H3CNE-Security 前置环境搭建

全国首发独家基于 HCL 版 H3CNE-Security 实验。全原创，完整包含 H3CNE-Security 全部章节内容。98% 实验效果可观察，可验证。
网络安全的相关实验涉及大量使用浏览器基于 Web 访问，以及安装专门客户端软件。HCL 模拟器目前尚不提供完整模拟 PC 的功能，所以需要通过虚拟网卡桥接虚拟机来完成相关实验。在正式实验操作前，请务必按照本篇方法搭建前置实验环境。

前置实验环境搭建步骤

部署虚拟网络。
步骤 1：打开 VirtualBox，点击 管理 - 主机网络管理器。

图 1-1

步骤 2：默认存在虚拟网卡，IP 地址默认是 192.168.56.1/24。点击 创建，新建 5 块虚拟网卡。并按照图示配置每块虚拟网卡的 IP 地址。
其中默认的虚拟网卡和 3 号虚拟网卡用于连接内网 PC 虚拟机，2 号网卡用于连接内网各服务器的虚拟机，4 号和 5 号网卡用于模拟连接公网，6 号网卡用于连接防火墙管理口进行 Web 控制台登录。上述虚拟网卡将会在后续实验中分别用到。

图 1-2

步骤 3：打开 VMWare Workstation，点击 编辑 - 虚拟网络编辑器，配置 VMWare 虚拟网络（也可省略此步骤，直接使用 VirtralBox 虚拟机。但考虑到 VMWare 更常用，这里将两个虚拟机软件的网络进行桥接关联）。打开后需要点击 更改设置 按钮来解锁设置。

图 1-3

图 1-4

步骤 4：按照图示，将 VMnet0 网络设置为桥接模式，连接到本机真实网卡（尽量连接本机有线网卡，本实验中连接的是本机无线网卡。由于 HCL 对桥接无线网卡存在转发 BUG，后面不得不采取在虚拟机上搭建路由的方法来实现 HCL 连通公网）。再分别创建 VMnet11 - VMnet16 虚拟网卡，按照顺序桥接到前面在 VirtualBox 创建的虚拟网卡。

图 1-5

安装部署虚拟机。

步骤 1：分别安装 Windows 7 虚拟机两台，Windows Server 2008 一台，Windows Server 2016 一台，Windows Server 2003 一台，以便后续实验中使用。各虚拟机用途如下表。

虚拟机	数量	用途	备注
Windows7	2	内网用户 PC	也可使用其他版本 Windows 虚拟机代替
Windows Server 2008	1	Web 服务器	也可使用其他系统虚拟机代替
Windows Server 2016	1	域控制器	也可使用其他版本 Windows Server 虚拟机代替
Windows Server 2003	1	路由服务器，连通公网	也可使用其他版本 Windows Server 虚拟机代替

步骤 2：分别配置虚拟机网卡模式和 IP 地址，各虚拟机网卡模式及 IP 地址如下表。

虚拟机	网卡名	网卡模式	连接虚拟网络	IP 地址	网关
Windows7-1	本地连接	自定义	VMnet11	192.168.101.1/24	192.168.101.254
Windows7-2	本地连接	自定义	VMnet13	192.168.103.1/24	192.168.103.254
Windows Server 2008	本地连接	自定义	VMnet12	192.168.102.1/24	192.168.102.254
Windows Server 2016	本地连接	自定义	VMnet12	192.168.102.10/24	192.168.102.254
Windows Server 2003	本地连接	自定义	VMnet0	与真机同一网段	无
Windows Server 2003	本地连接2	自定义	VMnet14	100.1.1.1/24	无
Windows Server 2003	本地连接3	自定义	VMnet15	200.2.2.1/24	无

这里只展示 Windows Server 2003 的网卡配置截图。Windows Server 2003 需要模拟路由器来实现 HCL 连通公网。除了默认的网卡外，还需添加两块网卡。默认网卡连接真机无线网卡，两块新网卡分别连接后续实验中的总部和分公司公网。

图 1-6

图 1-7

配置 Windows Server 2003 为路由器，实现 HCL 连通公网。
步骤 1：点击开始菜单，点击 管理工具 - 路由和远程访问。

图 1-8

步骤 2：打开路由和远程访问管理器后，右键点击本服务器名，点击 配置并启用路由和远程访问。

图 1-9

步骤 3：点击下一步后，选择自定义配置，然后钩选 NAT 和基本防火墙 和 LAN 路由。再点击下一步后，完成。

图 1-10

步骤 4：开启服务后，点击 NAT/基本防火墙，在右边空白处点击右键后点击 新增接口。

图 1-10

步骤 5：选择 本地连接 （桥接到真机无线网卡的本机网卡），

图 1-11

步骤 6：接口类型选择为公网接口连接到 Internet，并钩选 在此接口上启用 NAT。然后点击确定。

图 1-12

步骤 7：按照下表配置 Windows Server 2003 三块网卡的 IP 地址等参数。
网卡名 IP 地址网关
本地连接与真机无线网卡同一网段，或 DHCP 自动获得与真机无线网卡相同网关
本地连接2 100.1.1.1/24 无
本地连接3 200.2.2.1/24 无
后续实验需要连通公网时，都会按照本地址进行配置。当进行需要访问公网实验时，该虚拟机都需要保持开启。

网卡名	IP 地址	网关
本地连接	与真机无线网卡同一网段，或 DHCP 自动获得	与真机无线网卡相同网关
本地连接2	100.1.1.1/24	无
本地连接3	200.2.2.1/24	无

效果测试

按照图示搭建实验拓扑。

图 1-13
按照下表为 Win7-1、Win7-2、Win2008 三台虚拟机配置 IP 地址。Windows Server 2003 的虚拟机需要保持开启，并按照上述步骤配置好 IP 地址。
虚拟机 IP 地址网关 DNS
Win7-1 192.168.101.1/24 192.168.101.254 114.114.114.114
Win7-2 192.168.103.1/24 192.168.103.254 114.114.114.114
Win2008 192.168.102.1/24 192.168.102.254 114.114.114.114

虚拟机	IP 地址	网关	DNS
Win7-1	192.168.101.1/24	192.168.101.254	114.114.114.114
Win7-2	192.168.103.1/24	192.168.103.254	114.114.114.114
Win2008	192.168.102.1/24	192.168.102.254	114.114.114.114

配置 R1 和 R2 的 IP 地址。

[R1]interface g0/0[R1-GigabitEthernet0/0]ip address 100.1.1.2 24[R1]interface g0/1[R1-GigabitEthernet0/1]ip address 192.168.101.254 24[R1]interface g0/2[R1-GigabitEthernet0/2]ip address 192.168.102.254 24[R1]interface g5/0[R1-GigabitEthernet5/0]ip address 192.168.103.254 24[R1]interface g5/1[R1-GigabitEthernet5/1]ip address 192.168.56.2 24

[R2]interface g0/0[R2-GigabitEthernet0/0]ip address 200.2.2.2 24

在 R1 和 R2 上配置缺省路由，下一跳指向 Windows Server 2003 虚拟机上各自网段的地址。
```
[R1]ip route-static 0.0.0.0 0 100.1.1.1
```
```
[R2]ip route-static 0.0.0.0 0 200.2.2.1
```

在 R1 上配置 NAT。

[R1]acl basic 2000[R1-acl-ipv4-basic-2000]rule permit source 192.168.0.0 0.0.255.255[R1]interface g0/0[R1-GigabitEthernet0/0]nat outbound 2000

分别在 Win7-1、Win7-2、Win2008 三台虚拟机上测试，可以正常上网。

图 1-14

图 1-15

图 1-16
在真机上测试可以 Ping 通 192.168.56.2。在 R1 和 R2 上测试可以互相 Ping 通双方公网口地址。命令略。