一、拓扑结构
二、概述
1、路由器做nat server,使外部网络可以访问内部的服务器群。
2、防火墙使用透明模式,可以配置访问控制列表acl,进行病毒防护或者其它的限制。
3、内部三层交换机用于内部互通。
地址规划:
1、202.100.1.x 是公网地址。
2、10.10.10 .x 是设备的互连地址。
3、192.168.x.x 是业务地址
路由器配置:
//配置允许进行NAT转换的内网地址段
acl number 2000
rule 0 permit source 192.168.1.0 0.0.0.255
rule 1 permit source 192.168.254.0 0.0.0.255
rule 2 deny
#
interface GigabitEthernet0/0
port link-mode route
ip address 202.100.1.2 255.255.255.0
//在出接口上配置内网服务器192.168.254.2的www服务
nat server protocol tcp global 202.100.1.3 www inside 192.168.254.3 www
nat server protocol tcp global 202.100.1.4 ftp inside 192.168.254.4 ftp
//在接口E0/0上进行NAT转换
nat outbound 2000
//配置内网接口网关
interface GigabitEthernet0/1
port link-mode route
ip address 10.10.10.1 255.255.255.252
#
//路由配置,使出方向流量经过NAT配置的接口
ip route-static 0.0.0.0 0.0.0.0 202.100.1.1
防火墙配置:
firewall mode transparent
/设置模式
interface Ethernet 0/0
/进入所需要要设置的端口
promiscuous
/设置端口模式
interface Ethernet 0/1
/同上
promiscuous
/同上
firewall zone trust
/进入ZONE区域
add interface Ethernet 0/0
/添加端口
firewall packet-filter default permit
add interface Ethernet 1/0
/添加端口
firewall packet-filter default permit
三层交换机配置:
用户属于vlan5,服务器属于vlan10,24口交换机1~3口接用户;13~16口接服务器;24口上联防火墙,属于vlan100
1、配置交换机的业务vlan5和vlan10
[H3C ]vlan 5
[H3C -vlan5]port Ethernet 0/1 to Ethernet 0/3
[H3C ]vlan 10
[H3C -vlan10]port Ethernet 0/13 to Ethernet 0/16
2、配置交换机互连vlan100
[H3C ]vlan 100
[H3C -vlan100]port Ethernet 0/24
3、配置业务vlan和互连vlan的三层接口
[H3C ]interface vlan vlan 5
[H3C -Vlan-interface5]ip address 192.168.1.254 255.255.255.0
[H3C ]interface vlan vlan 10
[H3C -Vlan-interface10]ip address 192.168.254.254 255.255.255.0
[H3C ]interface vlan vlan 100
[H3C -Vlan-interface100]ip address 10.10.10.2 255.255.255.252
4、路由配置
[H3C ]ip route-static 0.0.0.0 0.0.0.0 10.10.10.1
1、202.100.1.x 是公网地址。
2、
3、192.168.x.x 是业务地址
路由器配置:
//配置允许进行NAT转换的内网地址段
acl number 2000
rule 0 permit source 192.168.1.0 0.0.0.255
rule 1 permit source 192.168.254.0 0.0.0.255
rule 2 deny
#
interface GigabitEthernet0/0
port link-mode route
ip address 202.100.1.2 255.255.255.0
//在出接口上配置内网服务器192.168.254.2的www服务
nat server protocol tcp global 202.100.1.3 www inside 192.168.254.3 www
nat server protocol tcp global 202.100.1.4 ftp inside 192.168.254.4 ftp
//在接口E0/0上进行NAT转换
nat outbound 2000
//配置内网接口网关
interface GigabitEthernet0/1
port link-mode route
ip address 10.10.10.1 255.255.255.252
#
//路由配置,使出方向流量经过NAT配置的接口
ip route-static 0.0.0.0 0.0.0.0 202.100.1.1
防火墙配置:
firewall mode transparent
/设置模式
interface Ethernet 0/0
/进入所需要要设置的端口
promiscuous
/设置端口模式
interface Ethernet 0/1
/同上
promiscuous
/同上
firewall zone trust
/进入ZONE区域
add interface Ethernet 0/0
/添加端口
firewall packet-filter default permit
add interface Ethernet 1/0
/添加端口
firewall packet-filter default permit
三层交换机配置:
用户属于vlan5,服务器属于vlan10,24口交换机1~3口接用户;13~16口接服务器;24口上联防火墙,属于vlan100
1、配置交换机的业务vlan5和vlan10
[H
[H
[H
[H
2、配置交换机互连vlan100
[H
[H
3、配置业务vlan和互连vlan的三层接口
[H
[H
[H
[H
[H
[H
4、路由配置
[H