Admin
2017-02-15 10:58:37
如图1所示,某高校在网络边界处部署了NGFW作为安全网关,通过教育网接入Internet。同时还从运营商处购买了宽带上网服务,通过运营商网络接入Internet。
具体需求如下:
要求学生网络中的PC只能通过教育网访问Internet。
要求教师网络中的PC只能通过运营商网络访问Internet。
图1 校园网用户双上行分别接入教育网和Internet组网图 
本举例中假设某高校从教育网以及运营商获取了如下信息,这些信息仅供举例使用,实际配置时请从当地教育网以及运营商获取。
| 项目 | 数据 | 说明 | |
|---|---|---|---|
地址 | 10.1.1.1/24 | 教育网分配给高校的私网地址。 | |
1.1.1.1/24 | 运营商分配给高校的公网地址。 | ||
默认网关 | 10.1.1.254 | 教育网提供的网关地址。 | |
1.1.1.254 | 运营商提供的网关地址。 | ||
DNS服务器地址 | 10.1.1.254 | 教育网提供的DNS服务器地址。 | |
9.9.9.9 | 运营商提供的DNS服务器地址。 | ||
配置接口的地址,并将接口加入相应的安全区域。
配置策略路由,使学生网络中的PC通过接口GigabitEthernet 1/0/7经由教育网访问Internet,使教师网络中的PC通过接口GigabitEthernet 1/0/1直接访问Internet。
配置安全策略,允许学生网络和教师网络中的PC访问Internet。
配置NAT策略,提供源地址转换功能。
在教育网和运营商网络的设备上配置回程路由,该配置由教育网以及运营商完成,本举例中不作介绍。
规划学生网络和教师网络中PC的地址,并将学生网络中PC的网关设置为10.3.0.1、DNS服务器地址设置为10.1.1.254,将教师网络中PC的网关设置为10.3.1.1、DNS服务器设置为9.9.9.9,该配置由网络管理员完成,本举例中不作介绍。
配置接口GigabitEthernet 1/0/1。
选择。
单击“新建”,按如下参数配置。
安全区域名称 | untrust1 |
|---|---|
优先级 | 10 |
单击“确定”。
选择。
单击GE1/0/1对应的
,按如下参数配置。
安全区域 | untrust1 |
|---|---|
模式 | 路由 |
IPv4 | |
连接类型 | 静态IP |
IP地址 | 1.1.1.1/255.255.255.0 |
单击“确定”。
配置接口GigabitEthernet 1/0/7。
选择。
单击GE1/0/7对应的,按如下参数配置。
安全区域 | untrust |
|---|---|
模式 | 路由 |
IPv4 | |
连接类型 | 静态IP |
IP地址 | 10.1.1.1/255.255.255.0 |
单击“确定”。
配置接口GigabitEthernet 1/0/3。
选择。
单击GE1/0/3对应的,按如下参数配置。
安全区域 | trust |
|---|---|
模式 | 路由 |
IPv4 | |
连接类型 | 静态IP |
IP地址 | 10.3.0.1/255.255.255.0 |
单击“确定”。
配置接口GigabitEthernet 1/0/4。
选择。
单击GE1/0/4对应的,按如下参数配置。
安全区域 | trust |
|---|---|
模式 | 路由 |
IPv4 | |
连接类型 | 静态IP |
IP地址 | 10.3.1.1/255.255.255.0 |
单击“确定”。
配置策略路由。
选择。
单击“新建”,按如下参数配置。
此处只给出了完成本举例所需的策略路由的基本参数,具体使用时,请根据实际情况设置策略路由中的其他参数。
单击“确定”。
单击“新建”,按如下参数配置。
此处只给出了完成本举例所需的策略路由的基本参数,具体使用时,请根据实际情况设置策略路由中的其他参数。
单击“确定”。
配置安全策略,允许学生网络和教师网络中的PC访问Internet。
选择。
单击“新建”,按如下参数配置。
此处只给出了完成本举例所需的安全策略的基本参数,具体使用时,请根据实际情况设置安全策略中的其他参数。
单击“确定”。
单击“新建”,按如下参数配置。
此处只给出了完成本举例所需的安全策略的基本参数,具体使用时,请根据实际情况设置安全策略中的其他参数。
单击“确定”。
配置NAT策略,当学生网络和教师网络中的PC访问Internet时进行地址转换。
选择。
在“NAT地址池列表”中单击“新建”,按如下参数配置。
名称 | address_1 |
|---|---|
IP地址范围 | 10.1.1.1-10.1.1.1 |
单击“确定”。
在“NAT地址池列表”中单击“新建”,按如下参数配置。
名称 | address_2 |
|---|---|
IP地址范围 | 1.1.1.1-1.1.1.1 |
单击“确定”。
在“源NAT策略列表”中单击“新建”,按如下参数配置。
单击“确定”。
在“源NAT策略列表”中单击“新建”,按如下参数配置。
单击“确定”。
检查接口GigabitEthernet 1/0/1的状态。
选择。
查看接口GigabitEthernet 1/0/1的公网地址配置是否正确,物理状态和IPv4状态是否为Up。
检查接口GigabitEthernet 1/0/7的状态。
选择。
查看接口GigabitEthernet 1/0/7的公网地址配置是否正确,物理状态和IPv4状态是否为Up。
检查接口GigabitEthernet 1/0/3的状态。
选择。
查看接口GigabitEthernet 1/0/3的私网地址配置是否正确,物理状态和IPv4状态是否为Up。
检查接口GigabitEthernet 1/0/4的状态。
选择。
查看接口GigabitEthernet 1/0/4的私网地址配置是否正确,物理状态和IPv4状态是否为Up。
检查学生网络和教师网络中的PC是否能通过域名访问Internet,若能访问,则表示配置成功。否则,请检查配置。
# sysname NGFW # interface GigabitEthernet1/0/1 ip address 1.1.1.1 255.255.255.0 # interface GigabitEthernet1/0/3 ip address 10.3.0.1 255.255.255.0 # interface GigabitEthernet1/0/4 ip address 10.3.1.1 255.255.255.0 # interface GigabitEthernet1/0/7 ip address 10.1.1.1 255.255.255.0 # firewall zone trust set priority 85 add interface GigabitEthernet1/0/3 add interface GigabitEthernet1/0/4 # firewall zone untrust set priority 5 add interface GigabitEthernet1/0/7 # firewall zone untrust1 set priority 10 add interface GigabitEthernet1/0/1 # nat address-group address_1 section 0 10.1.1.1 10.1.1.1 nat address-group address_2 section 0 1.1.1.1 1.1.1.1 # security-policy rule name policy_sec_1 source-zone trust destination-zone untrust source-address 10.3.0.0 24 action permit rule name policy_sec_2 source-zone trust destination-zone untrust1 source-address 10.3.1.0 24 action permit # policy-based-route rule name policy_route_1 ingress-interface GigabitEthernet1/0/3 source-address 10.3.0.0 24 action pbr egress-interface GigabitEthernet1/0/7 rule name policy_route_2 ingress-interface GigabitEthernet1/0/4 source-address 10.3.1.0 24 action pbr egress-interface GigabitEthernet1/0/1 # nat-policy rule name policy_nat_1 source-zone trust destination-zone untrust source-address 10.3.0.0 24 action nat address-group address_1 rule name policy_nat_2 source-zone trust destination-zone untrust1 source-address 10.3.1.0 24 action nat address-group address_2 # return
021-62279227
发送邮件
