首先呢,我们要构建一个简单拓扑图,这个拓扑图是我用华为ensp搭建的,如果大家对路由交换方面感兴趣的话,可以自己下一个ensp照着我的文章把这个技术学一学做一做
首先,我介绍这个拓扑图。 它由三个路由器、服务器和http客户端组成:华为6000V防火墙和华为2200
将拓扑图分为trust区域和untrust区域。 trust区域模拟我们的局域网,untrust区域模拟我们的外联网。 目标是在局域网中部署ospf协议,进行双向nat转换,使外联网的http客户端能够访问内部局域网中的服务器。
第1步:首先设置防火墙的IP,设置区域,然后将不同的接口添加到不同的区域。 然后,在防火墙上写入简单的安全策略,以便每个路由器可以与防火墙上的数据包进行通信并部署ospf协议
1 .进入防火墙的端口配置和与各终端设备连接的接口IP吧。 (在拓扑上规划了网段) ) ) ) ) ) ) ) ) ) )。
2 .进入trust和untrust区域,将不同的接口划分为不同的区域
3 .写一个名为3.ospf的安全策略吧。 进入安全策略后,将原始区域写为trust和local,并且允许在目标区域中执行相同的操作。 此处将说明为什么原始区域和目标区域相同。 因为制作OSPF协议是内部网,只能在内部网上进行,所以不能将外部网的路由器引入内部网内吧
4 .我们进入ospf,在area0中告知我们以前配置的IP。 连接至外部网络的3.3.3.0网段以外
5.r1进入配置接口的IP,通知您在ospf的area0上配置的IP
6 .通告配置R2的接口IP以及在ospf的area0、area1上配置的IP
7 .用配置R3的接口IP及ospf的area1告知配置的IP (额,忘记截图了,给大家手动输入命令吧)。
net 10.1.4.0 0.0.0.255
net 192.168.1.0 0.0.0.255
8 .为服务器IP和http客户端配置IP和服务
9 .尝试写一个命名为web的安全策略。 而且,原始区域是untrust区域。 (因为他们的访问是通过http客户端访问的,所以http客户端位于外部网上。 外部网的区域是untrust,目标区域当然是trust区域。 但是,目标地址是192.168.1.1,即服务器的地址是允许的。
10 .我们进行nat映射,并将我们的内部网服务器的IP地址192.168.1.1映射到连接到我们的边界防火墙的外部网的接口的IP地址,即3.3.3.254
11 .我们的http客户端访问我们内部网的服务器时,它访问失败了。 那是为什么呢? 试着抓住包吧
很简单,我们的http请求的数据包明显访问了我们内部局域网的服务器。 我们的nat转换将3.3.3254转换为192.168.1.1.1,所以我们在http客户端上访问3.3.3.254:8080时直接转换为192.168.1 也就是说,路由表中没有3.3.3.3这样的路径,所以要制作easynat,让返回的数据包出来
12 .写NAT策略。 而且,策略和以前写的原始目的地区域和地址一样。 最后启用easynat时,内部网的地址会转换为外部网
访问一下,抓住数据包
数据包中明显显示,转换后的地址为10.1.2.254。 这样,我们的数据包只要出去一次,直接访问就成功了
如果我说我们不清楚我们在看数据包,那就看看防火墙的会话状态吧
这样就很明白了。 3.3.3.3的地址已转换为10.1.2.254。 我们的3.3.3.3.3在访问3.3.25433608080时,也就是192.168.1.1后,我们的数据包返回到了10.1.2.2