一、拓撲結構
二、概述
1、路由器做nat server,使外部網絡可以訪問內部的服務器羣。
2、防火牆使用透明模式,可以配置訪問控制列表acl,進行病毒防護或者其它的限制。
3、內部三層交換機用於內部互通。
地址規劃:
1、202.100.1.x 是公網地址。
2、10.10.10 .x 是設備的互連地址。
3、192.168.x.x 是業務地址
路由器配置:
//配置允許進行NAT轉換的內網地址段
acl number 2000
rule 0 permit source 192.168.1.0 0.0.0.255
rule 1 permit source 192.168.254.0 0.0.0.255
rule 2 deny
#
interface GigabitEthernet0/0
port link-mode route
ip address 202.100.1.2 255.255.255.0
//在出接口上配置內網服務器192.168.254.2的www服務
nat server protocol tcp global 202.100.1.3 www inside 192.168.254.3 www
nat server protocol tcp global 202.100.1.4 ftp inside 192.168.254.4 ftp
//在接口E0/0上進行NAT轉換
nat outbound 2000
//配置內網接口網關
interface GigabitEthernet0/1
port link-mode route
ip address 10.10.10.1 255.255.255.252
#
//路由配置,使出方向流量經過NAT配置的接口
ip route-static 0.0.0.0 0.0.0.0 202.100.1.1
防火牆配置:
firewall mode transparent
/設置模式
interface Ethernet 0/0
/進入所需要要設置的端口
promiscuous
/設置端口模式
interface Ethernet 0/1
/同上
promiscuous
/同上
firewall zone trust
/進入ZONE區域
add interface Ethernet 0/0
/添加端口
firewall packet-filter default permit
add interface Ethernet 1/0
/添加端口
firewall packet-filter default permit
三層交換機配置:
用戶屬於vlan5,服務器屬於vlan10,24口交換機1~3口接用戶;13~16口接服務器;24口上聯防火牆,屬於vlan100
1、配置交換機的業務vlan5和vlan10
[H3C ]vlan 5
[H3C -vlan5]port Ethernet 0/1 to Ethernet 0/3
[H3C ]vlan 10
[H3C -vlan10]port Ethernet 0/13 to Ethernet 0/16
2、配置交換機互連vlan100
[H3C ]vlan 100
[H3C -vlan100]port Ethernet 0/24
3、配置業務vlan和互連vlan的三層接口
[H3C ]interface vlan vlan 5
[H3C -Vlan-interface5]ip address 192.168.1.254 255.255.255.0
[H3C ]interface vlan vlan 10
[H3C -Vlan-interface10]ip address 192.168.254.254 255.255.255.0
[H3C ]interface vlan vlan 100
[H3C -Vlan-interface100]ip address 10.10.10.2 255.255.255.252
4、路由配置
[H3C ]ip route-static 0.0.0.0 0.0.0.0 10.10.10.1
1、202.100.1.x 是公網地址。
2、
3、192.168.x.x 是業務地址
路由器配置:
//配置允許進行NAT轉換的內網地址段
acl number 2000
rule 0 permit source 192.168.1.0 0.0.0.255
rule 1 permit source 192.168.254.0 0.0.0.255
rule 2 deny
#
interface GigabitEthernet0/0
port link-mode route
ip address 202.100.1.2 255.255.255.0
//在出接口上配置內網服務器192.168.254.2的www服務
nat server protocol tcp global 202.100.1.3 www inside 192.168.254.3 www
nat server protocol tcp global 202.100.1.4 ftp inside 192.168.254.4 ftp
//在接口E0/0上進行NAT轉換
nat outbound 2000
//配置內網接口網關
interface GigabitEthernet0/1
port link-mode route
ip address 10.10.10.1 255.255.255.252
#
//路由配置,使出方向流量經過NAT配置的接口
ip route-static 0.0.0.0 0.0.0.0 202.100.1.1
防火牆配置:
firewall mode transparent
/設置模式
interface Ethernet 0/0
/進入所需要要設置的端口
promiscuous
/設置端口模式
interface Ethernet 0/1
/同上
promiscuous
/同上
firewall zone trust
/進入ZONE區域
add interface Ethernet 0/0
/添加端口
firewall packet-filter default permit
add interface Ethernet 1/0
/添加端口
firewall packet-filter default permit
三層交換機配置:
用戶屬於vlan5,服務器屬於vlan10,24口交換機1~3口接用戶;13~16口接服務器;24口上聯防火牆,屬於vlan100
1、配置交換機的業務vlan5和vlan10
[H
[H
[H
[H
2、配置交換機互連vlan100
[H
[H
3、配置業務vlan和互連vlan的三層接口
[H
[H
[H
[H
[H
[H
4、路由配置
[H