实验八 防火墙综合实验
实验目的:
1.掌握USG6000v复杂场景部署方法,包括接口配置、安全域划分、路由设置等核心操作;
2.通过防火墙复杂场景下的配置,涵盖 NAT 转换、服务器映射、IPSec VPN 搭建、安全策略管控等功能,实现多场景网络互通与安全防护。
实验内容:
- 拓扑图
- 拓扑说明
设备组成:客户端(Client1、PC2、校本部团委PC、南校区团委PC)、路由器(ISP1路由器、ISP2路由器)、防火墙(校本部FW、南校区FW)、服务器(官网服务器、DNS服务器、百度服务器)。
IP地址分配:
校本部防火墙FW:
接口GE0/0/0:192.168.0.1/24
接口GE1/0/0:13.13.13.1/24(untrust区域)
接口GE1/0/1:Trunk模式,trust区域,承载VLAN10、VLAN20
虚拟接口Vlanif10:192.168.10.254/24(trust区域,校本部团委网关)
虚拟接口Vlanif20:172.16.20.254/24(trust区域,PC2网关)
接口GE1/0/2:172.16.10.254/24(dmz区域)
南校区防火墙FW:
接口GE0/0/0:192.168.0.22/24
接口GE1/0/0:25.25.25.5/24(untrust区域,连接互联网ISP2)
接口GE1/0/1:192.168.20.254/24(trust区域,南校区团委网关)
服务器:
官网服务器Ethernet0/0/0:172.16.10.1/24(dmz区域,提供www.tsu.edu.cn服务)
DNS服务器Ethernet0/0/0:7.7.7.8/24(untrust区域,解析www.tsu.edu.cn)
百度服务器:7.7.7.6/24(untrust区域)
路由器:
ISP1路由器GE0/0/0:13.13.13.3/24
ISP1路由器GE0/0/1:23.23.23.3/24
ISP2路由器GE0/0/0:25.25.25.2/24
ISP2路由器GE0/0/1:23.23.23.2/24
ISP2路由器GE0/0/2:7.7.7.254/24
客户端:
Client1(外网)Ethernet0/0/0:7.7.7.7/24(untrust区域)
PC2 Ethernet0/0/0:172.16.20.1/24(trust区域)
校本部团委PC Ethernet0/0/0:192.168.10.1/24(trust区域)
南校区团委PC Ethernet0/0/0:192.168.20.1/24(trust区域)
核心需求:保障校本部与南校区团委PC的VPN互通,实现PC2的外网访问测试,确保外网Client1对官网服务器的正常访问,并通过安全域划分保障网络安全。
实验步骤
一、第一阶段:
- 基础配置(校本部 FW)
(1)管理口与物理接口配置
配置管理口GE0/0/0,允许所有管理服务,并配置GE1/0/0和GE1/0/2,将GE1/0/1改为二层模式
(2)二层接口与 VLAN 配置
创建vlan,同时开放ping命令,配ip地址,同时GE1/0/1口加入VLAN
(3)动态路由配置(OSPF)
(4)进入web页面配置
安全域划分
新建地址
- PC2 外网访问配置(NAT 转换 + 安全策略)
首先实现pc2 ping 通7.7.7.6,不仅需要安全策略,还需要NAT转换,NAT 策略和安全策略如图
3.实现外网访问官网的步骤,需要安全策略和NAT映射(就可以实现外网访问到官网,同时不泄露官网的真实ip地址):
4.南校区FW IPSec VPN 策略配置
新建点到点策略
VPN 安全策略配置:
新建 ISAKMP 策略(UDP 500 端口):
新建 ESP 策略:
新建 VPN 数据策略:
结果如图:
- 交换机配置(LSW2,连接校本部 FW GE1/0/1)
创建VLAN10、20,配置接入端口(连接PC2、校本部团委PC),配置Trunk端口
测试一下,pc2到防火墙172.16.20.254通不通:
- ISP 路由器配置(ISP1、ISP2)
(1)ISP1 配置
配置接口,配置OSPF
在防火墙web页面看到已经学习到路由:
(2)ISP2 配置
配置接口,配置OSPF
配置访问官网:
配置官网服务器:
dns服务器,做域名解析:
实验结果:
打开client(7.7.7.7)客户端,在地址栏中输入我们的网址获取到了文件,也就意味着我们可以访问官网
pc2ping通7.7.7.6
二、第二阶段,VPN配置:
(1)南校区 FW 基础配置
接口配置:
进入web界面配置安全区域:
ospf配置:
(2)南校区FW IPSec VPN 策略配置
新建地址:
新建点到点策略:
VPN 安全策略配置:
新建 ISAKMP 策略(UDP 500 端口):
新建 ESP 策略:
新建 VPN 数据策略:
安全策略结果如下:
Ipsec协商结果:
校本部和南校区的ipsec协商均成功:
(5)静态路由配置(两端 FW)
校本部FW:添加到南校区团委的静态路由
ip route-static 192.168.20.0 24 13.13.13.3
南校区FW:添加到校本部团委的静态路由
ip route-static 192.168.10.0 24 25.25.25.2
实验结果:
校本部团委电脑和南校区团委电脑互相ping通
)
