标签：ISP FW 8.8 配置 互通 访问 policy 路由

实验：在FW上配置静态路由实现互通

网络拓扑图

一、配置步骤

1.配置IP地址

 

R1：

 

FW：

 

ISP：

     

2.配置路由

  ①在R2上面配置静态路由

 

②在ISP上面配置静态路由

 

3.在FW上配置安全策略实现内网主机和PC可以访问ISP的接口地址1.1.2

       ①在防火墙上配置Trust区域，将G1/0/1加入。再配置安全策  略，命名为test，配置允许访问的源区域和目标区域；

       ②在防火墙上配置Untrust区域，将G1/0/0加入。再配置安全策略，命名为test1，配置允许访问的源区域和目标区域；

       ③配置安全策略，命名为test2，允许Trust访问Untrust区域。

 

④在各接口开启允许ping的命令：service-manage ping permit

 

⑤自此，可以实现内网主机PC可以访问ISP的接口地址1.1.2

 

二、添加步骤

1.首先在ISP路由器的环回口创建IP地址

 

2.在FW上面配置默认路由，实现上网需求

 

3.在FW、R1上面配置OSPF，实现内网互通，及FW可以访问Trust域内的任意主机

①配置OSPF

 

②查看FW的邻居关系

 

③要将之前配置的本地默认路由条目通过OSPF协议转发给OSPF邻居

 

④查看R1的OSPF的路由表

 

⑤R1可以访问ISP

 

⑥ PC1可以访问ISP

 

4.配置防火墙安全策略，实现内网中只有1.1.0/24网段的主机可以访问8.8.8.8服务器

 

测试：

 

 

5.桥接本地主机，实现WEB登录FW做配置。

①进行桥接

 

 

②在FW的g0/0/0接口下输入service-manager all permit。

在防火墙下输入：web-manager enable

 

③在本地浏览器里登录输入https://192.168.0.1:8443

 

④同步系统时间

 

⑤选择接入互联网方式

 

⑥LAN接口是连接Trust接口（内网接口）

 

⑦安全策略（命令行输入，在Web页面下的显示）

 

 

思考题：

1.如何实现ISP可以主动ping通过内网主机PC

通过目的NAT，对公网访问IP转换为内网IP，实现外部网络访问内网主机。

①配置源NAT:配置源NAT地址转换,仅配置源地址访问内网--> 公网的转换.

[FW1] nat-policy // 配置NAT地址转换
[FW1-policy-nat] rule name isp2pc // 指定策略名称
[FW-policy-nat-rule-isp2pc] egress-interface GigabitEthernet 1/0/0 // 外网接口IP
[FW-policy-nat-rule-isp2pc] action source-nat easy-ip // 源地址转换

②配置目标NAT: 外网访问8.8.8自动映射到内网的10.1.1.10这台主机上.

--------------------------------------------NAT规则---------------------------------------------------
# 外网主机访问8.8.8.8主机自动映射到内部的10.1.1.20
[FW1] firewall detect ftp
[FW]nat server isp2pc global 10.1.1.20 inside 8.8.8.8 no-reverse

[FW1] security-policy // 配置安全策略
[FW-policy-security]rule name untrust-isp// 规则名称
[FW-policy-security-rule-untrust-isp] source-zone untrust // 源安全区域(外部)
[FW-policy-security-rule-untrust-isp]  destination-zone trust // 目标安全区域(内部)
[FW-policy-security-rule-untrust-isp]  action permit // 放行配置
[FW-policy-security-rule-untrust-isp]  quit

③

 

④

 

⑤

 

⑥测试

实现了ISP ping通过内网主机PC

 

2.如何实现PC在访问8.8.8.9的同时10.2.2.1可以访问8.8.8.8。

①在FW上安全策略test2中再添加允许源地址为2.2.1可以访问Untrust区域。

 

②实现了2.2.1可以访问8.8.8.8。

 

③PC也可以访问8.8.8.9

 

标签：ISP,FW,8.8,配置,互通,访问,policy,路由
来源： https://www.cnblogs.com/zongziya/p/16361099.html

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。