实验拓扑

QQ图片20211203005944.png


实验内容:

1.按拓扑结构连接Trust、Untrust和 DMZ区域,Host_1、Host_2、Host_3、Host_4均在Oracle VM VirtualBox中使用虚拟机,按图配置Host_1、Host_2、Host_3、Host_4的IP地址和网关、DNS。在 Host_2使用工具软件MyWebServer.架设WEB服务。在 Host_4使用工具软件MyWebServer架设WEB服务。在 Host_3上使用Windows2003操作系统架设DNS服务,并配置相应的主机记录。
2.在 MSR360上完成以下配置,实现Internet互通。

  1. [H3C]sysnameR
  2. [R]interface GigabitEthernet 0/0
  3. [R-GigabitEthernet0/0]ip address 211.1.1.1 29
  4. [R-GigabitEthernet0/0]quit
  5. [R]interface GigabitEthernet 0/1
  6. [R-GigabitEthernet0/1lip address 211.2.2.1 24
  7. [R-GigabitEthernet0/1]quit
  8. [R]interface GigabitEthernet0/2
  9. [R-GigabitEthernet0/2]ip address 211.3.3.1 24

结果验证:完成以上配置后,host_3、Host_4可以相互ping通。
3.在F1060防火墙上配置G1/0/2、G1/0/5、G1/0/10的接口IP地址,并在DMZ安全域中加入G1/0/5,在 Untrust,安全域中加入G1/0/2接口,在Trust安全域中加入G1/0/10接口。

  1. [H3C]sysname Firewall
  2. [Firewall]interface GigabitEthernet 1/0/10
  3. [Firewall-GigabitEthernet1/0/10lip address 192.168.10.1 24
  4. [Firewall-GigabitEthernet1/0/10]quit
  5. [Firewall]interface GigabitEthernet 1/0/5
  6. [Firewall-GigabitEthernet1/0/5]ip address 172.16.1.1 24
  7. [Firewall-GigabitEthernet1/0/5]quit
  8. [Firewall]interface GigabitEthernet 1/0/2
  9. [Firewall-GigabitEthernet1/0/2]ip address 211.1.1.2 29

4.在F1060防火墙上配置访问控制列表和安全域间实例。

  1. 配置访问控制列表2000,应用在从TrustUntrust,安全域间实例、从TrustDMZ的安全域间实例
  2. [Firewall]acl basic 2000
  3. [Firewall-acl-ipv4-basic-2000]rule permit source 192.168.10.0 0.0.0.255
  4. [Firewall-acl-ipv4-basic-2000]quit
  5. [Firewall]zone-pair security source trust destination untrust
  6. [Firewall-zone-pair-security-Trust-Untrust]packet-filter 2000.
  7. [Firewall-zone-pair-security-Trust-Untrust]quit
  8. [Firewall]zone-pair security source trust destination dmz
  9. [Firewall-zone-pair-security-Trust-DMZ]packet-filter 2000
  10. [Firewall-zone-pair-security-Trust-DMZ]quit
  11. 配置访问控制列表3000,应用在从Untrust DMZ的安全域间实例。
  12. [Firewall]acl advanced 3000
  13. [Firewall-acl-ipv4-adv-3000]rule permit ip source any destination 172.16.1.O 0.0.0.255
  14. [Firewall-acl-ipv4-adv-3000lquit
  15. [Firewal1]zone-pair security source untrust destination dmz
  16. [Firewall-zone-pair-security-Untrust-DMZ]packet-filter 3000

5.配置NAT地址池,用于将内部网络的IP地址转换为NAT地址池地址,在防火墙出接口上、在出接口GE1/0/2上设置NAT动态转换和内部WEB服务器。

  1. [Firewall]nat address-group 0.
  2. [Firewall-address-group-0]address 211.1.1.4 211.1.1.6
  3. [Firewall-address-group-0]quit
  4. [Firewall]interface GigabitEthernet 1/0/2
  5. [Firewall-GigabitEthernet1/0/2]nat outbound 2000 address-group 0
  6. [Firewall-GigabitEthernet1/0/2]nat server protocol tcp global 211.1.1.3 80 inside 172.16.1.10 80

6.在F1060防火墙上配置静态路由,从防火墙去往Internet的路由。

  1. [firewall]ip route-static 0.0.0.0 0.0.0.0 211.1.1.1

7.结果验证。
(1)在Host_1 上,可以http://172.16.1.10可以访问内部服务器172.16.1.10。
(2)在Host_1上,可以 http://211.3.3.2可以访问Internet服务器211.3.3.2。
(3)在Host_4 上,可以http://211.1.1.3可以访问内部服务器172.16.1.10。
(4)在 Host_4上,可以http: //www.cjq.com可以访问内部服务器172.16.1.10。
(5)在 Host_1上,不能域名方式http://www.cjq.com访问内部服务器172.16.1.10,使用命令ns.Lookup进行域名解析得到www.cjq.com的IP地址为211.1.1.3。