您的位置:360文档中心› 配置NAT_Server双出口举例讲解

配置NAT_Server双出口举例讲解

相关主题
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

出口网关双链路接入不同运营商举例一

USG作为校园或大型企业出口网关可以实现内网用户通过两个运营商访问Internet,还可以实现外网用户访问内网服务器,并保护内网不受网络攻击。

组网需求

某学校网络通过USG连接到Internet,校内组网情况如下:

∙校内用户主要分布在教学楼和宿舍区,通过汇聚交换机连接到USG。图书馆内部署的两台服务器是该校主页、招生及资源共享等网站。

∙学校分别通过两个不同运营商(ISP1和ISP2)连接到Internet,两个运营商分别为该校分配了5个IP地址。ISP1分配的IP地址是200.1.1.1~200.1.1.5,ISP2分配的

IP地址是202.1.1.1~202.1.1.5,掩码均为24位。

该学校网络需要实现以下需求:

∙校内用户能够通过两个运营商访问Internet,且去往不同运营商的流量由USG上连接该运营商的对应的接口转发。

∙当一条链路出现故障时,流量可以被及时切换到另一条链路上,避免网络长时间中断。

∙校内用户和校外用户都可以访问图书馆中部署的2台服务器。

∙保护内部网络不受SYN Flood、UDP Flood和ICMP Flood的攻击。

图1 出口网关双链路接入不同运营商举例一组网图

项目数据说明

(1)接口号:GigabitEthernet 0/0/0

IP地址:10.1.1.1/16

安全区域:Trust 接口(1)是连接内网汇聚交换机的接口。

校内用户分配到网段为

10.1.0.0/16的私网地址和DNS 服务器地址100.1.1.1/24,部署在Trust区域。

(2)接口号:GigabitEthernet 0/0/1

IP地址:192.168.1.1/24

安全区域:DMZ 接口(2)是连接图书馆内服务器的接口。

图书馆区部署在DMZ区域。

(3)接口号:GigabitEthernet 0/0/2

IP地址:200.1.1.1/24

安全区域:ISP1

安全优先级:15 接口(3)是连接ISP1的接口,去往ISP1所属网段的数据通过接口(3)转发。

项目数据说明

(4)接口号:GigabitEthernet 5/0/0

IP地址:202.1.1.1/24

安全区域:ISP2

安全优先级:20 接口(4)是连接ISP2的接口。去往ISP2所属网段的数据通过接口(4)转发。

(5)接口号:GigabitEthernet 0/0/0

IP地址:200.1.1.10/24 接口(5)是ISP1端与USG相连的接口。

(6)接口号:GigabitEthernet 0/0/0

IP地址:202.1.1.10/24 接口(6)是ISP2端与USG相连的接口。

Web服务器内网IP:192.168.1.5/24

转换成的ISP1的公网IP:

200.1.1.4/24

转换成的ISP2的公网IP:

202.1.1.4/24 对于ISP1所属网段的外部用户,Web服务器的IP地址为200.1.1.4/24。

对于ISP2所属网段的外部用户,Web服务器的IP地址为202.1.1.4/24。

FTP服务器内网IP:192.168.1.10/24

转换成的ISP1的公网IP:

200.1.1.5/24

转换成的ISP2的公网IP:

202.1.1.5/24 对于ISP2所属网段的外部用户,FTP服务器的IP地址为200.1.1.5/24。

对于ISP2所属网段的外部用户,FTP服务器的IP地址为202.1.1.5/24。

ISP1分配给学校的IP地址200.1.1.1~200.1.1.5,掩码24位。其中200.1.1.1用作USG的出

接口地址,200.1.1.2和

200.1.1.3用作Trust—ISP1

域间的NAT地址池1的地址。ISP2分配给学校的IP地址202.1.1.1~202.1.1.5,掩码24位。其中202.1.1.1用作USG的出

项目数据说明

接口地址,202.1.1.2和

202.1.1.3用作Trust—ISP2

域间的NAT地址池2的地址。配置思路

∙为了实现校园网用户使用有限公网IP地址接入Internet,需要配置NAPT方式的NAT,借助端口将多个私网IP地址转换为有限的公网IP地址。

由于校园网连接两个运营商,因此需要分别进行地址转换,将私网地址转换为公网地

址。即创建两个安全区域ISP1和ISP2(安全优先级低于DMZ区域),并分别在Trust

—ISP1域间、Trust—ISP2域间配置NAT策略。

∙为了实现去往不同运营商的流量由对应接口转发,需要收集ISP1和ISP2所属网段的信息,并配置到这些网段的静态路由。使去往ISP1的流量通过连接ISP1的接口转发,

去往ISP2的流量通过连接ISP2的接口转发。

为了提高链路可靠性,避免业务中断,需要配置两条缺省路由。当报文无法匹配静态

路由时,通过缺省路由发送给下一跳。

∙由于图书馆的服务器部署在内网,其IP地址为私网IP地址。如果想对校外用户提供服务,就需要将服务器的私网IP地址转换为公网IP地址。即分别基于ISP1、ISP2区域

配置NAT Server。

∙在USG上启用攻击防范功能,保护校园网内部网络。

操作步骤

1.配置USG各接口的IP地址并将接口加入安全区域。

# 配置USG各接口的IP地址。

system-view

[USG] interface GigabitEthernet 0/0/0

[USG-GigabitEthernet0/0/0] ip address 10.1.1.1 16

[USG-GigabitEthernet0/0/0] quit

相关文档
最新文档