firewall]acl advanced 3000
  2. [firewall-acl-ipv4-adv-3000]rule permit ip source any destination
  3. 172.16.1.0 0.0.0.255
  4. [firewall-acl-ipv4-adv-3000]quit

6.在F1060防火墙上配置安全域间实例,从untrust到 DMZ安全域,执行访问控制列表3000的检查。

  1. [firewall]zone-pair security source untrust destination dmz
  2. [firewall-zone-pair-security-Untrust-DMZ]packet-filter 3000
  3. [firewall-zone-pair-security-Untrust-DMZ]quit

7.在出接口GE1/0/2上设置内部WEB服务器和FTP服务器,其中外部地址211.1.1.3映射内
部WEB服务器172.16.1.10,外部地址211.1.1.4映射内部FTP服务器172.16.1.11。

  1. [firewall]interface GigabitEthernet 1/0/2
  2. [firewal1-GigabitEthernet1/0/2]nat server protocol tcp global 211.1.1.3 80 inside 172.16.1.10 80
  3. [firewall-GigabitEthernet1/0/2]nat server protocol tcp global 211.1.1.4 21 inside 172.16.1.11 21

8.在F1060防火墙上配置静态路由,从防火墙去往Internet 的路由。
[firewall]ip route-static 0.0.0.0 0.0.0.0 211.1.1.1.
9.在 Host_3上进行结果验证,分别通过http://211.1.1.3可以内部服务器172.16.1.10,
通过ftp 211.1.1.4可以访问内部服务器172.16.1.11。

可以登陆,但PING不通,因为只映射了端口