项目拓扑分析:
整个网络拓扑分为企业边界网络、DMZ区域、Inside区域三部分,分析如下
)1)企业边界网络)路由器的出口IP可以是固定的,也可以不是固定的。 IP是通过DHCP或拨号获取的,R1被配置为PAT服务器。 根据需要可以将R1和防火墙ASA1合二为一,防火墙直接与互联网连接。
)2)核心安全装置ASA1可以是路由NAT部署模式或路由模式。 接口的逻辑名称、安全级别如图所示构成,G2接口需要分为两个子接口G2.2和G2.3分别封装在VLAN2和VLAN3中; ASA1还可以配置动态PAT。
(3) DMZ区域) C2是HTTP、FTP、Telnet、E_Mail服务器,R2可以用于测试。
R2:172.16.1.10/24
C2:172.16.1.20/24
(4) Inside区域)划分两个子区域Inside ) VLAN2)和Inside ) VLAN3) :
inside2(VLAN2)接口IP:192.168.100.1/24,安全级别100。
inside3(VLAN3)接口IP:192.168.200.1/24,安全级别100。
)5) SW2是多层交换机
将两个VLAN:2分开: 2和3; R4用户为VLan2、R5和C3用户为Vlan3。
R4:192.168.100.4/24
R5:192.168.200.5/24
C3:192.168.200.3/24
)6) SW1是普通的双层交换机
3、IP地址规划
(1) Inside区域(Inside2子区域) 192.168.100.0/24和Inside3子区域) 192.168.200.0/24
)2) DMZ区) 172.16.1.0/24、R2和c2的IP地址如图所示。
)3) ASA1和R1之间的两个网络地址11.1.1.2/24和11.1.1.1/24
)4)各设备接口的IP地址如拓扑图所示
四.项目实训要求
1、R1配置默认路由,配置动态PAT,允许从Inside2和Inside3接口网络访问互联网; f0/0的IP可以通过DHCP或拨号获得。 如果在ASA1上也配置了动态PAT,在R1上如何配置动态PAT?
2、配置ASA1接口G0、G1的逻辑名称、安全级别和IP地址。
3、配置ASA1接口G2。 分为两个子接口G2.2和G2.3封装在Vlan2、Vlan3中。 逻辑名分别为Inside2和Inside3,安全级别为100,IP地址G2.2:192.168.100.1/24,G2.3
4、ASA1为根模式或根NAT模式(二者择一) :
路由模式:设置静态默认路由
路由NAT模式:配置动态PAT,配置静态默认路由。
5、Inside2子区域和Inside3子区域: 192.168.100.0/24和192.168.200.0/24可以相互访问
6、配置R2、R4、R5的IP地址和路由
7、Inside2区和DMZ区可以基于TCP和UDP相互访问
8、Inside3区域和DMZ区域可以根据ICMP协议实践训练的需要来配置和测试连接性,Inside3区域可以Ping为DMZ区域,而DMZ区域只有C2可以与Inside3区域的C3相互Ping。
五.实践训练要有知识点和技巧
1、知识点:
(1)路由器和防火墙的结构
)状态化连接,默认访问规则
)3)动态PAT的机制。
2、技术:
)1) NAT配置技术
)2) ACL配置技术
)3)路由配置技术
)4)服务器配置技术
第一步是设置每个设备的接口IP
省略路由器,演示ASA防火墙配置接口ipasa(config ) intg0asa ) config-if ) noshutdownasa ) config-if ) # nameif outside )将g0端口定义为外部接口(ASA ) config-if )设置为安全级别0 (将权限级别设置为0 ) asa(config-if ) # IP addr 11.1 int g1 ) )将g1端口定义为# int G1 oshutdownasa (config-if ) nameifdmzasa (config-if ) # security-level 50 )将权限级别设置为50 ) asa ) config-if ) IPaddress1770 int g2 ) g2端口定义为内部接口(asa(config-if ) noshutdownanag2 ) VLAN2)封装配置子空间(asa ) VLAN2asa )配置子空间(nameifinside2asa )配置子空间(config-subif )安全级别100 asa ) 进入tg2.3asa ) config-subif ) # vlan 3)子接口,然后进入VLAN3) asa(config-subif ) nameifinside3asa ) config-subif ) # secsecan3)
R1(config ) VLAN2R1) config-VLAN ) nameVLAN2R1) config-VLAN ) exitR1 ) config ) # VLAN3R1配置VLAN ) nan1R1 (配置if ) switchportmodeaccessR1(配置if ) switchportaccessvlan 2r1(配置) infig 2-3R1 ) config ) ) intrangeF1) config swmoaccessr1(config-if-range ) SWACCVLAN3R1) config ) intF1/0R1 ) config-if
R2(config ) IP route0.0.0.0.0.0. 0192.168.100.1 R3 ) config ) # IP route0.0.0.0.0.0. 0
R5(config ) IP route 192.168.100.0255.255.255.011.1.1.2r5) IProute192.168.200.0255.255
R5(config ) intF0/1R5 ) config-if ) IPnatoutsideR5) config-if ) intF0/0R5 ) config-if ) #IPnatinsideR5) config
asa(config ) access-list 101 extendedpermittcp 172.16.1.0255.255.0192.168.100.0255.255.0a sa access-list 101
asa(config ) # same-security-trafficpermitinter -接口退出