华为ENSP排障相关

老爹公司因业务扩大，须要对网络进行升级改造，工程师规划的部分拓扑图以下：

公司但愿实现如下功能：

1. 生产部（PC1）和品质部（PC2）能够访问DMZ区域的Web服务器（ping）

2. 生产部（PC1）和品质部（PC2）能够访问互联网上的服务器Serv3（ping）

3. 互联网客户端PC3能够经过地址202.96.1.50访问公司的DMZ区域的Web服务器

工程师沃利大爷根据项目实施文档完成全部设备的配置后，发现以下问题：

问题一：沃利大爷发现，内网客户端PC1和PC2不能和DMZ服务器通讯，他经过tracert命令发现数据包到第五跳192.168.80.2以后就丢包。

缘由分析：PC1和PC2不能与DMZ区域的服务器进行访问，是由于R4上引入路由时出现了问题，经过“display current-configuration（dis cu）”命令咱们发现，rip中并无引入bgp路由。防火墙上经过“display ip routing-table（dis ip rou）”命令，发现没有内网区域的各个路由段。

以上足以证实“PC1和PC2不能与DMZ区域的服务器进行访问是由于R4上引入路由时出现了问题”是正确的。

解决方案：在R4的rip路由中引入bgp路由，使得内网两台客户端可以访问DMZ区域的服务器

[R4]rip 1      #进入rip模式

[R4-rip-1]import-route bgp permit-ibgp     #将rip引入bgp，使用容许内部边界网关协议（IBGP）路由

 

咱们发现，在rip路由中引入了bgp路由以后，FW上学到了内网区域的网段，且两客户端已经能够和DMZ区域的服务器进行通信，此问题得以解决。

问题二：沃利大爷发现内网客户端PC1和PC2不能上网（即内网客户端PC1和PC2不能访问互联网服务器Serv3），他又经过tracert命令发现数据包仍然到第五跳192.168.80.2以后就丢包。

缘由分析：

1. 经过Wireshark抓R5的G0/0/0口发现其ICMP只有请求报文，但没有回应报文，同时源地址也没有作地址转换。

3. 在防火墙上发现NAT地址转换的配置出现问题，这也是致使源地址不进行地址转换的缘由.

nat-policy

 rule name natpolicy   #给安全策略命名为“natpolicy”

  source-zone trust     #源区域为trust

  destination-address 202.96.1.0 24 #目标区域为“202.96.1.0/24”网段，因为此致使源地址不能进行转换

  action nat easy-ip    #使用的转换方式是easy-ip

解决方案：

1.      在R5上宣告一条默认路由便可。

[R5]ip route-static 0.0.0.0 0.0.0.0 202.96.1.10

2.      调整NAT地址转换的目标区域

nat-policy

 rule name natpolicy   #给安全策略命名为“natpolicy”

  source-zone trust     #源区域为trust

  destination-zone untrust        #目标区域原为一个网段，如今已经变成了untrust区域

  action nat easy-ip    #使用的转换方式是easy-ip

 

宣告完默认路由以后，咱们发现PC1和PC2都可上网（即内网客户端PC1和PC2能够访问互联网服务器Serv3），并且进行了地址转换

问题三：沃利大爷发现互联网（PC3）不能访问公司内部DMZ区域的服务器

缘由分析：

1. 尝试启动服务器

2. 再次尝试链接，发现仍然有以前的错误，由此判断是FW的安全策略出现了问题。从防火墙的配置上咱们能够看出，防火墙FW上配置了NAT的静态映射（NAT Server），但没有配置安全策略，致使其不能访问内网DMZ区域的服务器

解决方案：对FW的untrust区域至dmz区域进行安全策略的配置（因为该行为属于从低到高，所以要配置安全策略）

[FW]security-policy

[FW-policy-security]rule name untrust_dmz           #给安全策略命名为“untrust_dmz”

[FW-policy-security-rule-untrust_dmz]source-zone untrust        #源区域为untrust

[FW-policy-security-rule-untrust_dmz]destination-zone dmz      #目标区域为dmz

[FW-policy-security-rule-untrust_dmz]service http               #容许经过的服务类型为htpp

[FW-policy-security-rule-untrust_dmz]action permit            #动做为容许

[FW-policy-security-rule-untrust_dmz]q

[FW-policy-security]q

 

此时咱们经过“display current-configuration（dis cu）”命令能够得知FW上的安全策略已生效，且PC3也已经能够访问公司内部的DMZ服务器同时进行了地址转换

至此，沃利大爷发现的全部问题所有解决，公司提出的要求也所有知足。