H3CNE-Security 前置环境搭建

全国首发独家基于 HCL 版 H3CNE-Security 实验。全原创，完整包含 H3CNE-Security 全部章节内容。98% 实验效果可观察，可验证。

网络安全的相关实验涉及大量使用浏览器基于 Web 访问，以及安装专门客户端软件。HCL 模拟器目前尚不提供完整模拟 PC 的功能，所以需要通过虚拟网卡桥接虚拟机来完成相关实验。在正式实验操作前，请务必按照本篇方法搭建前置实验环境。

前置实验环境搭建步骤

1. 部署虚拟网络。

   步骤 1：打开 VirtualBox，点击 管理 - 主机网络管理器。

   
   图 1-1

   步骤 2：默认存在虚拟网卡，IP 地址默认是 192.168.56.1/24。点击 创建，新建 5 块虚拟网卡。并按照图示配置每块虚拟网卡的 IP 地址。

   其中默认的虚拟网卡和 3 号虚拟网卡用于连接内网 PC 虚拟机，2 号网卡用于连接内网各服务器的虚拟机，4 号和 5 号网卡用于模拟连接公网，6 号网卡用于连接防火墙管理口进行 Web 控制台登录。上述虚拟网卡将会在后续实验中分别用到。

   
   图 1-2

   步骤 3：打开 VMWare Workstation，点击 编辑 - 虚拟网络编辑器，配置 VMWare 虚拟网络（也可省略此步骤，直接使用 VirtralBox 虚拟机。但考虑到 VMWare 更常用，这里将两个虚拟机软件的网络进行桥接关联）。打开后需要点击 更改设置 按钮来解锁设置。

   
   图 1-3
   
   图 1-4

   步骤 4：按照图示，将 VMnet0 网络设置为桥接模式，连接到本机真实网卡（尽量连接本机有线网卡，本实验中连接的是本机无线网卡。由于 HCL 对桥接无线网卡存在转发 BUG，后面不得不采取在虚拟机上搭建路由的方法来实现 HCL 连通公网）。再分别创建 VMnet11 - VMnet16 虚拟网卡，按照顺序桥接到前面在 VirtualBox 创建的虚拟网卡。

   
   图 1-5

2. 安装部署虚拟机。

   步骤 1：分别安装 Windows 7 虚拟机两台，Windows Server 2008 一台，Windows Server 2016 一台，Windows Server 2003 一台，以便后续实验中使用。各虚拟机用途如下表。

   虚拟机	数量	用途	备注
   Windows7	2	内网用户 PC	也可使用其他版本 Windows 虚拟机代替
   Windows Server 2008	1	Web 服务器	也可使用其他系统虚拟机代替
   Windows Server 2016	1	域控制器	也可使用其他版本 Windows Server 虚拟机代替
   Windows Server 2003	1	路由服务器，连通公网	也可使用其他版本 Windows Server 虚拟机代替

   步骤 2：分别配置虚拟机网卡模式和 IP 地址，各虚拟机网卡模式及 IP 地址如下表。

   虚拟机	网卡名	网卡模式	连接虚拟网络	IP 地址	网关
   Windows7-1	本地连接	自定义	VMnet11	192.168.101.1/24	192.168.101.254
   Windows7-2	本地连接	自定义	VMnet13	192.168.103.1/24	192.168.103.254
   Windows Server 2008	本地连接	自定义	VMnet12	192.168.102.1/24	192.168.102.254
   Windows Server 2016	本地连接	自定义	VMnet12	192.168.102.10/24	192.168.102.254
   Windows Server 2003	本地连接	自定义	VMnet0	与真机同一网段	无
   Windows Server 2003	本地连接2	自定义	VMnet14	100.1.1.1/24	无
   Windows Server 2003	本地连接3	自定义	VMnet15	200.2.2.1/24	无

   这里只展示 Windows Server 2003 的网卡配置截图。Windows Server 2003 需要模拟路由器来实现 HCL 连通公网。除了默认的网卡外，还需添加两块网卡。默认网卡连接真机无线网卡，两块新网卡分别连接后续实验中的总部和分公司公网。

   
   图 1-6
   
   图 1-7

3. 配置 Windows Server 2003 为路由器，实现 HCL 连通公网。

   步骤 1：点击开始菜单，点击 管理工具 - 路由和远程访问。

   
   图 1-8

   步骤 2：打开路由和远程访问管理器后，右键点击本服务器名，点击 配置并启用路由和远程访问。

   
   图 1-9

   步骤 3：点击下一步后，选择自定义配置，然后钩选 NAT 和基本防火墙 和 LAN 路由。再点击下一步后，完成。

   
   图 1-10

   步骤 4：开启服务后，点击 NAT/基本防火墙，在右边空白处点击右键后点击 新增接口。

   
   图 1-10

   步骤 5：选择 本地连接 （桥接到真机无线网卡的本机网卡），

   
   图 1-11

   步骤 6：接口类型选择为公网接口连接到 Internet，并钩选 在此接口上启用 NAT。然后点击确定。

   
   图 1-12

   步骤 7：按照下表配置 Windows Server 2003 三块网卡的 IP 地址等参数。

   网卡名	IP 地址	网关
   本地连接	与真机无线网卡同一网段，或 DHCP 自动获得	与真机无线网卡相同网关
   本地连接2	100.1.1.1/24	无
   本地连接3	200.2.2.1/24	无

   后续实验需要连通公网时，都会按照本地址进行配置。当进行需要访问公网实验时，该虚拟机都需要保持开启。

效果测试

1. 按照图示搭建实验拓扑。

   
   图 1-13

2. 按照下表为 Win7-1、Win7-2、Win2008 三台虚拟机配置 IP 地址。Windows Server 2003 的虚拟机需要保持开启，并按照上述步骤配置好 IP 地址。

   虚拟机	IP 地址	网关	DNS
   Win7-1	192.168.101.1/24	192.168.101.254	114.114.114.114
   Win7-2	192.168.103.1/24	192.168.103.254	114.114.114.114
   Win2008	192.168.102.1/24	192.168.102.254	114.114.114.114

3. 配置 R1 和 R2 的 IP 地址。

   [R1]interface g0/0
   [R1-GigabitEthernet0/0]ip address 100.1.1.2 24
   [R1]interface g0/1
   [R1-GigabitEthernet0/1]ip address 192.168.101.254 24
   [R1]interface g0/2
   [R1-GigabitEthernet0/2]ip address 192.168.102.254 24
   [R1]interface g5/0
   [R1-GigabitEthernet5/0]ip address 192.168.103.254 24
   [R1]interface g5/1
   [R1-GigabitEthernet5/1]ip address 192.168.56.2 24
   

   [R2]interface g0/0
   [R2-GigabitEthernet0/0]ip address 200.2.2.2 24
   

4. 在 R1 和 R2 上配置缺省路由，下一跳指向 Windows Server 2003 虚拟机上各自网段的地址。

   [R1]ip route-static 0.0.0.0 0 100.1.1.1
   

   [R2]ip route-static 0.0.0.0 0 200.2.2.1
   

5. 在 R1 上配置 NAT。

   [R1]acl basic 2000
   [R1-acl-ipv4-basic-2000]rule permit source 192.168.0.0 0.0.255.255
   [R1]interface g0/0
   [R1-GigabitEthernet0/0]nat outbound 2000
   

6. 分别在 Win7-1、Win7-2、Win2008 三台虚拟机上测试，可以正常上网。

   
   图 1-14
   
   图 1-15
   
   图 1-16

7. 在真机上测试可以 Ping 通 192.168.56.2。在 R1 和 R2 上测试可以互相 Ping 通双方公网口地址。命令略。