实验拓扑
实验内容:
1.按拓扑结构连接Trust、Untrust和 DMZ区域,Host_1、Host_2、Host_3、Host_4均在Oracle VM VirtualBox中使用虚拟机,按图配置Host_1、Host_2、Host_3、Host_4的IP地址和网关、DNS。在 Host_2使用工具软件MyWebServer.架设WEB服务。在 Host_4使用工具软件MyWebServer架设WEB服务。在 Host_3上使用Windows2003操作系统架设DNS服务,并配置相应的主机记录。
2.在 MSR360上完成以下配置,实现Internet互通。
[H3C]sysnameR
[R]interface GigabitEthernet 0/0
[R-GigabitEthernet0/0]ip address 211.1.1.1 29
[R-GigabitEthernet0/0]quit
[R]interface GigabitEthernet 0/1
[R-GigabitEthernet0/1lip address 211.2.2.1 24
[R-GigabitEthernet0/1]quit
[R]interface GigabitEthernet0/2
[R-GigabitEthernet0/2]ip address 211.3.3.1 24
结果验证:完成以上配置后,host_3、Host_4可以相互ping通。
3.在F1060防火墙上配置G1/0/2、G1/0/5、G1/0/10的接口IP地址,并在DMZ安全域中加入G1/0/5,在 Untrust,安全域中加入G1/0/2接口,在Trust安全域中加入G1/0/10接口。
[H3C]sysname Firewall
[Firewall]interface GigabitEthernet 1/0/10
[Firewall-GigabitEthernet1/0/10lip address 192.168.10.1 24
[Firewall-GigabitEthernet1/0/10]quit
[Firewall]interface GigabitEthernet 1/0/5
[Firewall-GigabitEthernet1/0/5]ip address 172.16.1.1 24
[Firewall-GigabitEthernet1/0/5]quit
[Firewall]interface GigabitEthernet 1/0/2
[Firewall-GigabitEthernet1/0/2]ip address 211.1.1.2 29
4.在F1060防火墙上配置访问控制列表和安全域间实例。
配置访问控制列表2000,应用在从Trust到Untrust,安全域间实例、从Trust到DMZ的安全域间实例
[Firewall]acl basic 2000
[Firewall-acl-ipv4-basic-2000]rule permit source 192.168.10.0 0.0.0.255
[Firewall-acl-ipv4-basic-2000]quit
[Firewall]zone-pair security source trust destination untrust
[Firewall-zone-pair-security-Trust-Untrust]packet-filter 2000.
[Firewall-zone-pair-security-Trust-Untrust]quit
[Firewall]zone-pair security source trust destination dmz
[Firewall-zone-pair-security-Trust-DMZ]packet-filter 2000
[Firewall-zone-pair-security-Trust-DMZ]quit
配置访问控制列表3000,应用在从Untrust到 DMZ的安全域间实例。
[Firewall]acl advanced 3000
[Firewall-acl-ipv4-adv-3000]rule permit ip source any destination 172.16.1.O 0.0.0.255
[Firewall-acl-ipv4-adv-3000lquit
[Firewal1]zone-pair security source untrust destination dmz
[Firewall-zone-pair-security-Untrust-DMZ]packet-filter 3000
5.配置NAT地址池,用于将内部网络的IP地址转换为NAT地址池地址,在防火墙出接口上、在出接口GE1/0/2上设置NAT动态转换和内部WEB服务器。
[Firewall]nat address-group 0.
[Firewall-address-group-0]address 211.1.1.4 211.1.1.6
[Firewall-address-group-0]quit
[Firewall]interface GigabitEthernet 1/0/2
[Firewall-GigabitEthernet1/0/2]nat outbound 2000 address-group 0
[Firewall-GigabitEthernet1/0/2]nat server protocol tcp global 211.1.1.3 80 inside 172.16.1.10 80
6.在F1060防火墙上配置静态路由,从防火墙去往Internet的路由。
[firewall]ip route-static 0.0.0.0 0.0.0.0 211.1.1.1
7.结果验证。
(1)在Host_1 上,可以http://172.16.1.10可以访问内部服务器172.16.1.10。
(2)在Host_1上,可以 http://211.3.3.2可以访问Internet服务器211.3.3.2。
(3)在Host_4 上,可以http://211.1.1.3可以访问内部服务器172.16.1.10。
(4)在 Host_4上,可以http: //www.cjq.com可以访问内部服务器172.16.1.10。
(5)在 Host_1上,不能域名方式http://www.cjq.com访问内部服务器172.16.1.10,使用命令ns.Lookup进行域名解析得到www.cjq.com的IP地址为211.1.1.3。