实验目的:
通过完成企业对防火墙的实际环境部署,实现防火墙的策略控制,病毒防御,nat技术和L2tpvpn等重要的功能模块
实验要求:
1、 内网192.168.2.0/24 和192.168.3.0/24 这两个网段相互不能进行访问。
2、 内网192.168.2.0/24 和192.168.3.0/24 做nat地址转换,转成防火墙公网出口的接口地址即可。
3、防火墙内网属于trust,外网属于untrust
4、防火墙策略,域内策略trust之间不能相互访问,即内网192.168.2.0/24 和192.168.3.0/24 这两个网段相互不能进行访问。
5、防火墙域间策略是:只允许192.168.2.0/24 访问 19.1.1.2
6、 18.1.1.2 为公网用户,使用L2tpvpn 拨入防火墙,并获得内容地址192.168.5.0/24的地址
7,拨号用户可以访问内网的地址,即192.168.5.0/24 访问 192.168.2.0 和192.168.3.0的地址
实验环境:
windows7虚拟机
Ensp模拟器
实验过程:
1、建立拓扑图并根据要求配置好相应的IP
2、配置防火墙安全域及相应接口IP
3、要求两个内网192.168.2.0/24 和192.168.3.0/24 这两个网段相互不能进行访问。
即在防火墙策略里面添加一条trust_to_trust,源地址、目的地址均为这两个网段即可,选择禁用,即可实现这两个网段之间不能相互访问
4、防火墙域间策略是:只允许192.168.2.0/24 访问 19.1.1.2
在防火墙策略上面加入trust_to_untrst,源IP为:192.168.2.0/24,目的IP为: 19.1.1.2
策略配置完后,进行默认路由的设置,在防火墙处加一条路由,即ip route-static 19.1.1.2 24 200.1.1.1,指向下一个路由器的IP接口地址,切忌路由只能到下一跳,不能到下下一跳。
R2到R1的路由
成功实现
5、18.1.1.2 为公网用户,使用L2tpvpn 拨入防火墙,并获得内容地址192.168.5.0/24的地址
首先配置L2TP,服务器地址为192.168.5.1/24(地址池里面用192.168.5.2-192.168.5.20)
添加一个用户,用来vpn拨号使用
打开vpn-client连接,选择通过输入参数配置连接
服务器IP填写防火墙与公网连接的接口IP
设置连接名后即可连接
获取192.168.5.0段ip成功
6、拨号用户可以访问内网的地址,即192.168.5.0/24 访问 192.168.2.0和192.168.3.0的地址
这里要注意的是,默认情况下缺省路由不走我们想让它走的路,需要先删除默认缺省路由, 使用此命令即可route delete 0.0.0.0,删除之后,vpn-client从新建立连接