Admin
2017-02-13 14:43:20
如图1所示,某企业在网络边界处部署了NGFW作为安全网关,并从运营商处购买了宽带上网服务,实现内部网络接入Internet的需求。
具体需求如下:
内部网络中的PC使用私网网段10.3.0.0/24实现互通,要求由NGFW为PC分配私网地址、DNS服务器地址等网络参数,减少管理员手工配置的劳动量。
内部网络中的PC可以访问Internet。
本举例中假设某企业从运营商获取了如下信息,这些信息仅供举例使用,实际配置时请从当地运营商获取。
| 项目 | 数据 | 说明 |
|---|---|---|
地址 | 1.1.1.1/24 | 运营商分配给企业的公网地址。 |
默认网关 | 1.1.1.254 | 运营商提供的默认网关。 |
DNS服务器地址 | 9.9.9.9 | 运营商提供的DNS服务器地址。 |
配置接口的地址,并将接口加入相应的安全区域。在配置接口GigabitEthernet 1/0/1的地址时,同时指定默认网关为1.1.1.254。
配置DHCP服务器功能,为内部网络中的PC分配IP地址和DNS服务器地址。
配置安全策略,允许内部网络中的PC访问Internet。
配置NAT策略,提供源地址转换功能。由于使用运营商分配的固定公网地址作为转换后的地址,故采用Easy-IP方式的NAT策略,简化配置。
在运营商网络的设备上配置回程路由,该配置由运营商完成,本举例中不作介绍。
配置接口GigabitEthernet 1/0/1。
选择。
单击GE1/0/1对应的
,按如下参数配置。
安全区域 | untrust |
|---|---|
模式 | 路由 |
IPv4 | |
连接类型 | 静态IP |
IP地址 | 1.1.1.1/255.255.255.0 |
默认网关 | 1.1.1.254 |
单击“确定”。
配置接口GigabitEthernet 1/0/3。
选择。
单击GE1/0/3对应的,按如下参数配置。
安全区域 | trust |
|---|---|
模式 | 路由 |
IPv4 | |
连接类型 | 静态IP |
IP地址 | 10.3.0.1/255.255.255.0 |
单击“确定”。
配置DHCP服务器。
选择。
单击“新建”,按如下参数配置。
单击“确定”。
配置安全策略,允许内部网络中的PC访问Internet。
选择。
单击“新建”,按如下参数配置。
此处只给出了完成本举例所需的安全策略的基本参数,具体使用时,请根据实际情况设置安全策略中的其他参数。
单击“确定”。
配置NAT策略,当内部网络中的PC访问Internet时进行地址转换。
选择。
在“源NAT策略列表”中单击“新建”,按如下参数配置。
单击“确定”。
检查接口GigabitEthernet 1/0/1的状态。
选择。
查看接口GigabitEthernet 1/0/1的公网地址配置是否正确,物理状态和IPv4状态是否为Up。
在内部网络中的PC上通过ipconfig/all命令检查网卡是否正确分配到私网地址和DNS地址。此处以Windows XP操作系统为例,其它操作系统请以实际显示情况为准。
Ethernet adapter 本地连接: Connection-specific DNS Suffix . : Description . . . . . . . . . . . : Intel(R) 82574L Gigabit Network Connection Physical Address. . . . . . . . . : 00-1B-21-B4-0B-35 Dhcp Enabled. . . . . . . . . . . : Yes Autoconfiguration Enabled . . . . : Yes IP Address. . . . . . . . . . . . : 10.3.0.2 Subnet Mask . . . . . . . . . . . : 255.255.255.0 Default Gateway . . . . . . . . . : 10.3.0.1 DHCP Server . . . . . . . . . . . : 10.3.0.1 DNS Servers . . . . . . . . . . . : 9.9.9.9 Lease Obtained. . . . . . . . . . : 2012年8月2日 9:38:14 Lease Expires . . . . . . . . . . : 2012年8月13日 9:38:14
检查内部网络中的PC是否能通过域名访问Internet,若能访问,则表示配置成功。否则,请检查配置。
# sysname NGFW # interface GigabitEthernet1/0/1 ip address 1.1.1.1 255.255.255.0 # interface GigabitEthernet1/0/3 ip address 10.3.0.1 255.255.255.0 dhcp select interface dhcp server ip-range 10.3.0.1 10.3.0.254 dhcp server gateway-list 10.3.0.1 dhcp server dns-list 9.9.9.9 # firewall zone trust set priority 85 add interface GigabitEthernet1/0/3 # firewall zone untrust set priority 5 add interface GigabitEthernet1/0/1 # ip route-static 0.0.0.0 0.0.0.0 GigabitEthernet1/0/1 1.1.1.254 # security-policy rule name policy_sec_1 source-zone trust destination-zone untrust source-address 10.3.0.0 24 action permit # nat-policy rule name policy_nat_1 source-zone trust egress-interface GigabitEthernet1/0/1 source-address 10.3.0.0 24 action nat easy-ip # return
021-62279227
发送邮件
