智能选路+NAT实验

最新推荐文章于 2025-04-28 15:11:26 发布
最新推荐文章于 2025-04-28 15:11:26 发布
阅读量227 收藏 2
点赞数 6
文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/niaiheni/article/details/145714840
版权

实验拓扑:

实验要求:

按照图中给定ip分配,合理划分安全区域,NAT,智能选路透明DNS

实验步骤:

1客户端为aa,双向绑定为免认证

2客户端为bb,为Portal认证

3.创建安全策略:创建untrust1和untrust2两个安全策略划分接口

[FW]firewall zone name untrust1
[FW-zone-untrust1]add interface g1/0/1 
[FW]firewall zone trust 
[FW-zone-trust]add interface GigabitEthernet 1/0/0
[FW]firewall zone untrust1
[FW-zone-untrust1]set priority 10
[FW]firewall zone name untrust2
[FW-zone-untrust2]set priority 15
[FW-zone-untrust2]add interface g1/0/2

4.配置路由器IP

[FW]int g1/0/0
[FW-GigabitEthernet1/0/0]ip add 192.168.1.254 24
[FW-GigabitEthernet1/0/0]int g1/0/1
[FW-GigabitEthernet1/0/1]ip add 11.0.0.1 24
[FW]int g1/0/2
[FW-GigabitEthernet1/0/2]ip add 12.0.0.1 24
[r1]int g0/0/0
[r1-GigabitEthernet0/0/0]ip add 11.0.0.2 24
[r1-GigabitEthernet0/0/0]int g0/0/1
[r1-GigabitEthernet0/0/1]ip add 100.1.1.254 24
[r1-GigabitEthernet0/0/2]ip add 110.1.1.254 24
[r2]int g0/0/0
[r2-GigabitEthernet0/0/0]ip add 12.0.0.2 24
[r2-GigabitEthernet0/0/1]int g0/0/2
[r2-GigabitEthernet0/0/2]ip add 200.1.1.254 24
[r2-GigabitEthernet0/0/1]ip add 210.1.1.254 24

5.安全策略:安全策略为客户端访问web服务器以及dns服务器两个安全策略 

[FW]security-policy 
[FW-policy-security]rule name dns
[FW-policy-security-rule-dns]source-zone trust 
[FW-policy-security-rule-dns]destination-zone untrust1 untrust2
[FW-policy-security-rule-dns]source-address 192.168.1.0 mask 255.255.255.0
[FW-policy-security-rule-dns]action permit
[FW-policy-security]rule name web
[FW-policy-security-rule-web]source-zone trust
[FW-policy-security-rule-web]destination-zone untrust1 untrust2
[FW-policy-security-rule-web]source-address 192.168.1.0 mask 255.255.255.0
[FW-policy-security-rule-dns]action permit

6.net策略:使用源nat,NAPT技术 

[FW]nat address-group nat_1
[FW-address-group-nat_1]section 11.0.0.10 11.0.0.10
[FW-address-group-nat_1]mode pat
[FW-address-group-nat_1]route enable 
[FW]nat address-group nat_2
[FW-address-group-nat_2]section 12.0.0.10 12.0.0.10
[FW-address-group-nat_2]mode pat
[FW-address-group-nat_2]route enable
[FW]nat-policy
[FW-policy-nat]rule	
[FW-policy-nat]rule name policy_1
[FW-policy-nat-rule-policy_1]source-zone trust
[FW-policy-nat-rule-policy_1]d
[FW-policy-nat-rule-policy_1]destination-zone untrust1
[FW-policy-nat-rule-policy_1]source-address 192.168.1.0 24
[FW-policy-nat-rule-policy_1]action source-nat address-group nat_1
[FW-policy-nat]rule name policy_2
[FW-policy-nat-rule-policy_2]source-zone trust
[FW-policy-nat-rule-policy_2]de	
[FW-policy-nat-rule-policy_2]destination-zone untrust2
[FW-policy-nat-rule-policy_2]source-address 192.168.1.0 24
[FW-policy-nat-rule-policy_2]action source-nat address-group nat_2

7.智能选路-isp选路:

给服务器配置健康检查:进入接口调用健康检查

导入运营商服务器

配置接口链路生成明细路由

[FW]healthcheck enable 
[FW]healthcheck 	
[FW]healthcheck name dianxin
[FW-healthcheck-dianxin]destination 110.1.1.1 interface GigabitEthernet 1/0/1 pr
otocol tcp-simple destination-port 80

[FW]int g1/0/1
[FW-GigabitEthernet1/0/1]healthcheck dianxin
[FW-GigabitEthernet1/0/1]int g1/0/2
[FW-GigabitEthernet1/0/2]healthcheck liantong

8.透明DNS:配置真实DNS服务器信息,配置透明代理,真实服务器与虚拟服务器绑定

[FW]slb enable 
[FW]slb
[FW-slb]group 0 dns
[FW-slb-group-0]metric roundrobin 
[FW-slb-group-0]rserver 1 rip 100.1.1.1 port 53
[FW-slb-group-0]rserver 2 rip 200.1.1.1 port 53
[FW-slb]vserver 0 dns
[FW-slb-vserver-0]vip 10.10.10.10
[FW-slb-vserver-0]group dns
[FW]dns-transparent-policy
[FW-policy-dns]dns transparent-proxy enable 
[FW-policy-dns]dns server bind interface GigabitEthernet 1/0/1 preferred 100.1.1
.1 
[FW-policy-dns]dns server bind interface GigabitEthernet 1/0/2 preferred 200.1.1
.1
[FW-policy-dns]rule name dnspolicy_1
[FW-policy-dns-rule-dnspolicy_1]source-address 192.168.1.0 24
[FW-policy-dns-rule-dnspolicy_1]enable 
[FW-policy-dns-rule-dnspolicy_1]action tpdns

实验结果验证:因为免认证所以直接能访问,protal认证需要认证页面输入用户名密码,在没有输入的情况下访问不了

niaiheni
关注
ISP+DNS透明代理实验配置
m0_49864110的博客
06-06 868
目录基础配置上传/导入ISP文件到FW开启健康检查、创建健康检查配置接口带宽与过载保护阈值配置链接口(ISP)配置DNS透明代理配置安全策略根据图配置相应的接口IP地址与安全区域,配置相应的NAT策略健康检查可以直接应用在接口中,也可以应用在链接口中(本次应用在链接口中)根据ISP择相应的接口出去,当DNS请求时,如果报文匹配DNS透明代理条件并需要进行代理时,将请求报文更改为相应接口所绑定的DNS服务器地址。(如果想通过链质量等进行,可以配置相应的全局智能或策略由)........
防火墙实验(二)智能
fatsheep8_5的博客
07-13 952
书接上回--前几个配置在前面的实验已经完成。
防火墙智能+NAT实验
s20231129的博客
02-21 669
1.配置相应的IP地址2.销售部和运维部没有业务上的往来3.使用多出口场景对NAT进行操作。4.运维部进行访问联通DNS解析时,需要认证。5.采取智能,运维部访问百度,只能从百度Web-1来发送,销售部不做要求。
智能NAT实验
Feb_June的博客
02-19 900
七、防火墙对应接口绑定要代理的服务器IP。六、配置dns服务器透明代理功能。四、配置真实DNS服务器。五、创建虚拟DNS服务器。
智能+nat实验
2301_81091696的博客
03-09 440
配置相应的IP地址,当销售部和运维部不能进行访问的时候,可以使用vlan的思来进行划分,使用多出口的NAT转换,在进行运维部访问的时,将要认证,使用Web界面来进行操作,只能的时候只能通过Web-1来进行访问,在防火墙上的策略也是必不可少的。智能是指到达目的网段的链有多条链时,FW通过不同的智能的方式,根据链的带宽、权重、优先级...动态择最佳的链并根据链状态进行调整分配,以此来提高资源的利用率和用户体验。这里主要针对防火墙的设置,其他设备采用图形化界进行配置。
防火墙的智能NAT实验
2302_78877664的博客
02-17 848
配置相应的IP地址,当销售部和运维部不能进行访问的时候,可以使用vlan的思来进行划分,使用多出口的NAT转换,在进行运维部访问的时,将要认证,使用Web界面来进行操作,只能的时候只能通过Web-1来进行访问,在防火墙上的策略也是必不可少的。以上是配置多出口的项,采取智能,运维部访问百度,只能从百度Web-1来发送,销售部不做要求,该条策略默认未关闭的,故不作配置。以上是基础配置,只是演示在各个部门不通的情况下,使用什么技术来进行隔离网络,一下便是实验的重要步骤,将销售部和运维部进行通信。
吴恩达强化学习复盘(11)连续状态空间|深度Q网络
wgc2k的博客
04-28 869
这是是一个能让用户在月球上着陆模拟飞行器的应用,它类似于一个被很多强化学习研究者使用的电子游戏。在这个应用中,用户的任务是在月球着陆器快速接近月球表面时,在适当的时间点燃推进器,使其安全降落在着陆台上。
【每日八股】复习计算机网络 Day4:TCP 协议的其他相关问题
YGGP的博客
04-23 793
根据 csview 对计算机网络中 TCP 协议的相关知识进行学习。
网络钓鱼工具包Darcula引入AI技术 网络犯罪门槛进一步降低
FreeBuf_的博客
04-27 809
AI升级Darcula钓鱼工具,网络犯罪门槛骤降,企业防御告急!
【数据可视化-27】全球网络安全威胁数据可视化分析(2015-2024)
qq_38614074的博客
04-24 957
国家:发生攻击的国家年份:事件发生年份(2015-2024)威胁类型:网络安全威胁类型(如恶意软件、DDoS等)攻击类型攻击方法:(如网络钓鱼、SQL注入等)目标行业:目标行业(如金融、医疗保健等)数据泄露量(GB):数据量受损财务影响($M):估计经济损失(百万美元)安全漏洞类型:例如,零日漏洞、SQL 注入漏洞响应时间(小时):缓解攻击所花费的时间缓解策略:采取的对策攻击事件逐年增长:尤其在近几年,网络安全威胁呈现快速上升趋势,企业需加强防护能力。行业差异显著。
关于TCP三次握手和四次挥手的疑点
Foreverthinker的博客
04-26 459
备注:为什么是四次挥手不是三次挥手,因为TCP连接是全双工,任何一端都是具有发送和接受功能的,如果是三次,也就是在第二次服务端回复ACK信息时,加上Fin终结发送指令,有可能服务端此时还没有数据还没有传输处理完成,需要等待传输完成后,再发送Fin终结指令,所以将三次拆成四次;并且这个时间段,防止旧连接的报文干扰新连接的收发,防止在新连接的时候误识别为需要关闭,等待旧连接的报文在网络中消失;:2MSL的等待时间确保了连接的旧数据包在网络中消失,避免新连接中出现旧连接的数据包混淆。
C++入侵检测与网络攻防之网络嗅探以及ARP攻击
qq_27302885的博客
04-26 828
C++入侵检测与网络攻防之网络嗅探以及ARP攻击
ip-prefix前缀列表
m0_73931111的博客
04-26 475
通过指定 ip-prefix 列表的名称,filter-policy 能够根据 ip-prefix 中定义的条件来决定是否允许或拒绝某些由信息的通过。filter-policy 为 ip-prefix 提供应用上下文:ip-prefix 本身只是一个定义了匹配规则的列表,而 filter-policy 则将这些规则应用到具体的由协议和方向中,使得 ip-prefix 的过滤功能得以在实际的由过程中发挥作用。:ACL只能抓取由的前缀,没用办法匹配由的掩码信息,如果有两条由前缀相同,
Windows服务器及网络:FileZilla的使用
2501_90297049的博客
04-27 669
FileZilla 是一款免费、开源的跨平台。
ngrok 内网穿透技术详细部署指南
独坐一隅,凝神遐想,是种幸福! ——独隅
04-26 1161
ngrok 内网穿透技术详细部署指南
DDS(数据分发服务)原理详解
最新发布
weixin_38991876的博客
04-28 476
Domain(域)通信的基本隔离单元,不同域的参与者无法直接通信通过Domain ID区分(通常为0-232范围内的整数)DomainParticipant(域参与者)应用程序接入DDS网络的入口点每个参与者可以包含多个发布者和订阅者Topic(主题)数据分类的基本单位,由名称和数据类型定义例如:"TemperatureSensorData"主题可能包含温度值和时间戳Publisher(发布者)/Subscriber(订阅者)发布者负责发送数据,订阅者接收感兴趣的数据支持一对多、多对多的通信模式。
【嵌入式八股19】嵌入式通信协议
sagima_sdu的博客
04-27 967
为了保证服务端能接受到客户端的信息并能做出正确的应答而进行前两次(第一次和第二次)握手,为了保证客户端能够接收到服务端的信息并能做出正确的应答而进行后两次(第二次和第三次)握手。则客户方要重新发送连接请求,若采用二次握手,服务方收到客户端重传的请求连接后,会以为是新的请求,就会发送同意连接报文,并新开进程提供服务,这样会造成服务方资源的无谓浪费。TCP/IP 模型是网络通信的基础架构,它将网络通信分为多个层次,不同层次实现不同的功能,且对应着不同的协议和网络设备。(此处可插入 tcp 协议图解,如:!
【计算机网络】Linux网络的几个常用命令
2303_77756141的博客
04-27 410
本文主要讲解计算机网络的几个命令
传统DSN和智能DNS对比
06-06
传统DNS和智能DNS的主要区别在于解析方式和解析结果。 1. 解析方式:传统DNS采用固定的解析方式,将请求转发到最近的DNS服务器,并依次向上递归查询最终结果。而智能DNS则采用智能由方式,通过分析用户的网络环境和请求内容,择最优的解析径,从而提高解析速度和准确性。 2. 解析结果:传统DNS返回的是一个固定的IP地址,而智能DNS则可以根据用户的位置、网络环境、设备信息等因素,返回最适合用户的IP地址,从而提高用户的体验和访问速度。 3. 可靠性:智能DNS拥有更高的可靠性,因为它可以针对不同的网络情况择最佳的解析径,避免了单点故障和网络拥塞等问题。 4. 安全性:智能DNS拥有更高的安全性,因为它可以通过多种安全策略来保护用户的隐私和安全,如DNS防护、流量清洗、恶意域名识别等。 5. 扩展性:智能DNS拥有更好的扩展性,因为它可以根据用户的需求和网络规模进行灵活的扩展和升级,而传统DNS则难以满足大规模解析的需求。 总之,智能DNS相较于传统DNS具有更快的解析速度、更高的准确性、更强的可靠性和安全性、更好的扩展性等优点,已经成为未来DNS发展的趋势。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值