華爲ENSP排障相關

老爹公司因業務擴大，須要對網絡進行升級改造，工程師規劃的部分拓撲圖以下：

公司但願實現如下功能：

1. 生產部（PC1）和品質部（PC2）能夠訪問DMZ區域的Web服務器（ping）

2. 生產部（PC1）和品質部（PC2）能夠訪問互聯網上的服務器Serv3（ping）

3. 互聯網客戶端PC3能夠經過地址202.96.1.50訪問公司的DMZ區域的Web服務器

工程師沃利大爺根據項目實施文檔完成全部設備的配置後，發現以下問題：

問題一：沃利大爺發現，內網客戶端PC1和PC2不能和DMZ服務器通訊，他經過tracert命令發現數據包到第五跳192.168.80.2以後就丟包。

緣由分析：PC1和PC2不能與DMZ區域的服務器進行訪問，是由於R4上引入路由時出現了問題，經過「display current-configuration（dis cu）」命令咱們發現，rip中並無引入bgp路由。防火牆上經過「display ip routing-table（dis ip rou）」命令，發現沒有內網區域的各個路由段。

以上足以證實「PC1和PC2不能與DMZ區域的服務器進行訪問是由於R4上引入路由時出現了問題」是正確的。

解決方案：在R4的rip路由中引入bgp路由，使得內網兩臺客戶端可以訪問DMZ區域的服務器

[R4]rip 1      #進入rip模式

[R4-rip-1]import-route bgp permit-ibgp     #將rip引入bgp，使用容許內部邊界網關協議（IBGP）路由

 

咱們發現，在rip路由中引入了bgp路由以後，FW上學到了內網區域的網段，且兩客戶端已經能夠和DMZ區域的服務器進行通信，此問題得以解決。

問題二：沃利大爺發現內網客戶端PC1和PC2不能上網（即內網客戶端PC1和PC2不能訪問互聯網服務器Serv3），他又經過tracert命令發現數據包仍然到第五跳192.168.80.2以後就丟包。

緣由分析：

1. 經過Wireshark抓R5的G0/0/0口發現其ICMP只有請求報文，但沒有迴應報文，同時源地址也沒有作地址轉換。

3. 在防火牆上發現NAT地址轉換的配置出現問題，這也是致使源地址不進行地址轉換的緣由.

nat-policy

 rule name natpolicy   #給安全策略命名爲「natpolicy」

  source-zone trust     #源區域爲trust

  destination-address 202.96.1.0 24 #目標區域爲「202.96.1.0/24」網段，因爲此致使源地址不能進行轉換

  action nat easy-ip    #使用的轉換方式是easy-ip

解決方案：

1.      在R5上宣告一條默認路由便可。

[R5]ip route-static 0.0.0.0 0.0.0.0 202.96.1.10

2.      調整NAT地址轉換的目標區域

nat-policy

 rule name natpolicy   #給安全策略命名爲「natpolicy」

  source-zone trust     #源區域爲trust

  destination-zone untrust        #目標區域原爲一個網段，如今已經變成了untrust區域

  action nat easy-ip    #使用的轉換方式是easy-ip

 

宣告完默認路由以後，咱們發現PC1和PC2都可上網（即內網客戶端PC1和PC2能夠訪問互聯網服務器Serv3），並且進行了地址轉換

問題三：沃利大爺發現互聯網（PC3）不能訪問公司內部DMZ區域的服務器

緣由分析：

1. 嘗試啓動服務器

2. 再次嘗試鏈接，發現仍然有以前的錯誤，由此判斷是FW的安全策略出現了問題。從防火牆的配置上咱們能夠看出，防火牆FW上配置了NAT的靜態映射（NAT Server），但沒有配置安全策略，致使其不能訪問內網DMZ區域的服務器

解決方案：對FW的untrust區域至dmz區域進行安全策略的配置（因爲該行爲屬於從低到高，所以要配置安全策略）

[FW]security-policy

[FW-policy-security]rule name untrust_dmz           #給安全策略命名爲「untrust_dmz」

[FW-policy-security-rule-untrust_dmz]source-zone untrust        #源區域爲untrust

[FW-policy-security-rule-untrust_dmz]destination-zone dmz      #目標區域爲dmz

[FW-policy-security-rule-untrust_dmz]service http               #容許經過的服務類型爲htpp

[FW-policy-security-rule-untrust_dmz]action permit            #動做爲容許

[FW-policy-security-rule-untrust_dmz]q

[FW-policy-security]q

 

此時咱們經過「display current-configuration（dis cu）」命令能夠得知FW上的安全策略已生效，且PC3也已經能夠訪問公司內部的DMZ服務器同時進行了地址轉換

至此，沃利大爺發現的全部問題所有解決，公司提出的要求也所有知足。