防火墙NAT地址转换和智能选举综合实验

原创 已于 2024-07-15 14:00:06 修改
· 1.3k 阅读 · 9 ·
版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#服务器 #网络 #网络协议 #网络安全 #安全

于 2024-07-13 20:23:57 首次发布

一、实验拓扑

目录

一、实验拓扑

二、实验要求(接上一个实验要求后)

三、实验步骤

3.1办公区设备可以通过电信链路和移动链路上网(多对多的NAT,并且需要保留一个公网IP不能用来转换)

3.2分公司设备可以通过总公司的移动链路和电信链路访问到Dmz区的http服务器

3.2.1 首先需要先让分公司能上公网才能进行后续的访问地址

注:黑洞路由解释:

3.2.2 将DMZ区域的http服务器开放到公网,让分公司通过公网地址去访问它

测试电信链路访问

3.3智能选路:多出口环境基于带宽比例进行选路,但是,办公区中10.0.2.10该设备只能通过电信的链路访问互联网。链路开启过载保护,保护阈值80%;

3.3.1将电信和移动分别设置位两条链路接口供智能选路

3.3.2再添加智能选路,

3.3.3办公区中10.0.2.10该设备只能通过电信的链路访问互联网

测试流量也是源进源出

3.4分公司内部的客户端可以通过域名访问到内部的服务器,公网设备也可以通过域名访问到分公司内部服务器;

3.5游客区仅能通过移动链路访问互联网

测试通过移动链路上网

二、实验要求(接上一个实验要求后)

7,办公区设备可以通过电信链路和移动链路上网(多对多的NAT,并且需要保留一个公网IP不能用来转换)
8,分公司设备可以通过总公司的移动链路和电信链路访问到Dmz区的http服务器
9,多出口环境基于带宽比例进行选路,但是,办公区中10.0.2.10该设备只能通过电信的链路访问互联网。链路开启过载保护,保护阈值80%;
10,分公司内部的客户端可以通过域名访问到内部的服务器,公网设备也可以通过域名访问到分公司内部服务器;
11,游客区仅能通过移动链路访问互联网

三、实验步骤

3.1办公区设备可以通过电信链路和移动链路上网(多对多的NAT,并且需要保留一个公网IP不能用来转换)

首先给办公区做两条NAT分别是电信和移动两条NAT

在高级设置中写保留的IP地址

保留这个地址后不会分配这个IP地址

3.2分公司设备可以通过总公司的移动链路和电信链路访问到Dmz区的http服务器

3.2.1 首先需要先让分公司能上公网才能进行后续的访问地址

这里要选择都勾选上勾选上了端口即是多对多NAPT

注:黑洞路由解释:

配置黑洞路由就是会使公网地址池中的地址都生成一条指向其自身的空接口,这里主要是为了 应对公网地址和出接口地址不在同一个网段的情况,因为在这种情况下,如果公网用户访问地址池中的公网地址,将可能造成环路,所以,需要通过空接口防环;如果公网地址池地址和出接口在同一个网段,也可以勾选该选项,这种情况下虽然不会出现环路,但是,有了这个黑洞路由,可以减少ARP报文的出现;

黑洞路由就是会自动生成空接口,在同一个网段中勾选上了黑洞路由,那么就会优先匹配空接口因为掩码是32/31位,所以会直接将询问地址的ARP包丢弃

<

最低0.47元/天 解锁文章
华三防火墙-策略NAT
qq_53146347的博客
05-01 7052
到达防火墙匹配源目的转换后,将源地址10.1.1.2更改为80.38.1.16;目的地址80.38.1.16:8080更改为192.168.20.20:81进行访问。1.新建策略NAT,规则类型选择NAT44,源目的根据流向选择,源IP填写源网段或指定IP,目的IP填写需要访问的地址或any,转换方式使用动态IP+端口的形式,地址类型使用easy ip。通过宿主机在浏览器上访问防火墙的外网接口8080端口能正常访问到服务器的内容,验证成功。注意:策略NAT接口NAT互斥;查看防火墙的会话转换过程。
防火墙NAT智能选举综合实验
m0_75208155的博客
07-14 740
3、多出口环境基于带宽比例进行选路,但是,办公区中10.0.2.10该设备只能通过电信的链路访问互联网。链路开启过载保护,保护阈值80%;1、办公区设备可以通过电信链路移动链路上网(多对多的NAT,并且需要保留一个公网IP不能用来转换)4、分公司内部的客户端可以通过域名访问到内部的服务器,公网设备也可以通过域名访问到分公司内部服务器;2、分公司设备可以通过总公司的移动链路电信链路访问到Dmz区的http服务器。5、游客区仅能通过移动链路访问互联网。
eNSP - 防火墙NAT智能选路
m0_74939395的博客
07-13 1020
使用华为模拟器接上一次的实验环境继续完成新的需求,使用技术包括动态NAT智能选路。
华为防火墙基本原理工作方法总结(包含源进源出)
IT技术
11-07 2058
华为防火墙基本原理工作方法总结
防火墙NAT地址转换的四种应用实验防火墙的双机热备实验
qq_68163788的博客
07-25 3045
NAT(Network Address Translation)地址转换是一种网络协议,用于将私有IP地址转换为公共IP地址,以便在互联网上进行通信。以下是四种常见的NAT地址转换场景:隐藏内部网络多对一映射,一对多映射,双向通信,防火墙双机热备是一种高可用性解决方案,通过在网络中部署两个防火墙设备,实现实时数据同步状态同步。主防火墙负责处理网络流量安全策略,备用防火墙处于待命状态。当主防火墙发生故障时,备用防火墙能够立即接管工作,保持网络的连通性安全性。这种热备机制能够提供无缝切换,减少网络中断时间
NAT网络地址转换)及配置实验
我们好像在哪见过
03-07 1万+
NAT 一、NAT概述 NAT,全称Network Address Translation,即网络地址转换。 作用:NAT就是进行内外网地址的转换。 二、为什么学习NAT? 1.IPv4地址严重不够用 x.x.x.x x=0-255 如192.168.1.1 0.0.0.0 — 255.255.255.255 IPv6地址绝对够用:号称世界上每一粒沙尘都可以有IP地址。 2.ISO组织将IPv4...
NAT:网络地址转换
Bouddha_ZZ的博客
07-14 367
网络地址转换
路由 —— 源站路由 + 策略路由
qq_62311779的博客
09-17 1733
一个数据库包到达路由器的时候,先处理源站路由,再处理策略明细路由。 普通路由是根据dip转发数据包,而策略路由根据不同的sipdip转发下一跳,转发数据。 路由查询顺序:先查源站路由,在查询策略路由。如果策略明细路由没有配置的话,就去查询普通明细路由,再没有的话,那就是查询策略默认路由,再没有的话就去查询普通默认路由。如果都没有话,那数据包就只能丢弃了。(但是都是在TTL值不等于1的情况下,因为TTL=1的话减1就只能丢弃了)
防火墙——智能选路讲解(全局智能选路、策略路由智能选路、ISP选路)
m0_49864110的博客
06-06 5072
随着业务的不断发展,企业为例提高出口链路的带宽可靠性,一般会在出口部署多条链路。智能选路技术可以根据链路带宽、权重、优先级或自动探测到目的地的链路质量,动态选择最优链路,提高了链路资源的利用率用户体验。
学习日志8.30--防火墙NAT
最新发布
m0_62560069的博客
08-29 2310
在学习过基于路由器的NAT网络地址转换,现在学习基于防火墙NAT网络地址转换防火墙NAT配置路由器的NAT配置还是有比较大的区别。防火墙NAT是通过NAT策略实现的,在创建防火墙NAT之前需要先创建防火墙安全策略。防火墙是不能直接在接口下配置NAT接口映射的。
防火墙nat基础实验
weixin_72380152的博客
07-14 566
分公司通过域名访问得做双向NAT(否则现在通过域名访问时,TCP建立是先由fgs的主机更防火墙建立,但是防火墙未转换源地址发送给服务器建立TCP时,服务器回复报文的目标地址是同网段主机,直接走二层回复,此时TCP建立混乱,客户端需要防火墙ip的TCP回复,但是收到的是服务器IP的TCP回复,此时需要做双向NAT解决此问题)第四个问题,先配置dns服务器,再让分公司可以访问公网的dns服务器(源NAT转化),在做双向NAT通过公网地址访问自己内部的服务器。(5)游客区仅能通过移动链路访问互联网。
【实战教程】防火墙常见NAT技术,让你一次看个够!
didiplus
01-18 2654
网络安全的巨浪中,NAT(Network Address Translation,网络地址转换)技术如一道巧妙的幕后英雄,通过修改数据包的地址信息,为网络提供了额外的安全隐匿层。这种技术允许多个内部设备共享同一个公共IP地址,有效遏制了潜在威胁,同时为网络布局提供了更灵活的可能性。在防火墙的舞台上,NAT技术犹如一把神奇的变形剑,为网络安全策略增色添彩,实现了内外网络间的巧妙互动。今天继续接着上一节的内容完成今天的内容,今天主要讲解防火墙上常见的NAT技术。
网络NAT地址转换,保护内网安全
liu_xueyin的博客
10-23 610
NAT(network address translation)为网络地址转换,用于实现私有网络公有网络之间的访问公网地址私网地址:公网地址在互联网上有唯一的标识,到2019年11月26日,公网地址使用完毕,现在需要公网地址只能花钱买。私网地址:这个指的是内部网络地址,一般用于局域网,IANA规定私网地址不在Internet上分配,用于一个公司或单位内部;
防火墙在广电出口安全方案中的应用
网络技术联盟站
07-28 1504
广电行业除了提供家庭广播电视业务,还向ISP租用链路开展宽带用户上网、服务器托管等网络接入服务。此时网络出口处通常部署防火墙作为出口网关提供Internet接入及安全保障功能。[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-fumULCvx-1690533020230)(https://img.wljslmz.cn/wljslmzcn/202209202201412.png)]NAT
四、防火墙-NAT Server
u012451051的博客
11-24 1949
第一条,反向表,将报文源地址192.168.10.2转换为110.1.1.1,第二条,反向表,将源地址192.168.10.2,转换为210.1.1.1,如果同时下发后,防火墙既可以将报文源地址由192.168.10.2转换为110.1.1.1,又可以将源地址192.168.10.2,转换为210.1.1.1,于是,防护墙凌乱了。例如:ISP1网络中的公网用户如果通过防火墙发布了ISP2的公网地址来访问私网服务器,或者ISP1的公网用户访问服务器后,从ISP2回包的,基本就属于绕路了。
防火墙NAT实验,双机热备实验
qq_58187222的博客
04-14 1069
抓包测试:在这两个口进行抓包,第一个图是经过GE1/0/1接口,IP地址还发生变化,第二个图是经过GE1/0/2接口,目标地址已经发生变化,变为dmz服务器本身的地址。抓包测试:在这两个口进行抓包,第一个图是经过GE1/0/1接口,IP地址还发生变化,第二个图是经过GE1/0/2接口,目标地址已经发生变化,变为dmz服务器本身的地址。测试:FW1为主用,FW2为 备用,断开FW1的接口,两个防火墙就会进行切换。抓包测试:trust区域中的设备访问内部服务器,IP地址的变化。NAT策略中建立服务器映射。
华为防火墙企业双出口专线,配置策略路由实现多个ISP出接口的智能选路双向NAT
热门推荐
m0_60444349的博客
11-06 2万+
一、组网需求 1:企业有二条专线接入,当其中一条出现故障时,自动切换至另外一条,保障网络访问正常。 (a)要求PC1从dx专线(1.1.1.2/24)访问外网PC,PC2从yd专线(2.2.2.2/24)访问外网PC。 (b)当dx或yd 任意一条出口线路出现故障时,所有的流量访问都自动切换到另外一条正常的线路上,保障出口流量正常。 2:http SERVER服务器放置在TRUST区域,通过NAT发布到外网。要求外网PC能访问此服务器,同时内网也可以通过公网IP访问企业内部的http服务器。F..
华为防火墙USG多出口网络场景是如何排除故障的?
mengmeng_921的博客
03-22 1183
故障案例 USG2230多出口网络场景配置非等价默认路由时,NAT SERVER映射不通的故障排查 问题描述 USG2230配置等价路由时从外网访问内网服务器映射出去的公网地址是通的,但将映射出去的公网IP地址所在网段的默认路由的优先级调低(优先级数值配置大于默认的60)时,从外网再访问却不通。 处理过程 根据问题的描述可以判定导致该问题的原因应该是没有配置源进源出功能所致,在各个出接口下配置源进源出功能: interface GigabitEthernet0/0/0 ip address A.A.6
目的NAT转换,源进源出功能,外网访问内部服务器(双出口属于不同安全域)
IT技术小Home
08-29 5266
介绍双出口环境下公网用户通过NAT策略访问内部服务器(双出口属于不同安全区域)的配置举例。 企业一共申请了1.1.1.11.1.10.10公网ISP1的公网IP;2.2.2.22.2.20.10公网ISP2的公网IP地址; 1.1.1.12.2.2.2分别配置到防火墙的两个出口接口上;1.1.10.102.2.20.10 分别作为服务器的公网IP为外网用户提供访问服务。内部服务器的IP地址为:10.2.0.8 配置思路 配置接口IP地址安全区域,完成网络基本参数配置。 配置安全策略,允许外部网络
路由器防火墙串联nat地址转换设置在哪里
05-13
路由器防火墙串联时,一般是将防火墙放在路由器的内部网络与外部网络之间,这样可以增强网络安全。在这种情况下,防火墙一般会负责 NAT 地址转换。 具体设置流程如下: 1. 进入路由器管理页面,打开路由器的端口映射功能,将需要映射的端口 IP 地址进行绑定。 2. 进入防火墙管理页面,打开 NAT 地址转换功能,将路由器的内部 IP 地址与外部 IP 地址进行映射。 3. 在防火墙管理页面中,设置允许通过的端口协议。 4. 在防火墙管理页面中,设置防火墙规则,限制非法访问攻击。 需要注意的是,具体的设置方式可能因为不同品牌型号的路由器、防火墙而有所不同。建议在进行设置前,先查看产品说明书或者寻求技术支持。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值