1.12 防火墙、Internet互联技术.pptxVIP

《企业网络搭建及应用》配套资源项目1　企业网络搭建1.12 工作任务12——防火墙、Internet互联技术1.12 工作任务12——防火墙、Internet互联技术任务准备1432任务需求与分析任务实施任务实战互联一、任务准备常见的网络出口模型单出口双出口一、任务准备什么是NAT技术？NAT（Network Address translator，网络地址转换 ）是用于将一个 专用地址域（局域网内部或Intranet）与另一个地址域（如Internet）建立起对应关系的技术。一、任务准备NAT的实现方式有三种：静态转换StaticNat动态转换DynamicNat端口多路复用OverLoad二、任务需求与分析ABC总公司与子公司分别通过NAT技术与Internet互联，实现Internet的高速接入。ABC总公司上网规则：为了防止员工在上班时间内上网娱乐而耽误工作，ABC总公司要求对用户的网段上网时间进行了限制。销售部、行政部全天候均允许访问企业外网，其他部门只允许在12：00-14：00和18：00-09：00的休息时间段内访问外网，其他任何时间均不可以访问外网。公司客户7×24小时内均能够通过浏览企业网站。ABC子公司上网规则：　允许无线用户VLAN88和 VLAN89通过R2访问Internet。二、任务需求与分析部门所在子网允许访问外网时段用于转换的公网IP行政部/27全天1/30销售部2/27全天财务部4/27周一~周五12：00-14：0018：00-09：00采购部6/27质检部28/27无线用户vlan88/24全天22-24无线用户vlan89/24全天22-24服务器将企业网站服务器私网地址 转换为公网地址 1，映射80端口三、任务实施　依次选择“对象用户”—“时间表”—“新建”，时间表名称为abin，每周一至周五的12：00-14：00、18：00-23：59、00:00-09:00，如图所示。以此为例，逐条添加时间表。配置时间表三、任务实施依次选择“对象用户”—“地址簿”—“新建”，地址簿名称为“vlan10,20”，依次添加成员2/27和/27。以此为例，逐条添加地址簿，如图所示。以此为例，逐条添加地址簿。配置地址簿三、任务实施依次选择“NAT”—“源NAT”—“新建”，在源NAT配置窗口中，选择源地址为“vlan10,20,30,40,50”，出接口为ethernet0/1，转换为指定IP，模式为动态IP，如图所示。配置源NAT三、任务实施配置策略依次选择“安全”—“策略”—“新建”，在弹出的策略配置窗口中新建策略1：源安全域为trust，目的安全域为untrust，源地址为“vlan30,40,50”，时间表为abin，行为为允许；同样步骤新建策略2：源安全域为trust，目的安全域为untrust，源地址为“vlan10,20”，目的地址为Any，行为为允许，如图所示。三、任务实施配置默认路由FW(config)#?ip?vrouter?trust-vrFW(config-vrouter)#?router?ospfFW(config-router)#?default-information?originate !下发默认路由三、任务实施配置目的NAT，对外发布网站对外发布网站，依次选择“网络”—“NAT”—“目的NAT”—“新建”，在端口映射配置窗口中，设置地址条目为staticnat，服务为HTTP，映射地址为webserver，端口为80，如图所示。三、任务实施配置策略放行网站依次选择“安全”—“策略”—“新建”，在弹出的策略配置窗口中新建策略3：源安全域为untrust，目的安全域为Any，源地址为Any，目的地址为staticnat，行为为允许，如图所示。三、任务实施　R2配置参考命令：R2_config#interface?gigaEthernet?0/5R2_config_g0/5#ip?address?21?R2_config_g0/5#exitR2_config#int?gigaEthernet?0/4R2_config_g0/4#ip?nat?inside ！配置内网端口R2_config_g0/4#exitR2_config#interface?gigaEthernet?0/5R2_config_g0/5#ip?nat?outside ！配置外网端口R2_config_g0/5#exitR2_config#ip?access-list?extended?100 !允许vlan88和vlan89R2_config_ext_nacl#permit?ip???anyR2_config_ext_nacl#permit?ip???anyR2_config_ext_nac