组网需求:
需求1
,,该公司信任区域的10.1.1.0/24网段的用户可以访问网络,该安全区域其它网段
的用户不能访问。提供的访问外部网络的合法IP地址范围为202.1.1.100——202.1.1.200。
需求2
,,提供FTP和Web服务器供外部网络用户访问。其中FTP服务器的内部IP地址为
192.168.1.200,端口号为缺省值21日Web服务器的内部IP地址为192.168.1.100,端口为80两。
者对外公布的地址均为202.1.1.10,对外使用的端口号均为缺省值,即21和80只
拓扑:
防火墙配置:
#
界面GigabitEthernet0/0/1
, IP地址10.1.1.254 255.255.255.0
#
界面GigabitEthernet0/0/2
, IP地址202.1.1.254 255.255.255.0
#
界面GigabitEthernet0/0/3
, IP地址192.168.1.254 255.255.255.0
#
防火墙区信任
,
设置优先级85,添加界面GigabitEthernet0/0/0
,添加界面GigabitEthernet0/0/1
#
防火墙区untrust
,设置优先级5
,添加界面GigabitEthernet0/0/2
#
防火墙区dmz
,
50设置优先级,添加界面GigabitEthernet0/0/3
#
, nat地址分组1 202.1.1.100 202.1.1.200
, nat 0协议tcp全球202.1.1.10 FTP服务器内部192.168.1.200 FTP
, nat全球202.1.1.10 www服务器1协议tcp内部192.168.1.100 www
#
政策地区间的信任untrust出站
,政策0
,操作允许
,政策来源10.1.1.0 0.0.0.255
#
政策地区间的dmz untrust入站
,政策0
,操作允许
,政策服务服务设置http
,政策目标192.168.1.100 0
,政策1
,操作允许
,政策服务服务设置ftp
,政策目标192.168.1.200 0
#
nat-policy地带间的信任untrust出站
,政策0
,行动source-nat
,政策来源10.1.1.0 0.0.0.255
,地址分组1
,
