实验拓扑
1.按拓扑结构连接内部服务器(DMZ.区域)和Internet网络(Untrust区域),Host_1 ,Host_2、Host_3均在Oracle VM VirtualBox中使用虚拟机,按图配置Host_1、Host_2、Host_3的IP地址和网关。在 Host_1使用工具软件zMyWebServer架设WEB服务,在 Host_2上使用工具软件Quick easy ftp server架设FTP服务。
2.在S5820上完成以下配置,配置内部网络实现 VLAN100互通。
[H3C]sysname S3
[s3]vlan 100
[S3-vlan100]quit
[s3]interface vlan 100
[S3-Vlan-interface100]ip address 172.16.1.2 24
[S3-Vlan-interface100]quit
[s3]interface GigabitEthernet 1/0/10
[S3-GigabitEthernet1/0/10]portaccess vlan 100
[S3-GigabitEthernet1/0/10lquit
[s3]interface GigabitEthernet 1/0/11
[S3-GigabitEthernet1/0/11]port access vlan 100
[S3-GigabitEthernet1/0/11]quit
[s3]interface GigabitEthernet 1/0/1
[S3-GigabitEthernet1/0/1lportaccess vlan 100
[S3-GigabitEthernet1/0/1]quit
结果验证:完成以上配置后,host_1、Host_2可以ping通172.16.1.2
3.在 MSR3620上完成以下配置,配置模拟internet,按图配置MSR3620的接口IP地址。
[H3C]sysname R
[R]interface GigabitEthernet 0/0
[R-GigabitEthernet0/0]ip address 211.1.1.1 29
[R-GigabitEthernet0/0]quit
[R]interface GigabitEthernet 0/1
[R-GigabitEthernet0/1]ip address 211.2.2.1 24
[R-GigabitEthernet0/1]quit
结果验证:完成以上配置后,host_3可以ping 通211.2.2.1和211.1.1.1
4.在F1060防火墙上配置G1/0/2的接口IP地址和VLAN100虚接口IP地址,并在 DMZ安全域中加入VLAN100虚接口,在 Untrust安全域中加入G1/0/2接口。
[H3C]sysname firewall
[firewall]ylan100
[firewall-vlan100lquit
[firewall]interface GigabitEthernet 1/0/5
[firewall-GigabitEthernet1/0/5]port link-mode bridge
[firewall-GigabitEthernet1/0/5]port access vlan 100
[firewall-GigabitEthernet1/0/5]quit
[firewall]interface vlan 100
[firewall-VIan-interface100]ip address 172.16.1.1 24
[firewall-Vlan-interface100lquit
[firewall]interface GigabitEthernet 1/0/2
[firewall-GigabitEthernet1/0/2]ip address 211.1.1.2 29
[firewall-GigabitEthernet1/0/2]quit
[firewall]security-zone name DMZ
[firewall-security-zone-DMZ]import interface vlan 100
[firewall-security-zone-DMZlquit
[firewall]security-zone name Untrust
[firewall-security-zone-Untrust]import interface GigabitEthernet 1/0/2
5.在F1060防火墙上配置访问控制列表,对从Internet访问内部服务器予以放行。
[firewall]acl advanced 3000
[firewall-acl-ipv4-adv-3000]rule permit ip source any destination
172.16.1.0 0.0.0.255
[firewall-acl-ipv4-adv-3000]quit
6.在F1060防火墙上配置安全域间实例,从untrust到 DMZ安全域,执行访问控制列表3000的检查。
[firewall]zone-pair security source untrust destination dmz
[firewall-zone-pair-security-Untrust-DMZ]packet-filter 3000
[firewall-zone-pair-security-Untrust-DMZ]quit
7.在出接口GE1/0/2上设置内部WEB服务器和FTP服务器,其中外部地址211.1.1.3映射内
部WEB服务器172.16.1.10,外部地址211.1.1.4映射内部FTP服务器172.16.1.11。
[firewall]interface GigabitEthernet 1/0/2
[firewal1-GigabitEthernet1/0/2]nat server protocol tcp global 211.1.1.3 80 inside 172.16.1.10 80
[firewall-GigabitEthernet1/0/2]nat server protocol tcp global 211.1.1.4 21 inside 172.16.1.11 21
8.在F1060防火墙上配置静态路由,从防火墙去往Internet 的路由。[firewall]ip route-static 0.0.0.0 0.0.0.0 211.1.1.1.
9.在 Host_3上进行结果验证,分别通过http://211.1.1.3可以内部服务器172.16.1.10,
通过ftp 211.1.1.4可以访问内部服务器172.16.1.11。
可以登陆,但PING不通,因为只映射了端口