【實(shí)訓(xùn)任務(wù)3.1】配置NAPT實(shí)現(xiàn)內(nèi)網(wǎng)用戶訪問Internet_第1頁
【實(shí)訓(xùn)任務(wù)3.1】配置NAPT實(shí)現(xiàn)內(nèi)網(wǎng)用戶訪問Internet_第2頁
【實(shí)訓(xùn)任務(wù)3.1】配置NAPT實(shí)現(xiàn)內(nèi)網(wǎng)用戶訪問Internet_第3頁
【實(shí)訓(xùn)任務(wù)3.1】配置NAPT實(shí)現(xiàn)內(nèi)網(wǎng)用戶訪問Internet_第4頁
【實(shí)訓(xùn)任務(wù)3.1】配置NAPT實(shí)現(xiàn)內(nèi)網(wǎng)用戶訪問Internet_第5頁
已閱讀5頁,還剩12頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

【實(shí)訓(xùn)任務(wù)3.1】配置NAPT,實(shí)現(xiàn)內(nèi)網(wǎng)用戶訪問Internet任務(wù)陳述配置思路任務(wù)實(shí)施123任務(wù)陳述1某公司在網(wǎng)絡(luò)邊界處部署了防火墻作為安全網(wǎng)關(guān),為了使內(nèi)網(wǎng)用戶可以正常訪問Internet,需要在防火墻上配置源NAT策略。由于需要聯(lián)網(wǎng)的用戶較多,無法做到地址一一映射,因此防火墻采用了NAPT方式,開啟允許端口轉(zhuǎn)換功能,通過端口轉(zhuǎn)換實(shí)現(xiàn)公有IP地址復(fù)用。除了公有接口的IP地址外,該公司還向ISP申請了6個(gè)IP地址(2.2.2.11~2.2.2.15)作為私有IP地址轉(zhuǎn)換后的公有IP地址,如圖所示,其中,路由器是ISP提供的接入網(wǎng)關(guān)。1任務(wù)陳述1任務(wù)陳述配置思路22配置思路①

配置防火墻網(wǎng)絡(luò)基本參數(shù)。②

配置安全策略。③

配置NAPT方式的源NAT。④

配置默認(rèn)路由和黑洞路由并防止ARP風(fēng)暴。⑤

配置路由器、交換機(jī)和主機(jī)的網(wǎng)絡(luò)參數(shù),實(shí)現(xiàn)網(wǎng)絡(luò)的互聯(lián)互通。⑥

驗(yàn)證和調(diào)試。任務(wù)實(shí)施33任務(wù)實(shí)施①

配置防火墻網(wǎng)絡(luò)基本參數(shù)。(1)配置接口IP地址<FW>system-view[FW]interfaceGigabitEthernet1/0/1[FW-GigabitEthernet1/0/1]ipaddress192.168.1.124[FW-GigabitEthernet1/0/1]quit[FW]interfaceGigabitEthernet1/0/2[FW-GigabitEthernet1/0/2]ipaddress2.2.2.124[FW-GigabitEthernet1/0/2]quit3任務(wù)實(shí)施①

配置防火墻網(wǎng)絡(luò)基本參數(shù)。(2)將接口加入安全區(qū)域[FW]firewallzonetrust[FW-zone-trust]addinterfaceGigabitEthernet1/0/1[FW-zone-untrust]quit[FW]firewallzoneuntrust[FW-zone-untrust]addinterfaceGigabitEthernet1/0/2[FW-zone-untrust]quit3任務(wù)實(shí)施②配置安全策略,允許內(nèi)網(wǎng)指定網(wǎng)段訪問Internet的報(bào)文通過。[FW]security-policy[FW-policy-security]rulenametrust_to_untrust [FW-policy-security-rule-trust_to_untrust]source-zonetrust [FW-policy-security-rule-trust_to_untrust]destination-zoneuntrust[FW-policy-security-rule-trust_to_untrust]source-address192.168.1.024[FW-policy-security-rule-trust_to_untrust]actionpermit[FW-policy-security-rule-trust_to_untrust]quit3任務(wù)實(shí)施③配置NAPT方式的源NAT(2)配置地址集配置地址集,將兩個(gè)不允許訪問外網(wǎng)的主機(jī)IP地址加入地址集。[FW]ipaddress-settrust_denytypeobject/*創(chuàng)建地址對(duì)象并進(jìn)入配置視圖。其中,object指定類型為地址對(duì)象,只能添加IP地址或IP地址范圍作為成員*/[FW-object-address-set-trust_deny]address110.1.1.10mask32/*添加IP地址*/[FW-object-address-set-trust_deny]address210.1.1.11mask32[FW-object-address-set-trust_deny]quit(1)配置NAT地址池,開啟端口轉(zhuǎn)換功能[FW]nataddress-groupaddressgroup1 //配置NAT地址池[FW-address-group-addressgroup1]modepat//配置NAT地址池的應(yīng)用模式。其中,pat表示PAT模式,no-pat表示No-PAT模式[FW-address-group-addressgroup1]section02.2.2.112.2.2.15//配置IP地址段[FW-address-group-addressgroup1]routeenable/*開啟NAT地址池中地址的用戶網(wǎng)絡(luò)路由(UserNetworkRoute,UNR)下發(fā)功能*/[FW-address-group-addressgroup1]quit3任務(wù)實(shí)施③配置NAPT方式的源NAT(2)配置地址集配置地址集,將兩個(gè)不允許訪問外網(wǎng)的主機(jī)IP地址加入地址集。[FW]ipaddress-settrust_denytypeobject/*創(chuàng)建地址對(duì)象并進(jìn)入配置視圖。其中,object指定類型為地址對(duì)象,只能添加IP地址或IP地址范圍作為成員*/[FW-object-address-set-trust_deny]address110.1.1.10mask32/*添加IP地址*/[FW-object-address-set-trust_deny]address210.1.1.11mask32[FW-object-address-set-trust_deny]quit(2)配置NAT策略[FW]nat-policy//進(jìn)入NAT策略視圖[FW-policy-nat]rulenametrust_to_untrust //創(chuàng)建NAT策略規(guī)則并進(jìn)入規(guī)則視圖[FW-policy-nat-rule-trust_to_untrust]source-zonetrust//配置源安全區(qū)域[FW-policy-nat-rule-trust_to_untrust]destination-zoneuntrust//配置目的安全區(qū)域[FW-policy-nat-rule-trust_to_untrust]source-address192.168.1.024//配置源地址[FW-policy-nat-rule-trust_to_untrust]actionsource-nataddress-groupaddressgroup1//配置NAT策略規(guī)則的動(dòng)作[FW-policy-nat-rule-trust_to_untrust]quit[FW-policy-nat]quit3任務(wù)實(shí)施④配置默認(rèn)路由和黑洞路由(2)配置地址集配置地址集,將兩個(gè)不允許訪問外網(wǎng)的主機(jī)IP地址加入地址集。[FW]ipaddress-settrust_denytypeobject/*創(chuàng)建地址對(duì)象并進(jìn)入配置視圖。其中,object指定類型為地址對(duì)象,只能添加IP地址或IP地址范圍作為成員*/[FW-object-address-set-trust_deny]address110.1.1.10mask32/*添加IP地址*/[FW-object-address-set-trust_deny]address210.1.1.11mask32[FW-object-address-set-trust_deny]quit(1)配置默認(rèn)路由[FW]iproute-static0.0.0.00.0.0.02.2.2.254(2)配置黑洞路由[FW]iproute-static2.2.2.024NULL03任務(wù)實(shí)施⑤配置其他網(wǎng)絡(luò)設(shè)備(1)配置路由器的網(wǎng)絡(luò)參數(shù)<AR>system-view[AR]interfaceGigabitEthernet0/0/0[AR-GigabitEthernet0/0/0]ipaddress2.2.2.25424[AR-GigabitEthernet0/0/0]quit[AR]interfaceLoopBack0//配置LoopBack接口模擬外網(wǎng)終端,方便測試使用[AR-LoopBack0]ipaddress3.3.3.332[AR-LoopBack0]quit[AR]iproute-static2.2.2.0242.2.2.1[AR-LoopBack0]quit(2)配置主機(jī)的網(wǎng)絡(luò)參數(shù)(略)3任務(wù)實(shí)施⑥驗(yàn)證和調(diào)試(2)配置地址集配置地址集,將兩個(gè)不允許訪問外網(wǎng)的主機(jī)IP地址加入地址集。[FW]ipaddress-settrust_denytypeobject/*創(chuàng)建地址對(duì)象并進(jìn)入配置視圖。其中,object指定類型為地址對(duì)象,只能添加IP地址或IP地址范圍作為成員*/[FW-object-address-set-trust_deny]address110.1.1.10mask32/*添加IP地址*/[FW-object-address-set-trust_deny]address210.1.1.11mask32[FW-object-addre

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論