组网需求

如下图所示,某企业在网络鸿沟处布置了NGFW作为安全网关,并别离从运营商ISP1和ISP2处购买了宽带上网服务,完结内部网络接入Internet的需求。

详细需求如下:

  1. 研发部分和商场部分中的PC能够通过运营商ISP1和ISP2拜访Internet,要求去往特定意图地址的流量有必要经由相应的运营商来转发。
  2. 当一条链路呈现毛病时,流量能够被及时切换到另一条链路上,防止事务中止。

装备思路

  1. 装备接口的地址,并将接口参加相应的安全区域。在装备接口GigabitEthernet 1/0/1和GigabitEthernet 1/0/7的地址时,别离指定默许网关为1.1.1.254和2.2.2.254。
  2. 装备多条静态路由,使去往特定意图地址的流量经由相应的运营商来转发。
  3. 装备安全战略,答应内部网络中的PC拜访Internet。
  4. 装备NAT战略,供给源地址转化功用。
  5. 在运营商ISP1和ISP2网络的设备上装备回程路由,该装备由运营商完结,本举例中不作介绍。
  6. 规划内部网络中PC的地址,并将内部网络中PC的网关设置为10.3.0.1、DNS服务器地址设置为9.9.9.9和11.11.11.11,该装备由网络管理员完结,本举例中不作介绍。

操作过程

1、装备接口IP地址和安全区域,完结网络基本参数装备。

# 装备接口GigabitEthernet 1/0/1的IP地址。

 system-view
[NGFW] interface GigabitEthernet 1/0/1
[NGFW-GigabitEthernet1/0/1] ip address 1.1.1.1 24
[NGFW-GigabitEthernet1/0/1] quit

# 将接口GigabitEthernet 1/0/1参加isp1区域。

[NGFW] firewall zone name isp1
[NGFW-zone-isp1] set priority 10
[NGFW-zone-isp1] add interface GigabitEthernet 1/0/1
[NGFW-zone-isp1] quit

# 装备接口GigabitEthernet 1/0/7的IP地址。

[NGFW] interface GigabitEthernet 1/0/7
[NGFW-GigabitEthernet1/0/7] ip address 2.2.2.2 24
[NGFW-GigabitEthernet1/0/7] quit

# 将接口GigabitEthernet 1/0/7参加isp2区域。

[NGFW] firewall zone name isp2
[NGFW-zone-isp2] set priority 20
[NGFW-zone-isp2] add interface GigabitEthernet 1/0/7
[NGFW-zone-isp2] quit

# 装备接口GigabitEthernet 1/0/3的IP地址。

[NGFW] interface GigabitEthernet 1/0/3
[NGFW-GigabitEthernet1/0/3] ip address 10.3.0.1 24
[NGFW-GigabitEthernet1/0/3] quit

# 将接口GigabitEthernet 1/0/3参加trust区域。

[NGFW] firewall zone trust
[NGFW-zone-trust] add interface GigabitEthernet 1/0/3
[NGFW-zone-trust] quit

2、装备静态路由。

[NGFW] ip route-static 0.0.0.0 0.0.0.0 GigabitEthernet1/0/1 1.1.1.254
[NGFW] ip route-static 0.0.0.0 0.0.0.0 GigabitEthernet1/0/7 2.2.2.254

3、装备安全战略,答应内部网络中的PC拜访Internet。

[NGFW] security-policy
[NGFW-policy-security] rule name policy_sec_1
[NGFW-policy-security-rule-policy_sec_1] source-zone trust
[NGFW-policy-security-rule-policy_sec_1] destination-zone isp1
[NGFW-policy-security-rule-policy_sec_1] source-address 10.3.0.0 24
[NGFW-policy-security-rule-policy_sec_1] action permit
[NGFW-policy-security-rule-policy_sec_1] quit
[NGFW-policy-security] rule name policy_sec_2
[NGFW-policy-security-rule-policy_sec_2] source-zone trust
[NGFW-policy-security-rule-policy_sec_2] destination-zone isp2
[NGFW-policy-security-rule-policy_sec_2] source-address 10.3.0.0 24
[NGFW-policy-security-rule-policy_sec_2] action permit
[NGFW-policy-security-rule-policy_sec_2] quit
[NGFW-policy-security] quit

4、装备NAT战略,当内部网络中的PC通过ISP1拜访Internet时进行地址转化。

# 装备地址池。

[NGFW] nat address-group address_1
[NGFW-address-group-address_1] section 0 1.1.1.20 1.1.1.22
[NGFW-address-group-address_1] quit

# 装备NAT战略。

[NGFW] nat-policy
[NGFW-policy-nat] rule name policy_nat_1
[NGFW-policy-nat-rule-policy_nat_1] source-zone trust
[NGFW-policy-nat-rule-policy_nat_1] destination-zone isp1
[NGFW-policy-nat-rule-policy_nat_1] source-address 10.3.0.0 24
[NGFW-policy-nat-rule-policy_nat_1] action nat address-group address_1
[NGFW-policy-nat-rule-policy_nat_1] quit
[NGFW-policy-nat] quit

5、装备NAT战略,当内部网络中的PC通过ISP2拜访Internet时进行地址转化。

# 装备地址池。

[NGFW] nat address-group address_2
[NGFW-address-group-address_2] section 0 2.2.2.10 2.2.2.12
[NGFW-address-group-address_2] quit

# 装备NAT战略。

[NGFW] nat-policy
[NGFW-policy-nat] rule name policy_nat_2
[NGFW-policy-nat-rule-policy_nat_2] source-zone trust
[NGFW-policy-nat-rule-policy_nat_2] destination-zone isp2
[NGFW-policy-nat-rule-policy_nat_2] source-address 10.3.0.0 24
[NGFW-policy-nat-rule-policy_nat_2] action nat address-group address_2
[NGFW-policy-nat-rule-policy_nat_2] quit
[NGFW-policy-nat] quit

文章标签:本文暂时没有添加标签。

版权声明:本文除特别说明外均由原创

本文链接:http://www.festmih.net/post/2824.html,尊重共享,欢迎转载,请自觉添加本文链接,谢谢!

推荐阅读