设计思路:
实验一:AR1两个地址通过设置于FW1上的策略路由访问150.1.2.2外网地址,通过策略路由设置,分别实现通过155.1.122.0/24访问和通过136.1.123.0/24访问。
实验二:在两条路由上设置相互备份
一、网络拓扑
二、基础环境配置
1、按拓扑所示地址配置各接口地址(此处省略)
2、在AR1与FW1,AR2与AR3之间配置OSPF路由(此处省略)
3、将FW1上g1/0/0,g0/0/0加入trust区域,将g1/0/1,g1/0/2加入untrust区域
#
trust
priority is 85
interface of the zone is (2):
GigabitEthernet0/0/0
GigabitEthernet1/0/0
#
untrust
priority is 5
interface of the zone is (2):
GigabitEthernet1/0/1
GigabitEthernet1/0/2
#
4、在FW2上设置安全策略和NAT策略
#
security-policy
rule name LOCAL_TO_ANY
source-zone local
action permit
rule name IN_TO_OUT
source-zone trust
destination-zone untrust
action permit
#
#
nat-policy
rule name EASY_IP
source-zone trust
destination-zone untrust
source-address 10.1.1.0 mask 255.255.255.0
action source-nat easy-ip
#
三、详细配置
(一)实验一
1、FW1通过WEB界面配置
2、打开防火墙上的ICMP回应
[FW1]icmp ttl-exceeded send
(二)实验二
四、结果验证
(一)实验一
(二)实验二
