配置NAT_Server双出口举例讲解
HCIE安全-单机双出口
单机双出口主干问题:某企业双出口部署,内网服务器应用nat技术如何让外部用户访问,内网如何利用nat技术访问外网。
回答思路为了避免环路和大量的ARP报文,配置黑洞路由(1)不同区域:nat server带zone参数,还要带no-reverse参数;为了避免环路配置黑洞路由;源NAT配置2个nat address group和2个nat policy。
(2)相同区域:nat server带no-reverse参数(3)同一IP访问内网服务器:nat server isp1或isp2;接口下配置源进源出功能,1)500R:gateway redirect-reverse next-hop 2)100R:reverse-route nexthop选路就近选路:选择离目标网络开销较小的链路进行转发1)默认路由2)明细路由智能选路:(1)策略路由:依据用户指定的策略(源安全区域、入接口、应用类型、用户等)进行转发的机制。
动作:1)指定出接口2)指定吓一跳设备3)利用智能选路4)指定虚拟系统5)不做路由策略(2)ISP选路:ISP路由也称为运营商路由,工程师需要把每个ISP网络中的地址分别写入到不同的CSV文件中,该文件也被成为ISP地址文件,然后导入到FW中,FW会批量生成到该运营商的路由。
目的地址是ISP地址中的ISP地址,下一跳是出接口上配置的网关地址。
该路由在路由表中显示的协议类型是UNR(user network route),优先级是70。
FW内嵌中国联通、联通、电信、教育网路由,可以直接导入。
(3)全局选路策略:在多出口场景下,当FW上存在多条等价路由时,全局选路策略可以为命中等价路由的流量动态的选择出接口,保证链路资源得到充分利用,提升用户的上网体验。
1)根据链路带宽负载分担(默认)2)根据链路权重负载分担3)根据链路优先级主备备份4)根据链路质量负载分担。
H3Csecpath100f 双出口配置案例
network 192.168.8.0 mask 255.255.252.0
description TO_LINK_3928P(E1/0/3)
ip address 192.168.100.2 255.255.255.252
#
local-user xxx
firewall defend ping-of-death
firewall defend tcp-flag
firewall defend arp-reverse-query
firewall defend syn-flood enable
#
interface Ethernet0/0
#
domain system
dhcp server ip-pool 2
network 192.168.0.0 mask 255.255.252.0
level 3
#
#
dvpn service enable
firewall defend udp-flood enable
firewall defend icmp-flood enable
#
nat address-group 0 61.x.x.x 61.x.x.x (电信地址)
#
radius scheme system
secpath100f 双出口配置案例
此为一学校的配置,双出口,一个为教育网,一个为电信,由于上级单位给的教育网地址较少(仅有二个),所以在此全部做了NAT出去。具体配置 如下:
dis cu
firewall defend teardrop
1台服务器做双出口NAT server的配置
1台服务器做双出口NAT server的配置服务器是现代计算机网络中扮演重要角色的设备之一,它能够提供各种网络服务和资源。
在网络环境中,为了实现双出口NAT(Network Address Translation)服务器的配置,可以采取以下步骤。
1. 准备工作在开始配置之前,需要确保以下几项准备工作已经完成:- 一台服务器:选择一台性能稳定可靠的服务器作为NAT服务器。
- 双网卡:服务器需要具备至少两个网卡,一个用于连接外部网络(WAN口),一个用于连接内部网络(LAN口)。
- 操作系统:选择适合的操作系统,如Linux或Windows Server,并安装在服务器上。
2. 连接网络将WAN口网卡连接至外部网络,如接入互联网的路由器或防火墙。
将LAN口网卡连接至内部网络,如局域网交换机或路由器。
3. 配置网络接口在操作系统中配置服务器上的两个网卡,以确保网络连接正常。
具体步骤如下:- 打开操作系统的网络配置界面。
- 对于WAN口网卡,设置其IP地址、子网掩码、网关和DNS服务器等参数,这些参数一般由互联网服务提供商(ISP)提供。
- 对于LAN口网卡,设置其IP地址、子网掩码。
- 确保双网卡的网络连接状态正常。
4. 安装NAT软件根据操作系统的类型和版本,选择并安装适合的NAT软件。
常见的NAT软件有Linux环境下的iptables、nftables,Windows环境下的Windows NAT等。
在安装过程中,根据软件提供的安装向导进行配置和设置。
5. 配置NAT规则配置NAT软件的规则,以实现双出口NAT的功能。
具体配置步骤如下:- 打开NAT软件的配置文件或控制台。
- 设置源地址转换(Source NAT)规则:将内部网络的IP地址转换为外部网络可访问的IP地址。
配置源地址转换规则时,需指定源地址和转换后的地址。
- 设置目标地址转换(Destination NAT)规则:将外部网络的请求映射到内部网络中相应的主机或服务。
华为双出口网络解决方案配置指导命令详解
好网吧好网络——华为3COM网吧网络解决方案之网关配置指导——华为三康技术有限公司Huawei-3Com Technologies Co., Ltd.版权所有侵权必究All rights reserved目录第一部分配置原则概述 (3)1需要注意的配置事项 (3)1.1配置ACL对非法报文进行过滤 (3)1.1.1进行源IP和目的IP过滤 (3)1.1.2限制ICMP报文 (5)1.1.3限制netbios协议端口 (5)1.1.4限制常见病毒使用的端口 (6)1.1.5关闭没有使用的端口 (7)1.2NAT配置注意事项 (7)1.3路由配置注意事项 (7)1.4进行IP-MAC地址绑定 (8)1.5限制P2P应用(根据实际情况可选) (8)1.5.1通过ACL限制端口 (8)1.5.2结合QOS和ACL限制端口流量 (9)1.5.3限制单机的NAT会话数 (11)1.5.4在客户机上通过软件限制 (11)2附:限制常见P2P软件端口的ACL (11)第二部分典型配置实例 (12)1单出口典型配置 (12)1.1局域网内的主机地址是私网IP地址 (12)1.2局域网内的主机地址是公网IP地址 (19)2双出口链路备份典型配置 (27)2.1两条链路都是以太网链路的情况 (27)2.2两条链路是以太网链路+PPPOE链路的情况 (36)3双出口同时实现负载分担和链路备份典型配置 (45)第一部分配置原则概述随着网络建设和应用的不断深入,网络安全问题正逐渐成为一个突出的管理问题。
AR18系列路由器通过多种手段和配置可以控制和管理网络的流量,能够有效地实施各种防攻击策略。
尤其在网吧这种复杂的网络环境中,全面合理的配置能够大大提高网络的稳定性和可靠性。
由于网吧上网人员数量多、构成复杂、流动性大,因此网络流量具有流量大、协议种类多、流量复杂等特点。
一般网吧局域网内均有一定程度主机感染病毒,同时也很容易被用来发起网络攻击,或者被他人攻击,这就对网吧中的核心设备――网关提出了较高的要求。
路由器双出口负载分担并NAT及互为备份
思科路由器双WAN口负载分担并NAT及互为备份说明:客户接入ISP1及ISP2,内部有4 个网段分别是:192.168.10.0/24192.168.20.0/2410.10.10.0/2420.20.20.20/24正常模式为192.168.10.0和10.10.10.0两个网段优先走ISP1,192.168.20.0和202.20.20.0两个网段优先走ISP2。
当IPS1线路中断时(即使R3接IPS1的接口是UP)192.168.10.0和10.10.10.0两个网段会自动转到ISP2,ISP2中断时同亦。
下面是拓扑图,及各台设备的配置文档,在GNS3上模拟测试成功。
(在网络上一直是伸手党,现在也分享下自己的经验,有不当之处还请指教,谢谢)分别在R1、R2均配置loopback 0 1.1.1.1/32为测试对象,R3为边界路由器,配置最多放在最后R1R1#sh runBuilding configuration...Current configuration : 761 bytes!version 12.4service timestamps debug datetime msecservice timestamps log datetime msecno service password-encryption!hostname R1!. boot-start-markerboot-end-marker!!no aaa new-model!!ip cefno ip domain lookup!!interface Loopback0ip address 1.1.1.1 255.255.255.255!interface FastEthernet0/0ip address 11.11.11.3 255.255.255.248duplex autospeed auto!interface FastEthernet0/1no ip addressshutdownduplex autospeed auto!ip route 11.11.11.0 255.255.255.248 11.11.11.1!no ip http serverno ip http secure-server!control-plane!gatekeepershutdown!!line con 0exec-timeout 0 0logging synchronousstopbits 1line aux 0stopbits 1line vty 0 4!. endR2R2#sh runBuilding configuration...Current configuration : 761 bytes!version 12.4service timestamps debug datetime msecservice timestamps log datetime msecno service password-encryption!hostname R2!boot-start-markerboot-end-marker!!no aaa new-model!!ip cefno ip domain lookup!!interface Loopback0ip address 1.1.1.1 255.255.255.255!interface FastEthernet0/0ip address 22.22.22.3 255.255.255.248duplex autospeed auto!interface FastEthernet0/1no ip addressshutdownduplex autospeed auto!ip route 22.22.22.0 255.255.255.248 22.22.22.1!no ip http server. no ip http secure-servercontrol-plane!gatekeepershutdown!!line con 0exec-timeout 0 0logging synchronousstopbits 1line aux 0stopbits 1line vty 0 4!endR4R4#SH RUNBuilding configuration...Current configuration : 755 bytes!version 12.4service timestamps debug datetime msecservice timestamps log datetime msecno service password-encryption!hostname R4!boot-start-markerboot-end-marker!!no aaa new-model!!ip cefno ip domain lookup!!!. !!!!!!!!!!!!!!!!!!!!interface Loopback0ip address 10.10.10.10 255.255.255.0!interface FastEthernet0/0ip address 192.168.10.10 255.255.255.0duplex autospeed auto!interface FastEthernet0/1no ip addressshutdownduplex autospeed auto!ip route 0.0.0.0 0.0.0.0 192.168.10.1!no ip http serverno ip http secure-server!!!!!!. control-plane!!!!!!gatekeepershutdown!!line con 0exec-timeout 0 0logging synchronousstopbits 1line aux 0stopbits 1line vty 0 4!!endR5R5#SH RUNBuilding configuration...Current configuration : 757 bytes!version 12.4service timestamps debug datetime msecservice timestamps log datetime msecno service password-encryption!hostname R5!boot-start-markerboot-end-marker!!no aaa new-model!!. ip cefno ip domain lookup!!!!!!!!!!!!!!!!!!!!!!!interface Loopback0ip address 20.20.20.20 255.255.255.0!interface FastEthernet0/0ip address 192.168.20.20 255.255.255.0duplex autospeed auto!interface FastEthernet0/1no ip addressshutdownduplex autospeed auto!ip route 0.0.0.0 0.0.0.0 192.168.20.254!no ip http serverno ip http secure-server!!!!!control-plane!!!!!!gatekeepershutdown!!line con 0exec-timeout 0 0logging synchronousstopbits 1line aux 0stopbits 1line vty 0 4!!endR6R6#SH RUNBuilding configuration...Current configuration : 1548 bytes!version 12.4service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption!hostname R6!boot-start-markerboot-end-marker!no aaa new-model!resource policy!memory-size iomem 5ip cef!!!!no ip domain lookup!!!!!!!!!!!!!!!!!!!!!!!interface FastEthernet0/0 no ip address shutdownduplex autospeed auto!interface FastEthernet0/1 no ip address shutdownspeed auto!interface FastEthernet1/0 switchport mode trunk!interface FastEthernet1/1!interface FastEthernet1/2!interface FastEthernet1/3!interface FastEthernet1/4 switchport access vlan 10!interface FastEthernet1/5 switchport access vlan 20!interface FastEthernet1/6!interface FastEthernet1/7!interface FastEthernet1/8!interface FastEthernet1/9!interface FastEthernet1/10!interface FastEthernet1/11!interface FastEthernet1/12!interface FastEthernet1/13!interface FastEthernet1/14!interface FastEthernet1/15!interface Vlan1no ip address!interface Vlan10ip address 192.168.10.254 255.255.255.0 !ip address 192.168.20.254 255.255.255.0!ip route 0.0.0.0 0.0.0.0 192.168.10.1ip route 10.10.10.0 255.255.255.0 192.168.10.10 ip route 20.20.20.0 255.255.255.0 192.168.20.20 !!no ip http serverno ip http secure-server!!!!!!!control-plane!!!!!!!!!!line con 0exec-timeout 0 0logging synchronousline aux 0line vty 0 4!!webvpn context Default_contextssl authenticate verify all!no inservice!!endR6#R3R3#SH RUNBuilding configuration...Current configuration : 2739 bytes!version 12.4service timestamps debug datetime msecservice timestamps log datetime msecno service password-encryption!hostname R3!boot-start-markerboot-end-marker!!no aaa new-model!!ip cefno ip domain lookup!!ip sla monitor 1type echo protocol ipIcmpEcho 11.11.11.3 source-interface FastEthernet0/0 frequency 10ip sla monitor schedule 1 life forever start-time nowip sla monitor 2type echo protocol ipIcmpEcho 22.22.22.3 source-interface FastEthernet0/1 frequency 10ip sla monitor schedule 2 life forever start-time now!!!!!!!!!!!!!!!!track 1 rtr 1 reachability!track 2 rtr 2 reachability!!!!!interface FastEthernet0/0ip address 11.11.11.1 255.255.255.248 ip nat outsideip virtual-reassemblyduplex autospeed auto!interface FastEthernet0/1ip address 22.22.22.1 255.255.255.248 ip nat outsideip virtual-reassemblyduplex autospeed auto!interface FastEthernet1/0no ip addressshutdownduplex autospeed auto!interface FastEthernet1/1no ip addressshutdownduplex autospeed auto!interface FastEthernet2/0no ip addressduplex fullinterface FastEthernet2/0.10encapsulation dot1Q 10ip address 192.168.10.1 255.255.255.0ip nat insideip virtual-reassemblyip policy route-map test!ip route 0.0.0.0 0.0.0.0 11.11.11.3ip route 0.0.0.0 0.0.0.0 22.22.22.3ip route 10.10.10.0 255.255.255.0 192.168.10.254ip route 20.20.20.0 255.255.255.0 192.168.10.254ip route 192.168.20.0 255.255.255.0 192.168.10.254!no ip http serverno ip http secure-server!ip nat inside source route-map 1 interface FastEthernet0/0 overload ip nat inside source route-map 2 interface FastEthernet0/1 overload ip nat inside source route-map 3 interface FastEthernet0/1 overload ip nat inside source route-map 4 interface FastEthernet0/0 overload !access-list 10 permit 192.168.10.0 0.0.0.255access-list 10 permit 10.10.10.0 0.0.0.255access-list 20 permit 192.168.20.0 0.0.0.255access-list 20 permit 20.20.20.0 0.0.0.255!route-map test permit 10match ip address 10set ip next-hop verify-availability 11.11.11.3 1 track 1set ip next-hop verify-availability 22.22.22.3 2 track 2!route-map test permit 20match ip address 20set ip next-hop verify-availability 22.22.22.3 1 track 2set ip next-hop verify-availability 11.11.11.3 2 track 1!route-map 1 permit 10match ip address 10match interface FastEthernet0/0!route-map 2 permit 10match ip address 20match interface FastEthernet0/1route-map 3 permit 10match ip address 10!route-map 4 permit 10match ip address 20!!!!control-plane!!!!!!gatekeepershutdown!!line con 0exec-timeout 0 0logging synchronousstopbits 1line aux 0stopbits 1line vty 0 4!!endR3#如有侵权请联系告知删除,感谢你们的配合!。
配置NAT Server双出口举例
1配置NAT Server双出口举例本例给出一个同时接入两个运营商网络的企业配置内部服务器的案例。
这个企业从每个运营商处都获取到了一个公网IP地址,为了保证所有用户的访问速度,需要让不同运营商的用户通过访问相应的运营商的IP来访问公司提供的服务,而不需要经过运营商之间的中转。
组网需求如图1所示,某公司内部网络通过SRG与两个运营商网络连接。
公司内网有一台FTP Server同时对两个运营商网络提供服务器,其真实IP是10.1.1.2。
ISP1网络中的用户可以通过1.1.1.2访问FTP Server,ISP2网络中的用户可以通过2.2.2.2访问FTP Server。
要实现这一需求,只要将两个运营商网络划入不同的安全区域,使用nat server的zone参数对不同的安全区域发布不同的公网IP即可。
图1 配置多对一的内部服务器组网图操作步骤1.创建安全区域。
2.<SRG> system-view3.[SRG] firewall zone dmz4.[SRG-zone-dmz] quit5.[SRG] firewall zone name ISP16.[SRG-zone-isp1] set priority 107.[SRG-zone-isp1] quit8.[SRG] firewall zone name ISP29.[SRG-zone-isp2] set priority 2010.[SRG-zone-isp2] quit11.配置各接口的IP地址,并将其加入安全区域。
12.[SRG] interface GigabitEthernet 0/0/213.[SRG-GigabitEthernet0/0/2] ip address 10.1.1.1 2414.[SRG-GigabitEthernet0/0/2] quit15.[SRG] interface GigabitEthernet 0/0/316.[SRG-GigabitEthernet0/0/3] ip address 1.1.1.1 2417.[SRG-GigabitEthernet0/0/3] quit18.[SRG] interface GigabitEthernet 5/0/019.[SRG-GigabitEthernet5/0/0] ip address 2.2.2.1 2420.[SRG-GigabitEthernet5/0/0] quit21.[SRG] firewall zone dmz22.[SRG-zone-dmz] add interface GigabitEthernet 0/0/223.[SRG-zone-dmz] quit24.[SRG] firewall zone ISP125.[SRG-zone-isp1] add interface GigabitEthernet 0/0/326.[SRG-zone-isp1] quit27.[SRG] firewall zone ISP228.[SRG-zone-isp2] add interface GigabitEthernet 5/0/029.[SRG-zone-isp2] quit30.配置内部服务器,对不同的安全区域发布不同的公网IP地址。
nat双出口
最近客户有一需求,新购买CISCO1841路由器,申请网通和电信双线路,都各申请到一个公网IP.想实现以下功能.1.内部用户通过NAT上网2.如果访问网通的服务器则智能选择走网通线路,电信同理3.如果网通或电信任一线路有问题,则自动切换.保障线路实时畅通解决方法:1.内部通过NAT上网.配置电信和网通两个地址池,且都进行动态聚合地址转换2.配置通往网通IP段的路由走网通的线路3.配置一条默认静态路由到电信的网关几点思考:1.如果用户访问网通的服务器,则走网通的静态路由出去.2,如果用户访问网通的服务器,但网通的线路down掉,则自动切换到"默认静态路由"通过电信的线路进行访问3.如果用户访问电信的服务器,则走"默认静态路由"通过电信的线路出去4.如果用户访问电信的服务器,但电信的线路down掉,怎么办? 这个问题没有找到解决方法对于第4个问题,我的考虑是用浮动路由实现,即再增加一条默认静态路由,此路由到网通的网关,但优先级低.但用此中方法配置后测试一直不成功,不知道是什么原因.路由器配置后,状态如下.经过测试基本达到客户要求.使用了route-map就解决了!LCGDS1841#show runBuilding configuration...Current configuration : 1788 bytes!version 12.4service timestamps debug datetime msecservice timestamps log datetime msecno service password-encryption!hostname LCGDS1841!boot-start-markerboot-end-marker!enable secret 5 $1$ROa0$w62SM5aDQSH9cKOB5xkeC.!no aaa new-model!resource policy!mmi polling-interval 60no mmi auto-configureno mmi pvcmmi snmp-timeout 180ip subnet-zeroip cef!!no ip dhcp use vrf connected!!vpdn enablevpdn ip udp ignore checksum!!vpdn-group 2!vpdn-group pppoerequest-dialinprotocol pppoe!!!!!interface FastEthernet0/0description neiwangip address 192.168.1.1 255.255.255.0ip nat insideduplex autospeed 100!interface FastEthernet0/1description uplink-LCGDGSip address 10.140.191.179 255.255.255.192ip nat outsideduplex autospeed 100!interface ATM0/0/0no ip addressno atm ilmi-keepalivebundle-enabledsl operating-mode autohold-queue 224 in!interface ATM0/0/0.1 point-to-pointpvc 0/100pppoe-client dial-pool-number 2!!interface Dialer1ip address negotiatedip mtu 1492ip nat outsideencapsulation pppdialer pool 2ppp authentication pap callinppp pap sent-username vphlgds@lcgd password 0 125558!ip classlessip route 0.0.0.0 0.0.0.0 FastEthernet0/1ip route 0.0.0.0 0.0.0.0 Dialer1 200!no ip http serverip nat inside source route-map nat1 interface FastEthernet0/1 overload ip nat inside source route-map nat2 interface Dialer1 overload!access-list 1 permit 192.168.0.0 0.0.255.255access-list 2 permit 192.168.0.0 0.0.255.255dialer-list 2 protocol ip permitroute-map nat2 permit 10match ip address 1match interface Dialer1!route-map nat1 permit 10match ip address 1match interface FastEthernet0/1!!control-plane!!line con 0line aux 0line vty 0 4login!end。
双出口链路nat配置案例(outbound)1
双出口链路nat配置案例(outbound)1防火墙双链路出口nat策略路由配置案例一、用户组网二、需求场景需求一:●10.0.0.0及30.10.0.0网段内网用户的走G0/0/0口,通过External networt a访问公网,nat转化为地址1.0.0.1 ;20.0.0.0及30.20.0.0的内网用户走G0/0/1口,通过External network b访问公网,nat转化为地址2.0.0.1。
●防火墙出口到External networt a或External network b任意链路故障后,所有内网用户转化为同一出口地址访问公网。
●G5/0/0启子接口,下行30.10.0.0和30.20.0.0网段,网关配置在防火墙上。
需求二:●访问公网地址,如果访问的External networt a地址走External networt a访问公网;如果访问的为External networt b地址走External networt b访问公网需求三:●内网用户均可通过External networt a或External networt b访问公网需求四:●所有网络均走External networt a访问公网,当G/0/0链路down时,内网用户通过External networt b访问公网。
三、适用产品版本●设备型号:usg●软件版本:V100R002C01SPC100四、配置步骤需求一配置步骤:1、进入系统视图< USG >sys2、配置外网接口地址#配置External network a出口地址[USG ]interface GigabitEthernet 0/0/0[USG -GigabitEthernet0/0/0]ip address 1.0.0.1 255.255.255.0 #配置External network a出口地址[USG ]interface GigabitEthernet 0/0/1[USG -GigabitEthernet0/0/1]ip address 2.0.0.1 255.255.255.03、创建vlan,并将接口加入vlan(如果加入接口为三层口,也可在接口下配置地址)#创建vlan 2和vlan 3,并加入相应接口。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
出口网关双链路接入不同运营商举例一USG作为校园或大型企业出口网关可以实现内网用户通过两个运营商访问Internet,还可以实现外网用户访问内网服务器,并保护内网不受网络攻击。
组网需求某学校网络通过USG连接到Internet,校内组网情况如下:∙校内用户主要分布在教学楼和宿舍区,通过汇聚交换机连接到USG。
图书馆内部署的两台服务器是该校主页、招生及资源共享等网站。
∙学校分别通过两个不同运营商(ISP1和ISP2)连接到Internet,两个运营商分别为该校分配了5个IP地址。
ISP1分配的IP地址是200.1.1.1~200.1.1.5,ISP2分配的IP地址是202.1.1.1~202.1.1.5,掩码均为24位。
该学校网络需要实现以下需求:∙校内用户能够通过两个运营商访问Internet,且去往不同运营商的流量由USG上连接该运营商的对应的接口转发。
∙当一条链路出现故障时,流量可以被及时切换到另一条链路上,避免网络长时间中断。
∙校内用户和校外用户都可以访问图书馆中部署的2台服务器。
∙保护内部网络不受SYN Flood、UDP Flood和ICMP Flood的攻击。
图1 出口网关双链路接入不同运营商举例一组网图项目数据说明(1)接口号:GigabitEthernet 0/0/0IP地址:10.1.1.1/16安全区域:Trust 接口(1)是连接内网汇聚交换机的接口。
校内用户分配到网段为10.1.0.0/16的私网地址和DNS 服务器地址100.1.1.1/24,部署在Trust区域。
(2)接口号:GigabitEthernet 0/0/1IP地址:192.168.1.1/24安全区域:DMZ 接口(2)是连接图书馆内服务器的接口。
图书馆区部署在DMZ区域。
(3)接口号:GigabitEthernet 0/0/2IP地址:200.1.1.1/24安全区域:ISP1安全优先级:15 接口(3)是连接ISP1的接口,去往ISP1所属网段的数据通过接口(3)转发。
项目数据说明(4)接口号:GigabitEthernet 5/0/0IP地址:202.1.1.1/24安全区域:ISP2安全优先级:20 接口(4)是连接ISP2的接口。
去往ISP2所属网段的数据通过接口(4)转发。
(5)接口号:GigabitEthernet 0/0/0IP地址:200.1.1.10/24 接口(5)是ISP1端与USG相连的接口。
(6)接口号:GigabitEthernet 0/0/0IP地址:202.1.1.10/24 接口(6)是ISP2端与USG相连的接口。
Web服务器内网IP:192.168.1.5/24转换成的ISP1的公网IP:200.1.1.4/24转换成的ISP2的公网IP:202.1.1.4/24 对于ISP1所属网段的外部用户,Web服务器的IP地址为200.1.1.4/24。
对于ISP2所属网段的外部用户,Web服务器的IP地址为202.1.1.4/24。
FTP服务器内网IP:192.168.1.10/24转换成的ISP1的公网IP:200.1.1.5/24转换成的ISP2的公网IP:202.1.1.5/24 对于ISP2所属网段的外部用户,FTP服务器的IP地址为200.1.1.5/24。
对于ISP2所属网段的外部用户,FTP服务器的IP地址为202.1.1.5/24。
ISP1分配给学校的IP地址200.1.1.1~200.1.1.5,掩码24位。
其中200.1.1.1用作USG的出接口地址,200.1.1.2和200.1.1.3用作Trust—ISP1域间的NAT地址池1的地址。
ISP2分配给学校的IP地址202.1.1.1~202.1.1.5,掩码24位。
其中202.1.1.1用作USG的出项目数据说明接口地址,202.1.1.2和202.1.1.3用作Trust—ISP2域间的NAT地址池2的地址。
配置思路∙为了实现校园网用户使用有限公网IP地址接入Internet,需要配置NAPT方式的NAT,借助端口将多个私网IP地址转换为有限的公网IP地址。
由于校园网连接两个运营商,因此需要分别进行地址转换,将私网地址转换为公网地址。
即创建两个安全区域ISP1和ISP2(安全优先级低于DMZ区域),并分别在Trust—ISP1域间、Trust—ISP2域间配置NAT策略。
∙为了实现去往不同运营商的流量由对应接口转发,需要收集ISP1和ISP2所属网段的信息,并配置到这些网段的静态路由。
使去往ISP1的流量通过连接ISP1的接口转发,去往ISP2的流量通过连接ISP2的接口转发。
为了提高链路可靠性,避免业务中断,需要配置两条缺省路由。
当报文无法匹配静态路由时,通过缺省路由发送给下一跳。
∙由于图书馆的服务器部署在内网,其IP地址为私网IP地址。
如果想对校外用户提供服务,就需要将服务器的私网IP地址转换为公网IP地址。
即分别基于ISP1、ISP2区域配置NAT Server。
∙在USG上启用攻击防范功能,保护校园网内部网络。
操作步骤1.配置USG各接口的IP地址并将接口加入安全区域。
# 配置USG各接口的IP地址。
<USG> system-view[USG] interface GigabitEthernet 0/0/0[USG-GigabitEthernet0/0/0] ip address 10.1.1.1 16[USG-GigabitEthernet0/0/0] quit[USG] interface GigabitEthernet 0/0/1[USG-GigabitEthernet0/0/1] ip address 192.168.1.1 24[USG-GigabitEthernet0/0/1] quit[USG] interface GigabitEthernet 0/0/2[USG-GigabitEthernet0/0/2] ip address 200.1.1.1 24[USG-GigabitEthernet0/0/2] quit[USG] interface GigabitEthernet 5/0/0[USG-GigabitEthernet5/0/0] ip address 202.1.1.1 24[USG-GigabitEthernet5/0/0] quit# 将GigabitEthernet 0/0/0接口加入Trust安全区域[USG] firewall zone trust[USG-zone-trust] add interface GigabitEthernet 0/0/0[USG-zone-trust] quit# 将GigabitEthernet 0/0/1接口加入DMZ安全区域[USG] firewall zone dmz[USG-zone-dmz] add interface GigabitEthernet 0/0/1[USG-zone-dmz] quit# 创建安全区域ISP1,并将GigabitEthernet 0/0/2接口加入ISP1。
[USG] firewall zone name isp1[USG-zone-isp1] set priority 15[USG-zone-isp1] add interface GigabitEthernet 0/0/2[USG-zone-isp1] quit# 创建安全区域ISP2,并将GigabitEthernet 5/0/0接口加入ISP2。
[USG] firewall zone name isp2[USG-zone-isp2] set priority 20[USG-zone-isp2] add interface GigabitEthernet 5/0/0[USG-zone-isp2] quit2.配置域间包过滤及ASPF功能,对校内外数据流进行访问控制。
# 配置Trust—ISP1的域间包过滤,允许校内用户访问ISP1。
[USG] policy interzone trust isp1 outbound[USG-policy-interzone-trust-isp1-outbound] policy 1[USG-policy-interzone-trust-isp1-outbound-1] policy source 10.1.0.00.0.255.255[USG-policy-interzone-trust-isp1-outbound-1] action permit[USG-policy-interzone-trust-isp1-outbound-1] quit[USG-policy-interzone-trust-isp1-outbound] quit# 配置Trust—ISP2的域间包过滤,允许校内用户访问ISP2。
[USG] policy interzone trust isp2 outbound[USG-policy-interzone-trust-isp2-outbound] policy 1[USG-policy-interzone-trust-isp2-outbound-1] policy source 10.1.0.00.0.255.255[USG-policy-interzone-trust-isp2-outbound-1] action permit[USG-policy-interzone-trust-isp2-outbound-1] quit[USG-policy-interzone-trust-isp2-outbound] quit# 配置ISP1—DMZ的域间包过滤,允许校外用户访问DMZ区域的服务器(注意Policy 配置目的地址为服务器的内网地址)。
[USG] policy interzone dmz isp1 inbound[USG-policy-interzone-dmz-isp1-inbound] policy 1[USG-policy-interzone-dmz-isp1-inbound-1] policy destination 192.168.1.5 0 [USG-policy-interzone-dmz-isp1-inbound-1] policy destination 192.168.1.10 0[USG-policy-interzone-dmz-isp1-inbound-1] action permit[USG-policy-interzone-dmz-isp1-inbound-1] quit[USG-policy-interzone-dmz-isp1-inbound] quit# 配置ISP2—DMZ的域间包过滤,允许校外用户访问DMZ区域的服务器(注意Policy 配置目的地址为服务器的内网地址)。