目录
实验拓扑
- Cloud1 模拟 PC,绑定物理机虚拟网卡实现物理机接入网络,IP 地址为
192.168.10.3
- Server1 提供 Http 服务,使用默认端口 80,IP 地址为
192.168.10.2
- FW1 的 GE1/0/1 口作为内网侧,IP 地址为
192.168.10.1
- FW2 的 GE1/0/0 口作为外网侧,IP 地址为
192.168.30.1
。原先规划 IP 为192.168.20.1
,后发现与公司网络地址冲突。
实验目的
Cloud1 通过 Server1 映射到外网的地址 192.168.30.1:8080 来访问 Server1 的 Http 服务
实验步骤
Cloud1 配置
- 绑定物理机虚拟网卡实现物理机接入网络,IP 地址为
192.168.10.3
Server1 配置
- 配置服务器地址,子网掩码以及网关等相关信息
- 配置并开启服务器 Http 服务
防火墙配置
防火墙初始配置
- 防火墙第一次进入会要求修改密码,需要按要求修改默认密码。华为防火墙默认账号密码为
admin/Admin@123
- 配置管理口地址,这里用 GE1/0/1 做管理口,需要开启 https 管理方式并将管理口加入 trust 安全域才能通过 Web 界面进行访问
- 完成上述配置之后就可以通过物理机 Web 界面的管理方式对防火墙进行后续配置了
防火墙接口配置
- 将 GE1/0/0 的 IP 地址配置成
192.168.30.1/24
并配置安全域为 untrust - 将 GE1/0/1 的 IP 地址配置成
192.168.10.1/24
并配置安全域为 trust,GE1/0/1 口作为管理口开启 https、ping、ssh 三种管理方式
地址对象配置
- 配置内网 IP 地址对象的 IP 地址范围
192.168.10.0/24
安全策略配置
- 配置安全策略允许 trust 安全域的内网 IP 地址进行任意访问
服务器地址映射
- 将内网服务器 80 端口映射到防火墙出口的 8080 端口
配置 NAT 策略
- 配置 NAT 策略将所有经防火墙转发的内网 IP 流量做源地址转换
结果验证
配置 NAT 策略的情况下
通过外网 IP 地址 192.168.30.1
的 8080 端口可以打开相关页面,在交换机 LSW1 的 GE0/0/2 口抓包结果如下,可以看到源地址是 192.168.10.1
也就是防火墙的内网侧接口地址。
在交换机 LSW1 的 GE0/0/3 口抓包结果如下,可以看到 Could1 发给防火墙 FW1 是有回包的。
未配置 NAT 策略的情况下
通过外网 IP 地址 192.168.30.1
的 8080 端口无法打开相关页面,在交换机 LSW1 的 GE0/0/2 口抓包结果如下,可以看到目的地址被做了转换,但源端口依然是 192.168.10.3
在交换机 LSW1 的 GE0/0/3 口抓包结果如下,可以看到只有 Could1 发给 FW1 的包,但是没有 FW1 回给 Could1 的包。同时,抓取源地址是 192.168.10.2
的数据包可以看到相关内容。
总结与收获
通过 arp 表排查发现网络地址冲突。
对相关理论有一个实践性验证。