NEWS

在線QQ咨詢

021-62279227

在線留言

技術(shù)資料|Technical trainings

首頁 > 新聞中心 > 技術(shù)資料

USG6000通過多ISP接入Internet（基于源地址的多出口）

Admin

2017-02-15 10:58:37

組網(wǎng)需求

如圖1所示，某高校在網(wǎng)絡(luò)邊界處部署了NGFW作為安全網(wǎng)關(guān)，通過教育網(wǎng)接入Internet。同時(shí)還從運(yùn)營商處購買了寬帶上網(wǎng)服務(wù)，通過運(yùn)營商網(wǎng)絡(luò)接入Internet。

具體需求如下：

要求學(xué)生網(wǎng)絡(luò)中的PC只能通過教育網(wǎng)訪問Internet。
要求教師網(wǎng)絡(luò)中的PC只能通過運(yùn)營商網(wǎng)絡(luò)訪問Internet。

圖1 校園網(wǎng)用戶雙上行分別接入教育網(wǎng)和Internet組網(wǎng)圖

本舉例中假設(shè)某高校從教育網(wǎng)以及運(yùn)營商獲取了如下信息，這些信息僅供舉例使用，實(shí)際配置時(shí)請從當(dāng)?shù)亟逃W(wǎng)以及運(yùn)營商獲取。

項(xiàng)目	數(shù)據(jù)	說明
地址	10.1.1.1/24	教育網(wǎng)分配給高校的私網(wǎng)地址。
地址	1.1.1.1/24	運(yùn)營商分配給高校的公網(wǎng)地址。
默認(rèn)網(wǎng)關(guān)	10.1.1.254	教育網(wǎng)提供的網(wǎng)關(guān)地址。
默認(rèn)網(wǎng)關(guān)	1.1.1.254	運(yùn)營商提供的網(wǎng)關(guān)地址。
DNS服務(wù)器地址	10.1.1.254	教育網(wǎng)提供的DNS服務(wù)器地址。
DNS服務(wù)器地址	9.9.9.9	運(yùn)營商提供的DNS服務(wù)器地址。

配置思路

配置接口的地址，并將接口加入相應(yīng)的安全區(qū)域。
配置策略路由，使學(xué)生網(wǎng)絡(luò)中的PC通過接口GigabitEthernet 1/0/7經(jīng)由教育網(wǎng)訪問Internet，使教師網(wǎng)絡(luò)中的PC通過接口GigabitEthernet 1/0/1直接訪問Internet。
配置安全策略，允許學(xué)生網(wǎng)絡(luò)和教師網(wǎng)絡(luò)中的PC訪問Internet。
配置NAT策略，提供源地址轉(zhuǎn)換功能。
在教育網(wǎng)和運(yùn)營商網(wǎng)絡(luò)的設(shè)備上配置回程路由，該配置由教育網(wǎng)以及運(yùn)營商完成，本舉例中不作介紹。
規(guī)劃學(xué)生網(wǎng)絡(luò)和教師網(wǎng)絡(luò)中PC的地址，并將學(xué)生網(wǎng)絡(luò)中PC的網(wǎng)關(guān)設(shè)置為10.3.0.1、DNS服務(wù)器地址設(shè)置為10.1.1.254，將教師網(wǎng)絡(luò)中PC的網(wǎng)關(guān)設(shè)置為10.3.1.1、DNS服務(wù)器設(shè)置為9.9.9.9，該配置由網(wǎng)絡(luò)管理員完成，本舉例中不作介紹。

操作步驟

配置接口GigabitEthernet 1/0/1。

選擇“網(wǎng)絡(luò) > 安全區(qū)域”。
單擊“新建”，按如下參數(shù)配置。

安全區(qū)域名稱
untrust1
優(yōu)先級
10
單擊“確定”。
選擇“網(wǎng)絡(luò) > 接口”。
單擊GE1/0/1對應(yīng)的，按如下參數(shù)配置。

安全區(qū)域
untrust1
模式
路由
IPv4
連接類型
靜態(tài)IP
IP地址
1.1.1.1/255.255.255.0
單擊“確定”。

配置接口GigabitEthernet 1/0/7。

安全區(qū)域名稱	untrust1
優(yōu)先級	10

安全區(qū)域	untrust1
模式	路由
IPv4
連接類型	靜態(tài)IP
IP地址	1.1.1.1/255.255.255.0

選擇“網(wǎng)絡(luò) > 接口”。
單擊GE1/0/7對應(yīng)的，按如下參數(shù)配置。

安全區(qū)域
untrust
模式
路由
IPv4
連接類型
靜態(tài)IP
IP地址
10.1.1.1/255.255.255.0
單擊“確定”。

配置接口GigabitEthernet 1/0/3。

安全區(qū)域	untrust
模式	路由
IPv4
連接類型	靜態(tài)IP
IP地址	10.1.1.1/255.255.255.0

選擇“網(wǎng)絡(luò) > 接口”。
單擊GE1/0/3對應(yīng)的，按如下參數(shù)配置。

安全區(qū)域
trust
模式
路由
IPv4
連接類型
靜態(tài)IP
IP地址
10.3.0.1/255.255.255.0
單擊“確定”。

配置接口GigabitEthernet 1/0/4。

安全區(qū)域	trust
模式	路由
IPv4
連接類型	靜態(tài)IP
IP地址	10.3.0.1/255.255.255.0

選擇“網(wǎng)絡(luò) > 接口”。
單擊GE1/0/4對應(yīng)的，按如下參數(shù)配置。

安全區(qū)域
trust
模式
路由
IPv4
連接類型
靜態(tài)IP
IP地址
10.3.1.1/255.255.255.0
單擊“確定”。

配置策略路由。

安全區(qū)域	trust
模式	路由
IPv4
連接類型	靜態(tài)IP
IP地址	10.3.1.1/255.255.255.0

選擇“策略 > 策略路由”。
單擊“新建”，按如下參數(shù)配置。

此處只給出了完成本舉例所需的策略路由的基本參數(shù)，具體使用時(shí)，請根據(jù)實(shí)際情況設(shè)置策略路由中的其他參數(shù)。
單擊“確定”。
單擊“新建”，按如下參數(shù)配置。

此處只給出了完成本舉例所需的策略路由的基本參數(shù)，具體使用時(shí)，請根據(jù)實(shí)際情況設(shè)置策略路由中的其他參數(shù)。
單擊“確定”。

配置安全策略，允許學(xué)生網(wǎng)絡(luò)和教師網(wǎng)絡(luò)中的PC訪問Internet。

選擇“策略 > 安全策略”。
單擊“新建”，按如下參數(shù)配置。

此處只給出了完成本舉例所需的安全策略的基本參數(shù)，具體使用時(shí)，請根據(jù)實(shí)際情況設(shè)置安全策略中的其他參數(shù)。
單擊“確定”。
單擊“新建”，按如下參數(shù)配置。

此處只給出了完成本舉例所需的安全策略的基本參數(shù)，具體使用時(shí)，請根據(jù)實(shí)際情況設(shè)置安全策略中的其他參數(shù)。
單擊“確定”。

配置NAT策略，當(dāng)學(xué)生網(wǎng)絡(luò)和教師網(wǎng)絡(luò)中的PC訪問Internet時(shí)進(jìn)行地址轉(zhuǎn)換。

選擇“策略 > NAT策略 > 源NAT”。
在“NAT地址池列表”中單擊“新建”，按如下參數(shù)配置。

名稱
address_1
IP地址范圍
10.1.1.1-10.1.1.1
單擊“確定”。
在“NAT地址池列表”中單擊“新建”，按如下參數(shù)配置。

名稱
address_2
IP地址范圍
1.1.1.1-1.1.1.1
單擊“確定”。
在“源NAT策略列表”中單擊“新建”，按如下參數(shù)配置。
單擊“確定”。
在“源NAT策略列表”中單擊“新建”，按如下參數(shù)配置。
單擊“確定”。

名稱	address_1
IP地址范圍	10.1.1.1-10.1.1.1

名稱	address_2
IP地址范圍	1.1.1.1-1.1.1.1

結(jié)果驗(yàn)證

檢查接口GigabitEthernet 1/0/1的狀態(tài)。

選擇“網(wǎng)絡(luò) > 接口”。
查看接口GigabitEthernet 1/0/1的公網(wǎng)地址配置是否正確，物理狀態(tài)和IPv4狀態(tài)是否為Up。

檢查接口GigabitEthernet 1/0/7的狀態(tài)。

選擇“網(wǎng)絡(luò) > 接口”。
查看接口GigabitEthernet 1/0/7的公網(wǎng)地址配置是否正確，物理狀態(tài)和IPv4狀態(tài)是否為Up。

檢查接口GigabitEthernet 1/0/3的狀態(tài)。

選擇“網(wǎng)絡(luò) > 接口”。
查看接口GigabitEthernet 1/0/3的私網(wǎng)地址配置是否正確，物理狀態(tài)和IPv4狀態(tài)是否為Up。

檢查接口GigabitEthernet 1/0/4的狀態(tài)。

選擇“網(wǎng)絡(luò) > 接口”。
查看接口GigabitEthernet 1/0/4的私網(wǎng)地址配置是否正確，物理狀態(tài)和IPv4狀態(tài)是否為Up。

檢查學(xué)生網(wǎng)絡(luò)和教師網(wǎng)絡(luò)中的PC是否能通過域名訪問Internet，若能訪問，則表示配置成功。否則，請檢查配置。

配置腳本

#                                                                               
 sysname NGFW                                      
#                                                                               
interface GigabitEthernet1/0/1                                                  
 ip address 1.1.1.1 255.255.255.0                                               
#                                                                               
interface GigabitEthernet1/0/3                                                  
 ip address 10.3.0.1 255.255.255.0                                              
#                                                                               
interface GigabitEthernet1/0/4                                                  
 ip address 10.3.1.1 255.255.255.0                                              
#                                                                               
interface GigabitEthernet1/0/7                                                  
 ip address 10.1.1.1 255.255.255.0                                              
#                                                                               
firewall zone trust                                                             
 set priority 85                                                                
 add interface GigabitEthernet1/0/3                                             
 add interface GigabitEthernet1/0/4
#                                                                               
firewall zone untrust                                                           
 set priority 5                                                                 
 add interface GigabitEthernet1/0/7                                             
#                                                                               
firewall zone untrust1                                                           
 set priority 10                                                                 
 add interface GigabitEthernet1/0/1                                             
#                                                                               
 nat address-group address_1                                                    
 section 0 10.1.1.1 10.1.1.1                                                      
 nat address-group address_2                                                    
 section 0 1.1.1.1 1.1.1.1                                                        
#                                                                               
security-policy                                                                 
  rule name policy_sec_1                                                        
    source-zone trust                                                           
    destination-zone untrust                                                    
    source-address 10.3.0.0 24                                                  
    action permit                                                               
  rule name policy_sec_2                                                        
    source-zone trust                                                           
    destination-zone untrust1                                                   
    source-address 10.3.1.0 24                                                  
    action permit                                                               
#                                                                               
policy-based-route                                                              
  rule name policy_route_1                                                      
    ingress-interface GigabitEthernet1/0/3                                      
    source-address 10.3.0.0 24                                                  
    action pbr egress-interface GigabitEthernet1/0/7                            
  rule name policy_route_2                                                      
    ingress-interface GigabitEthernet1/0/4                                      
    source-address 10.3.1.0 24                                                  
    action pbr egress-interface GigabitEthernet1/0/1                            
#                                                                                
nat-policy                                                                      
  rule name policy_nat_1                                                        
    source-zone trust                                                           
    destination-zone untrust                                                    
    source-address 10.3.0.0 24                                                  
    action nat address-group address_1                                          
  rule name policy_nat_2                                                        
    source-zone trust                                                           
    destination-zone untrust1                                                   
    source-address 10.3.1.0 24                                                  
    action nat address-group address_2                                          
#                                                                                
return

上一篇：網(wǎng)絡(luò)監(jiān)控安裝的要求與方法
下一篇：如何配置SNMP

上海普用電子科技有限公司

NEWS

技術(shù)資料|Technical trainings

USG6000通過多ISP接入Internet（基于源地址的多出口）

組網(wǎng)需求

配置思路

操作步驟

結(jié)果驗(yàn)證

配置腳本

相關(guān)動(dòng)態(tài)

友情鏈接

產(chǎn)品系列

聯(lián)系我們