技術(shù)資料|Technical trainings

USG6000通過靜態(tài)IP接入Internet

Admin2017-02-13 14:43:20

組網(wǎng)需求

如圖1所示，某企業(yè)在網(wǎng)絡(luò)邊界處部署了NGFW作為安全網(wǎng)關(guān)，并從運營商處購買了寬帶上網(wǎng)服務(wù)，實現(xiàn)內(nèi)部網(wǎng)絡(luò)接入Internet的需求。

具體需求如下：

• 內(nèi)部網(wǎng)絡(luò)中的PC使用私網(wǎng)網(wǎng)段10.3.0.0/24實現(xiàn)互通，要求由NGFW為PC分配私網(wǎng)地址、DNS服務(wù)器地址等網(wǎng)絡(luò)參數(shù)，減少管理員手工配置的勞動量。

• 內(nèi)部網(wǎng)絡(luò)中的PC可以訪問Internet。

圖1 以太網(wǎng)鏈路接入Internet組網(wǎng)圖 

本舉例中假設(shè)某企業(yè)從運營商獲取了如下信息，這些信息僅供舉例使用，實際配置時請從當(dāng)?shù)剡\營商獲取。

配置思路

1. 配置接口的地址，并將接口加入相應(yīng)的安全區(qū)域。在配置接口GigabitEthernet 1/0/1的地址時，同時指定默認(rèn)網(wǎng)關(guān)為1.1.1.254。

2. 配置DHCP服務(wù)器功能，為內(nèi)部網(wǎng)絡(luò)中的PC分配IP地址和DNS服務(wù)器地址。

3. 配置安全策略，允許內(nèi)部網(wǎng)絡(luò)中的PC訪問Internet。

4. 配置NAT策略，提供源地址轉(zhuǎn)換功能。由于使用運營商分配的固定公網(wǎng)地址作為轉(zhuǎn)換后的地址，故采用Easy-IP方式的NAT策略，簡化配置。

5. 在運營商網(wǎng)絡(luò)的設(shè)備上配置回程路由，該配置由運營商完成，本舉例中不作介紹。

操作步驟

1. 配置接口GigabitEthernet 1/0/1。

1. 選擇“網(wǎng)絡(luò) > 接口”。

2. 單擊GE1/0/1對應(yīng)的，按如下參數(shù)配置。

   
   

   安全區(qū)域	untrust
   模式	路由
   IPv4
   連接類型	靜態(tài)IP
   IP地址	1.1.1.1/255.255.255.0
   默認(rèn)網(wǎng)關(guān)	1.1.1.254

   
   

3. 單擊“確定”。

2. 配置接口GigabitEthernet 1/0/3。

1. 選擇“網(wǎng)絡(luò) > 接口”。

2. 單擊GE1/0/3對應(yīng)的，按如下參數(shù)配置。

   
   

   安全區(qū)域	trust
   模式	路由
   IPv4
   連接類型	靜態(tài)IP
   IP地址	10.3.0.1/255.255.255.0

   
   

3. 單擊“確定”。

3. 配置DHCP服務(wù)器。

1. 選擇“網(wǎng)絡(luò) > DHCP服務(wù)器 > 服務(wù)”。

2. 單擊“新建”，按如下參數(shù)配置。

   

3. 單擊“確定”。

4. 配置安全策略，允許內(nèi)部網(wǎng)絡(luò)中的PC訪問Internet。

1. 選擇“策略 > 安全策略”。

2. 單擊“新建”，按如下參數(shù)配置。

   
   

   此處只給出了完成本舉例所需的安全策略的基本參數(shù)，具體使用時，請根據(jù)實際情況設(shè)置安全策略中的其他參數(shù)。

   

   
   

3. 單擊“確定”。

5. 配置NAT策略，當(dāng)內(nèi)部網(wǎng)絡(luò)中的PC訪問Internet時進(jìn)行地址轉(zhuǎn)換。

1. 選擇“策略 > NAT策略 > 源NAT”。

2. 在“源NAT策略列表”中單擊“新建”，按如下參數(shù)配置。

   

3. 單擊“確定”。

結(jié)果驗證

1. 檢查接口GigabitEthernet 1/0/1的狀態(tài)。

1. 選擇“網(wǎng)絡(luò) > 接口”。

2. 查看接口GigabitEthernet 1/0/1的公網(wǎng)地址配置是否正確，物理狀態(tài)和IPv4狀態(tài)是否為Up。

2. 在內(nèi)部網(wǎng)絡(luò)中的PC上通過ipconfig/all命令檢查網(wǎng)卡是否正確分配到私網(wǎng)地址和DNS地址。此處以Windows XP操作系統(tǒng)為例，其它操作系統(tǒng)請以實際顯示情況為準(zhǔn)。

   Ethernet adapter 本地連接:
   
           Connection-specific DNS Suffix  . :
           Description . . . . . . . . . . . : Intel(R) 82574L Gigabit Network Connection
           Physical Address. . . . . . . . . : 00-1B-21-B4-0B-35
           Dhcp Enabled. . . . . . . . . . . : Yes
           Autoconfiguration Enabled . . . . : Yes
           IP Address. . . . . . . . . . . . : 10.3.0.2
           Subnet Mask . . . . . . . . . . . : 255.255.255.0
           Default Gateway . . . . . . . . . : 10.3.0.1
           DHCP Server . . . . . . . . . . . : 10.3.0.1
           DNS Servers . . . . . . . . . . . : 9.9.9.9
           Lease Obtained. . . . . . . . . . : 2012年8月2日 9:38:14
           Lease Expires . . . . . . . . . . : 2012年8月13日 9:38:14

3. 檢查內(nèi)部網(wǎng)絡(luò)中的PC是否能通過域名訪問Internet，若能訪問，則表示配置成功。否則，請檢查配置。

配置腳本

#                                                                               
 sysname NGFW                                      
#                                                                               
interface GigabitEthernet1/0/1                                                  
 ip address 1.1.1.1 255.255.255.0                                               
#                                                                               
interface GigabitEthernet1/0/3                                                  
 ip address 10.3.0.1 255.255.255.0                                              
 dhcp select interface                                                          
 dhcp server ip-range 10.3.0.1 10.3.0.254
 dhcp server gateway-list 10.3.0.1                                           
 dhcp server dns-list 9.9.9.9                                             
#                                                                               
firewall zone trust                                                             
 set priority 85                                                                
 add interface GigabitEthernet1/0/3                                             
#                                                                               
firewall zone untrust                                                           
 set priority 5                                                                 
 add interface GigabitEthernet1/0/1                                             
#                                                                               
 ip route-static 0.0.0.0 0.0.0.0 GigabitEthernet1/0/1 1.1.1.254                 
#                                                                               
security-policy                                                                 
  rule name policy_sec_1                                                        
    source-zone trust                                                           
    destination-zone untrust                                                    
    source-address 10.3.0.0 24                                                  
    action permit                                                               
#                                                                               
nat-policy                                                                      
  rule name policy_nat_1                                                        
    source-zone trust                                                           
    egress-interface GigabitEthernet1/0/1                                       
    source-address 10.3.0.0 24                                                          
    action nat easy-ip                                                          
#                                                                               
return

• 上一篇： 舊版本和新版本胖AP的配置
• 下一篇： USG6000通過PPPoE接入Internet