通过静态IPv4地址接入互联网

通过静态IPv4地址接入互联网

设备使用静态IPv4地址接入Internet,并为内部网络提供网络访问服务。

组网需求

图1所示,某企业在网络边界处部署了FW作为安全网关,并从运营商处购买了宽带上网服务,实现内部网络接入Internet的需求。

具体需求如下:

  • 内部网络中的PC使用私网网段10.3.0.0/24实现互通,要求由FW为PC分配私网地址、DNS Server地址等网络参数,减少管理员手工配置的劳动量。
  • 内部网络中的PC可以访问Internet。
图1 以太网链路接入Internet组网图

本举例中假设某企业从运营商获取了如下信息,这些信息仅供举例使用,实际配置时请从当地运营商获取。

项目 数据 说明

地址

1.1.1.1/24

运营商分配给企业的公网地址。

默认网关

1.1.1.254

运营商提供的默认网关。

DNS Server地址

9.9.9.9

运营商提供的DNS Server地址。

配置思路

  1. 配置接口的IP地址,并将接口加入相应的安全区域。
  2. 配置FW作为DHCP Server,为内部网络中的PC分配IP地址和DNS Server地址。
  3. 配置安全策略,允许内部网络中的PC访问Internet。
  4. 配置NAT策略,提供源地址转换功能。由于使用运营商分配的固定公网地址作为转换后的地址,故采用Easy-IP方式的NAT策略,简化配置。
  5. 在运营商网络的设备上配置回程路由,该配置由运营商完成,本举例中不作介绍。

操作步骤

  1. 配置各个接口IP地址并将其加入对应的安全区域。
    <FW> system-view
    [FW] interface GigabitEthernet 1/0/1
    [FW-GigabitEthernet1/0/1] ip address 1.1.1.1 255.255.255.0
    [FW-GigabitEthernet1/0/1] quit
    [FW] interface GigabitEthernet 1/0/3
    [FW-GigabitEthernet1/0/3] ip address 10.3.0.1 255.255.255.0
    [FW-GigabitEthernet1/0/3] quit
    [FW] firewall zone untrust
    [FW-zone-untrust] add interface GigabitEthernet 1/0/1
    [FW-zone-untrust] quit
    [FW] firewall zone trust
    [FW-zone-trust] add interface GigabitEthernet 1/0/3
    [FW-zone-trust] quit
    
  2. 配置FW作为DHCP Server。

    # 开启DHCP功能。

    [FW] dhcp enable

    # 创建接口地址池并为内网PC配置网关地址和DNS Server地址。

    [FW] interface GigabitEthernet 1/0/3
    [FW-GigabitEthernet1/0/3] dhcp select interface
    [FW-GigabitEthernet1/0/3] dhcp server ip-range 10.3.0.1 10.3.0.254
    [FW-GigabitEthernet1/0/3] dhcp server dns-list 9.9.9.9
    [FW-GigabitEthernet1/0/3] dhcp server gateway-list 10.3.0.1
    [FW-GigabitEthernet1/0/3] quit
  3. 配置安全策略,允许内部网络中的PC访问Internet。
    [FW] security-policy
    [FW-security-policy] rule name policy_sec_1
    [FW-security-policy-sec_policy_1] source-address 10.3.0.0 mask 255.255.255.0
    [FW-security-policy-sec_policy_1] source-zone trust
    [FW-security-policy-sec_policy_1] destination-zone untrust
    [FW-security-policy-sec_policy_1] action permit
    [FW-security-policy-sec_policy_1] quit
    [FW-security-policy] quit
  4. 配置NAT策略,当内部网络中的PC访问Internet时进行地址转换。
    [FW] nat-policy
    [FW-policy-nat] rule name policy_nat_1
    [FW-policy-nat-rule-policy_nat_1] source-address 10.3.0.0 mask 255.255.255.0
    [FW-policy-nat-rule-policy_nat_1] source-zone trust
    [FW-policy-nat-rule-policy_nat_1] egress-interface GigabitEthernet 1/0/1
    [FW-policy-nat-rule-policy_nat_1] action source-nat easy-ip
    [FW-policy-nat-rule-policy_nat_1] quit
    [FW-policy-nat] quit
  5. 配置缺省路由,指定下一跳地址为1.1.1.254。
    [FW] ip route-static 0.0.0.0 0.0.0.0 1.1.1.254

结果验证

  1. 查看接口GigabitEthernet 1/0/1的详细信息,检查其公网地址配置是否正确,物理状态和IPv4状态是否均为Up。

    [FW] display interface GigabitEthernet 1/0/1
    GigabitEthernet 1/0/1 current state : UP                                        
    Line protocol current state : UP      
    GigabitEthernet 1/0/1 current firewall zone : untrust
    Description : GigabitEthernet 1/0/1 Interface, Route Port
    The Maximum Transmit Unit is 1500 bytes, Hold timer is 10(sec)
    Internet Address is 1.1.1.1/24  
    IP Sending Frames' Format is PKTFMT_ETHNT_2, Hardware address is 0022-a100-a101
    Media type is twisted pair, loopback not set, promiscuous mode not set    
    100Mb/s-speed mode, full-duplex mode, link type is auto negotiation
    max-bandwidth : 100000 kbps       
    Last physical up time   : -                                                     
    Last physical down time : 2018-01-16 20:33:13                                   
    Current system time: 2018-01-17 10:08:18 
    Top 3 input bit rate: 672688 bits/sec at 2018-01-15 11:11:41                                                                        
                          20872 bits/sec at 2018-01-15 11:11:40                                                                         
                          17456 bits/sec at 2018-01-14 19:23:00                                                                         
    Top 3 output bit rate: 672000 bits/sec at 2018-01-15 11:11:41                                                                       
                           19568 bits/sec at 2018-01-15 11:11:40                                                                        
                           9064 bits/sec at 2018-01-14 11:11:53                                                                         
    Top 3 input packet rate: 8008 packets/sec at 2018-01-15 11:11:41                                                                    
                             248 packets/sec at 2018-01-15 11:11:40                                                                     
                             216 packets/sec at 2018-01-14 11:11:56                                                                     
    Top 3 output packet rate: 8000 packets/sec at 2018-01-15 11:11:41                                                                   
                              232 packets/sec at 2018-01-15 11:11:40                                                                    
                              80 packets/sec at 2018-01-14 11:11:53
    Last 300 seconds input rate 8  bytes/sec, 0  packets/sec  
    Last 300 seconds output rate 8  bytes/sec, 0  packets/sec 
        Input: 1149 packets, 99478 bytes  
              12 unicasts, 4 broadcasts, 1133 multicasts, 0 pauses
              0 overruns, 0 runts, 0 jumbos, 0 FCS errors         
              0 length errors,  0 code errors, 0 align errors     
              0 fragment errors,  0 giants, 0 jabber errors       
              0 dribble condition detected,  0 other errors       
        Output: 1104 packets, 94646 bytes 
              7 unicasts, 10 broadcasts, 1087 multicasts, 0 pauses
              0 underruns, 0 runts, 0 jumbos, 0 FCS errors        
              0 fragment errors, 0 giants, 0 jabber errors        
              0 collisions, 0 late collisions         
              0 ex. collisions, 0 deferred, 0 other errors    
    
  2. 在内部网络中的PC上通过ipconfig/all命令检查网卡是否正确分配到私网地址和DNS地址。此处以Windows XP操作系统为例,其它操作系统请以实际显示情况为准。

    Ethernet adapter 本地连接:
    
            Connection-specific DNS Suffix  . :
            Description . . . . . . . . . . . : Intel(R) 82574L Gigabit Network Connection
            Physical Address. . . . . . . . . : 00-1B-21-B4-0B-35
            Dhcp Enabled. . . . . . . . . . . : Yes
            Autoconfiguration Enabled . . . . : Yes
            IP Address. . . . . . . . . . . . : 10.3.0.2
            Subnet Mask . . . . . . . . . . . : 255.255.255.0
            Default Gateway . . . . . . . . . : 10.3.0.1
            DHCP Server . . . . . . . . . . . : 10.3.0.1
            DNS Servers . . . . . . . . . . . : 9.9.9.9
            Lease Obtained. . . . . . . . . . : 2014年8月2日 9:38:14
            Lease Expires . . . . . . . . . . : 2014年8月13日 9:38:14
  3. 检查内部网络中的PC是否能通过域名访问Internet,若能访问,则表示配置成功。否则,请检查配置。

配置脚本

#
dhcp enable
#                                                                               
interface GigabitEthernet1/0/1                 
 undo shutdown
 ip address 1.1.1.1 255.255.255.0                                               
#                                                                               
interface GigabitEthernet1/0/3                 
 undo shutdown
 ip address 10.3.0.1 255.255.255.0                                              
 dhcp select interface                                                          
 dhcp server ip-range 10.3.0.1 10.3.0.254
 dhcp server gateway-list 10.3.0.1                                             
 dhcp server dns-list 9.9.9.9                                                   
#                                                                               
firewall zone trust                                                             
 set priority 85                                                                
 add interface GigabitEthernet1/0/3            
#                                                                               
firewall zone untrust                                                           
 set priority 5                                                                 
 add interface GigabitEthernet1/0/1            
#                                                                               
 ip route-static 0.0.0.0 0.0.0.0 1.1.1.254
#                                                                               
security-policy                                                                 
  rule name policy_sec_1                                                        
    source-zone trust                                                           
    destination-zone untrust                                                    
    source-address 10.3.0.0 24                                                  
    action permit                                                               
#                                                                               
nat-policy                                                                      
  rule name policy_nat_1                                                        
    source-zone trust                                                           
    egress-interface GigabitEthernet1/0/1      
    source-address 10.3.0.0 24                                                  
    action source-nat easy-ip                                                          
#                                                                               
return

版权声明:
作者:SE_YT
链接:https://www.cnesa.cn/2168.html
来源:CNESA
文章版权归作者所有,未经允许请勿转载。

THE END
打赏
海报
通过静态IPv4地址接入互联网
通过静态IPv4地址接入互联网 设备使用静态IPv4地址接入Internet,并为内部网络提供网络访问服务。 组网需求 如图1所示,某企业在网络边界处部署了FW作为安……
<<上一篇
下一篇>>