實驗拓撲
- PC1 通過 WIFI 上網並共享給以太網,以太網 IP 地址為
172.16.1.254/24,連接 FW1作為 FW1 的上網出口 - PC2 通過 WIFI 上網並共享給以太網,以太網 IP 地址為
172.16.2.254/24,連接 FW1作為 FW1 的上網出口 - FW1 的 GE1 口作為管理口和外網側業務口,IP 地址為
172.16.1.1/24;GE2 口也作為外網側業務口,IP 地址為172.16.2.1/24;GE3 口作為內網側業務口,IP 地址為192.168.1.254/24 - PC3 作為內網終端,通過 dhcp 的方式獲取 IP 地址
本次實驗使用真實物理環境操作,PC1 和 PC2 使用個人筆記本電腦模擬,FW1 使用網神 SecGate3600 防火牆,PC3 使用榮耀 20 手機模擬(接 typec 轉網口拓展塢)
實驗目的
PC3 能夠正常訪問互聯網,訪問 114.114.114.114 以外的電信 IP 走 PC2 線路,訪問 114.144.114.114 和其他非電信 IP 走 PC1 線路。
實驗步驟
Fw1 配置
初始配置
網神防火牆的默認賬號密碼為 admin/!1fw@2soc#3vpn,默認管理口 IP 地址為 10.0.0.1/24,默認可信主機只有 10.0.0.44。使用默認可信主機地址並使用默認賬號密碼登錄 Web 界面后,關閉管理主機功能並修改管理口 IP 地址為 172.16.1.1/24。
網絡接口配置
- 配置外網側業務口 GE1 的 IP 地址為
172.16.1.1/24 - 配置外網側業務口 GE2 的 IP 地址為
172.16.2.1/24 - 配置內網側業務口 GE3 的 IP 地址為
192.168.1.254/24
網絡安全域配置
- 將 GE3 口加入 trust 安全域
- 將 GE1 口和 GE2 口加入 untrust 安全域
eNSP 中的華為防火牆管理口必須是 trust 安全域,但是網神防火牆沒有這個要求,可以使用 untrust 安全域的接口進行管理
網絡 NAT 配置
- 配置 NAT 策略將內網 IP 地址經過防火牆的流量進行源地址轉換
網絡 DHCP 配置
- 配置 DHCP 服務,自動為內網終端分配 IP 地址
- 啟用 DHCP 服務功能
對象地址配置
- 將內網地址段
192.168.1.0/24配置成內網 IP 地址對象
安全策略配置
- 配置安全策略允許 trust 安全域的內網 IP 地址訪問任意安全域
靜態路由配置
- 配置靜態路由,去往
114.114.114.114/32的流量網關為172.16.1.254 - 配置默認路由,去往
0.0.0.0/0的流量網關為172.16.1.254
ISP 路由配置
- 配置 ISP 路由,,去往電信 IP 的流量網關為
172.16.2.254
PC1 配置
WLAN 配置
- 將 WLAN 連接共享給以太網,使內網流量可以轉發到互聯網
以太網配置
- WLAN 共享網絡給以太網后會自動修改以太網 IP 地址
- 重新配置以太網 IP 地址為
172.16.1.254/24
PC2 配置
WLAN 配置
- 將 WLAN 連接共享給以太網,使內網流量可以轉發到互聯網
以太網配置
- 重新配置以太網 IP 地址為
172.16.2.254/24
結果驗證
PC3 驗證
手機未插入 SIM 卡且當前為非 WIFI 環境,但是能夠正常訪問抖音等網絡應用
PC1 驗證
在 PC1 的以太網口抓包並過濾出源 IP 為 172.16.1.1 目的 IP 非 172.16.1.254 的數據包結果如下,可以發現目的 IP 除了 114.114.114.114 以外的都是非電信 IP 地址
PC2 驗證
在 PC2 的以太網口抓包並過濾出源 IP 為 172.16.2.1 目的 IP 非 172.16.2.254 的數據包結果如下,可以發現目的 IP 都是電信 IP 地址
猜想驗證
猜想:訪問 114.114.114.114 的流量走 PC1 線路是因為配置的靜態路由掩碼是 32 位,而 ISP 信息表中的對應掩碼是 255.255.248.0,流量選路是根據最長匹配原則
驗證:將靜態路由修改成 114.114.0.0/16 之后進行驗證發現訪問 114.114.114.114 的流量還是走了 PC1 線路
結論:猜想錯誤,ISP 路由即使掩碼長度大於靜態路由,流量還是會根據靜態路由進行轉發,但是缺省路由優先級低於 ISP 路由
總結與收獲
- 了解了什么是 ISP 路由的概念及配置方法
- 驗證了錯誤猜想,證明了網神防火牆的路由優先級是 靜態路由 > ISP 路由 > 缺省路由