老爹公司因业务扩大,需要对网络进行升级改造,工程师规划的部分拓扑图如下:

华为ENSP排障相关_排障

公司希望实现以下功能:

1. 生产部(PC1)和品质部(PC2)可以访问DMZ区域的Web服务器(ping)

2. 生产部(PC1)和品质部(PC2)可以访问互联网上的服务器Serv3(ping)

3. 互联网客户端PC3可以通过地址202.96.1.50访问公司的DMZ区域的Web服务器


工程师沃利大爷根据项目实施文档完成所有设备的配置后,发现如下问题:

问题一:沃利大爷发现,内网客户端PC1和PC2不能和DMZ服务器通信,他通过tracert命令发现数据包到第五跳192.168.80.2之后就丢包。

华为ENSP排障相关_ENSP_02

华为ENSP排障相关_防火墙_03


原因分析:PC1和PC2不能与DMZ区域的服务器进行访问,是因为R4上引入路由时出现了问题,通过“display current-configuration(dis cu)”命令我们发现,rip中并没有引入bgp路由。防火墙上通过“display ip routing-table(dis ip rou)”命令,发现没有内网区域的各个路由段。

以上足以证明“PC1和PC2不能与DMZ区域的服务器进行访问是因为R4上引入路由时出现了问题”是正确的。

华为ENSP排障相关_防火墙_04

解决方案:在R4的rip路由中引入bgp路由,使得内网两台客户端能够访问DMZ区域的服务器

[R4]rip 1      #进入rip模式

[R4-rip-1]import-route bgp permit-ibgp     #将rip引入bgp,使用允许内部边界网关协议(IBGP)路由

 

我们发现,在rip路由中引入了bgp路由之后,FW上学到了内网区域的网段,且两客户端已经可以和DMZ区域的服务器进行通讯,此问题得以解决。

华为ENSP排障相关_华为_05

华为ENSP排障相关_华为_06

华为ENSP排障相关_华为_07


问题二:沃利大爷发现内网客户端PC1和PC2不能上网(即内网客户端PC1和PC2不能访问互联网服务器Serv3),他又通过tracert命令发现数据包仍然到第五跳192.168.80.2之后就丢包。

华为ENSP排障相关_路由交换_08

华为ENSP排障相关_路由交换_09


原因分析:

1. 通过Wireshark抓R5的G0/0/0口发现其ICMP只有请求报文,但没有回应报文,同时源地址也没有做地址转换。

华为ENSP排障相关_排障_10

华为ENSP排障相关_ENSP_11

3. 在防火墙上发现NAT地址转换的配置出现问题,这也是导致源地址不进行地址转换的原因.

nat-policy

 rule name natpolicy   #给安全策略命名为“natpolicy”

  source-zone trust     #源区域为trust

  destination-address 202.96.1.0 24 #目标区域为“202.96.1.0/24”网段,由于此导致源地址不能进行转换

  action nat easy-ip    #使用的转换方式是easy-ip


解决方案:

1.      在R5上宣告一条默认路由即可。

[R5]ip route-static 0.0.0.0 0.0.0.0 202.96.1.10

2.      调整NAT地址转换的目标区域

nat-policy

 rule name natpolicy   #给安全策略命名为“natpolicy”

  source-zone trust     #源区域为trust

  destination-zone untrust        #目标区域原为一个网段,现在已经变成了untrust区域

  action nat easy-ip    #使用的转换方式是easy-ip

 

宣告完默认路由之后,我们发现PC1和PC2均可上网(即内网客户端PC1和PC2可以访问互联网服务器Serv3),而且进行了地址转换

华为ENSP排障相关_华为_12


华为ENSP排障相关_排障_13

华为ENSP排障相关_ENSP_14

华为ENSP排障相关_华为_15


问题三:沃利大爷发现互联网(PC3)不能访问公司内部DMZ区域的服务器

华为ENSP排障相关_排障_16


原因分析:

1. 尝试启动服务器

华为ENSP排障相关_ENSP_17

2. 再次尝试连接,发现仍然有之前的错误,由此判断是FW的安全策略出现了问题。从防火墙的配置上我们可以看出,防火墙FW上配置了NAT的静态映射(NAT Server),但没有配置安全策略,导致其不能访问内网DMZ区域的服务器

华为ENSP排障相关_ENSP_18

华为ENSP排障相关_排障_19

解决方案:对FW的untrust区域至dmz区域进行安全策略的配置(由于该行为属于从低到高,因此要配置安全策略)

[FW]security-policy

[FW-policy-security]rule name untrust_dmz           #给安全策略命名为“untrust_dmz”

[FW-policy-security-rule-untrust_dmz]source-zone untrust        #源区域为untrust

[FW-policy-security-rule-untrust_dmz]destination-zone dmz      #目标区域为dmz

[FW-policy-security-rule-untrust_dmz]service http               #允许通过的服务类型为htpp

[FW-policy-security-rule-untrust_dmz]action permit            #动作为允许

[FW-policy-security-rule-untrust_dmz]q

[FW-policy-security]q

 

此时我们通过“display current-configuration(dis cu)”命令可以得知FW上的安全策略已生效,且PC3也已经可以访问公司内部的DMZ服务器同时进行了地址转换

华为ENSP排障相关_路由交换_20

华为ENSP排障相关_路由交换_21

华为ENSP排障相关_路由交换_22

华为ENSP排障相关_华为_23


至此,沃利大爷发现的所有问题全部解决,公司提出的要求也全部满足。