基础业务场景实机配置记录

实验要求

组网实验五 真机实验

需求客户现有拓扑环境如下：

1. 出口申请了主电信外网线路（为 50M 带宽）。
2. 内网有 web 服务器（linux 172.16.100.10）运行 http 服务，内外网用户通过出口设备公网地址访问 web 服务
3. windows 2012 服务器（172.16.100.20）对内提供域服务，管理员在外网通过远程桌面管理服务器。

客户需求

1. 实现内网PC能够外出通信。
2. 外网PC能够访问内网web服务和AD的RDP服务。
3. 完成需求后重置设备，注意设备重置后帐号密码为：admin/admin

AF配置过程

接口配置

服务器设备连接到eth2网口，外网客户端连接到eth3网口，配置如下：

设备	IP	连接到AF接口	角色
eth2	172.16.100.10/24	eth2	WEB
eth2	172.16.100.20/24	eth2	RDP
eth3	202.96.137.100/24	eth3	Client

防火墙路由配置

防火墙策略配置

防火墙地址转换配置

内网服务器配置

WEB服务器IP配置

[apiclo@latitude ~]$ ip address | grep eno1
3: eno1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
    inet 172.16.100.10/24 brd 172.16.100.255 scope global noprefixroute eno1
[apiclo@latitude ~]$ 

AD、RDP 服务器的IP配置

服务与连接测试

先试用本地同一内网测试服务是否正常，使用AD服务器访问WEB服务器

内网ping防火墙网关,与防火墙通信正常

[apiclo@latitude ~]$ ping 172.16.100.254
PING 172.16.100.254 (172.16.100.254) 56(84) 字节的数据。
64 字节，来自 172.16.100.254: icmp_seq=1 ttl=64 时间=0.680 毫秒
64 字节，来自 172.16.100.254: icmp_seq=2 ttl=64 时间=0.533 毫秒
64 字节，来自 172.16.100.254: icmp_seq=3 ttl=64 时间=0.633 毫秒
64 字节，来自 172.16.100.254: icmp_seq=4 ttl=64 时间=0.695 毫秒
^C
--- 172.16.100.254 ping 统计 ---
已发送 4 个包， 已接收 4 个包, 0% packet loss, time 3097ms
rtt min/avg/max/mdev = 0.533/0.635/0.695/0.063 ms
[apiclo@latitude ~]$ 

遇到的问题与解决办法

1.外网客户端Windows防火墙问题

当做最后一步内网PC上网时，内网PC对外网服务发送Ping请求时，发现AF已经放行Ping包，但内网PC无法接收到回包，经排查内网客户端、AF配置、外网Windows服务器发现，Windows防火墙阻止了所有的ICMP回包，需要关闭Windows防火墙或需要在Windows防火墙中放行ICMP。最终通过关闭Windows防火墙解决问题。

2.外网客户端访问WEB服务器

外网客户端访问WEB服务器时，发现WEB服务器返回404，经排查发现，外网客户端访问WEB服务器时，访问的是202.96.137.88，而WEB服务器配置的监听的域名不存在202.96.137.88，导致访问时出现404,出现404说明WEB服务端口是正常监听的。因此需要修改WEB服务器配置的监听地址为202.96.137.88和_通配符，修改后访问正常。

结果测试

外网客户端Ping防火墙网关

外网客户端访问WEB服务器

外网客户端访问AD服务器

内网客户端访问外网