1、项目一
  目标
    实现 client1 可以访问 server1 的http (NAT)
    实现 server1 可以ping通 server2  (服务器映射)
  环境:
    FW:
      client1:  IP: 192.168.1.1/24  GW: 192.168.1.254/24  G1/0/1
      server2:  IP: 192.168.3.1/24  GW: 192.168.3.254/24  G1/0/3
      G1/0/2 :  IP: 192.168.200.1/30
    ISP:
      server1:  IP: 200.1.1.1/24    GW: 200.1.1.254/24    G0/0/1
      G0/0/0 :  IP: 192.168.200.2/30
      ISP(G0/0/0) <==> FW(G1/0/2)
  配置
    路由(ISP)
      [Huawei]int g0/0/1
      [Huawei-GigabitEthernet0/0/1]ip   add   200.1.1.254 24
      [Huawei-GigabitEthernet0/0/1]int   g0/0/0
      [Huawei-GigabitEthernet0/0/0]ip   add   192.168.200.2 30
      [Huawei-GigabitEthernet0/0/0]q
      #增加静态路由访问 200.8.8.0/29
      [Huawei]ip route-static  200.8.8.0  29  192.168.200.1      
      #防火墙 后台密码 Admin@123, 网页 admin  Abc123456(Admin@123)
    FW
      G1/0/1 : 区域 TRUST   IP: 192.168.1.254/24 访问管理: ping
      G1/0/2 : 区域 UNTRUST IP: 192.168.200.1/30 访问管理: ping
      G1/0/3 : 区域 DMZ     IP: 192.168.3.254/24 访问管理: ping
  配置 NAT ，client1 可以访问 server1 http
      安全策略--新建--名称 out--区域'TRUST-->UNTRUST'--其他都是 'any'(时间段)
      (NAT)策略--新建--名称--PAT--源区域'TRUST'-->目标区域'UNTRUST'--转换方式(出接口地址)--其他 'any'
    防火墙添加默认路由
      网络--路由--静态路由--新建--配置下一跳192.168.200.2(其他默认)
    client1 访问 http://200.1.1.1
  配置 服务器映射 ，server1 可以ping server2
      安全策略--新建--名称 in--区域'UNTRUST-->DMZ'--其他都是 'any'(时间段)
      添加服务器映射规则--服务器映射--新建--名称 server2--安全区域'UNTRUST'--公网地址 200.8.8.1 私网地址 192.168.3.1
    在 防火墙 G1/0/2 抓包 ，在 server1 ping 200.8.8.1/2/3/4/5/6
      观察 数据包的 TTL 值 在逐渐降低直到TTL=1，出现环路
  添加黑洞路由  
      网络--路由--静态路由--新建--目标地址 200.8.8.2/32--不配下一跳--出接口(NULL0)
                            新建--目标地址 200.8.8.3/32--不配下一跳--出接口(NULL0)
                            新建--目标地址 200.8.8.4/32--不配下一跳--出接口(NULL0)
                            新建--目标地址 200.8.8.5/32--不配下一跳--出接口(NULL0)
                            新建--目标地址 200.8.8.6/32--不配下一跳--出接口(NULL0)
    再检查 wireshark 抓包数据
    #防火墙 后台密码 Admin@123, 网页 admin  Abc123456(Admin@123)
2、项目二
  目标:
    只有 pc 可以 telnet 访问防火墙(ISP 无法 telnet 防火墙)
    配置 安全和服务器策略 使 client1 访问 server1 的 web 网站
    配置 安全和 Easy-ip，使 server1 可以 ping pc
   环境:
    FW:
      server1:  IP: 192.168.1.1/24  GW: 192.168.1.254/24  G1/0/1
      G1/0/0 :  IP: 200.1.1.1/30
    ISP:
      G0/0/0 :  IP: 200.1.1.2/30
      ISP(G0/0/0) <==> FW(G1/0/0)
      G0/0/2 :  IP: 200.2.2.2/30
      G0/0/3 :  IP: 200.3.3.2/30
    PC:IP: 200.2.2.1/30
      [Huawei]sysn PC
      [PC]int g0/0/2
      [PC-GigabitEthernet0/0/2]ip add 200.2.2.2 30
      [PC]ip route-s 0.0.0.0 0.0.0.0 200.2.2.1        #增加一条默认路由 当网关使用
    client1:  IP: 200.3.3.1/30  GW: 200.3.3.2  G0/0/1
  只有 pc 可以 telnet 访问防火墙(ISP 无法 telnet 防火墙)  
    ISP 接口配置
      [Huawei]sysn ISP2220
      [ISP2220]int g0/0/0
      [ISP2220-GigabitEthernet0/0/0]ip add 200.1.1.2 30
      [ISP2220-GigabitEthernet0/0/0]int g0/0/1
      [ISP2220-GigabitEthernet0/0/1]ip add 200.3.3.2 30
      [ISP2220-GigabitEthernet0/0/1]int g0/0/2
      [ISP2220-GigabitEthernet0/0/2]ip add 200.2.2.1 30
    FW配置
      G1/0/1 : 区域 TRUST   IP: 192.168.1.254/24 访问管理: ping
      G1/0/0 : 区域 UNTRUST IP: 200.1.1.1/30     访问管理: ping telnet   
      [USG6000V1]telnet server enable           #启动 telnet 服务
      [USG6000V1]aaa
      [USG6000V1-aaa]manager-user admin
      [USG6000V1-aaa-manager-user-admin]password cipher Admin@123  #没有权限修改密码
      [USG6000V1-aaa-manager-user-admin]service-type web telnet    #可以使用的服务
      [USG6000V1-aaa-manager-user-admin]level 15   
      [USG6000V1]user-interface vty 0 4   
      [USG6000V1-ui-vty0-4]authentication-mode aaa                  #启用 aaa 认证
      [USG6000V1-ui-vty0-4]protocol inbound all        #允许所有数据将进入 telnet ssh
      [USG6000V1]ip route-static 0.0.0.0 0.0.0.0 200.1.1.2      #增加默认路由 访问pc
    测试结果，分别再 ISP 和 PC telnet 连接防火墙telnet 200.1.1.1telnet 200.1.1.1
    创建 ACl 允许 200.2.2.2 访问
      [USG6000V1]acl 2000
      [USG6000V1-acl-basic-2000]rule 5 permit source 200.2.2.2 0
    在用户接口中 关联 ACL
      [USG6000V1]user-interface vty 0 4
      [USG6000V1-ui-vty0-4]acl 2000 inbound
  配置 安全和服务器策略 使 client1 访问 server1 的 web 网站
    安全策略--新建--名称 webin--区域'UNTRUST-->TRUST'--其他都是 'any'(时间段)
    添加服务器映射规则--服务器映射--新建--名称 server2--安全区域'UNTRUST'--
        公网地址 200.1.1.1 私网地址 192.168.1.1-- tcp  80  80
    在 client1 访问  http://200.1.1.1
  配置 安全和 Easy-ip，使 server1 可以 ping pc
    安全策略--新建--名称 out--区域'TRUST-->UNTRUST'--其他都是 'any'(时间段)
    (NAT)策略--新建--名称--PAT--源区域'TRUST'-->目标区域'UNTRUST'--转换方式(出接口地址)--其他 'any'
    测试在 server1 ping 200.3.3.1,开始 wireshark 抓包，分析源 IP
3、项目三
  目标:
    使 client1 通过地址转换 ping 通 client2
    配置服务器发布 使 Client2 可以访问 Server1 的 FTP 服务
    配置服务器发布 使 Client1 可以通过公网访问 Server1 的 FTP 服务
   环境:
    FW:
      client1:  IP: 192.168.1.1/24   GW: 192.168.1.254/24  G1/0/1
      server1:  IP: 192.168.1.10/24  GW: 192.168.1.254/24  G1/0/1
      G1/0/1 :  IP: 192.168.1.254/24
      G1/0/2 :  IP: 200.1.1.254/24
    client2:    IP: 200.1.1.1/24  GW: 200.1.1.254/24  G1/0/2
  使 client1 通过地址转换 ping 通 client2
      安全策略--新建--名称 out--区域'TRUST-->UNTRUST'--其他都是 'any'(时间段)
      (NAT)策略--新建--名称--PAT--源区域'TRUST'-->目标区域'UNTRUST'--转换方式(出接口地址)--其他 'any'
  配置服务器发布 使 Client2 可以访问 Server1 的 FTP 服务
      安全策略--新建--名称 in--区域'UNTRUST-->TRUST'--其他都是 'any'(时间段)
      添加服务器映射规则--服务器映射--新建--名称 ftpout--安全区域'UNTRUST'--
      公网地址 200.1.1.10 私网地址 192.168.1.10 tcp   21   21
  配置服务器发布 使 Client1 可以通过公网访问 Server1 的 FTP 服务
      (NAT)策略--新建--名称--PAT--源区域'TRUST'-->目标区域'TRUST'--转换方式(出接口地址)--其他 'any'
      添加服务器映射规则--服务器映射--新建--名称 ftpout--安全区域'TRUST'--
      公网地址 200.1.1.10 私网地址 192.168.1.10 tcp   21   21