通过静态IPv4地址接入互联网
通过静态IPv4地址接入互联网
设备使用静态IPv4地址接入Internet,并为内部网络提供网络访问服务。
组网需求
如图1所示,某企业在网络边界处部署了FW作为安全网关,并从运营商处购买了宽带上网服务,实现内部网络接入Internet的需求。
具体需求如下:
- 内部网络中的PC使用私网网段10.3.0.0/24实现互通,要求由FW为PC分配私网地址、DNS Server地址等网络参数,减少管理员手工配置的劳动量。
- 内部网络中的PC可以访问Internet。
本举例中假设某企业从运营商获取了如下信息,这些信息仅供举例使用,实际配置时请从当地运营商获取。
| 项目 | 数据 | 说明 |
|---|---|---|
|
地址 |
1.1.1.1/24 |
运营商分配给企业的公网地址。 |
|
默认网关 |
1.1.1.254 |
运营商提供的默认网关。 |
|
DNS Server地址 |
9.9.9.9 |
运营商提供的DNS Server地址。 |
配置思路
- 配置接口的IP地址,并将接口加入相应的安全区域。
- 配置FW作为DHCP Server,为内部网络中的PC分配IP地址和DNS Server地址。
- 配置安全策略,允许内部网络中的PC访问Internet。
- 配置NAT策略,提供源地址转换功能。由于使用运营商分配的固定公网地址作为转换后的地址,故采用Easy-IP方式的NAT策略,简化配置。
- 在运营商网络的设备上配置回程路由,该配置由运营商完成,本举例中不作介绍。
操作步骤
- 配置各个接口IP地址并将其加入对应的安全区域。
<FW> system-view [FW] interface GigabitEthernet 1/0/1 [FW-GigabitEthernet1/0/1] ip address 1.1.1.1 255.255.255.0 [FW-GigabitEthernet1/0/1] quit [FW] interface GigabitEthernet 1/0/3 [FW-GigabitEthernet1/0/3] ip address 10.3.0.1 255.255.255.0 [FW-GigabitEthernet1/0/3] quit [FW] firewall zone untrust [FW-zone-untrust] add interface GigabitEthernet 1/0/1 [FW-zone-untrust] quit [FW] firewall zone trust [FW-zone-trust] add interface GigabitEthernet 1/0/3 [FW-zone-trust] quit
- 配置FW作为DHCP Server。
# 开启DHCP功能。
[FW] dhcp enable# 创建接口地址池并为内网PC配置网关地址和DNS Server地址。
[FW] interface GigabitEthernet 1/0/3 [FW-GigabitEthernet1/0/3] dhcp select interface [FW-GigabitEthernet1/0/3] dhcp server ip-range 10.3.0.1 10.3.0.254 [FW-GigabitEthernet1/0/3] dhcp server dns-list 9.9.9.9 [FW-GigabitEthernet1/0/3] dhcp server gateway-list 10.3.0.1 [FW-GigabitEthernet1/0/3] quit
- 配置安全策略,允许内部网络中的PC访问Internet。
[FW] security-policy [FW-security-policy] rule name policy_sec_1 [FW-security-policy-sec_policy_1] source-address 10.3.0.0 mask 255.255.255.0 [FW-security-policy-sec_policy_1] source-zone trust [FW-security-policy-sec_policy_1] destination-zone untrust [FW-security-policy-sec_policy_1] action permit [FW-security-policy-sec_policy_1] quit [FW-security-policy] quit
- 配置NAT策略,当内部网络中的PC访问Internet时进行地址转换。
[FW] nat-policy [FW-policy-nat] rule name policy_nat_1 [FW-policy-nat-rule-policy_nat_1] source-address 10.3.0.0 mask 255.255.255.0 [FW-policy-nat-rule-policy_nat_1] source-zone trust [FW-policy-nat-rule-policy_nat_1] egress-interface GigabitEthernet 1/0/1 [FW-policy-nat-rule-policy_nat_1] action source-nat easy-ip [FW-policy-nat-rule-policy_nat_1] quit [FW-policy-nat] quit
- 配置缺省路由,指定下一跳地址为1.1.1.254。
[FW] ip route-static 0.0.0.0 0.0.0.0 1.1.1.254
结果验证
-
查看接口GigabitEthernet 1/0/1的详细信息,检查其公网地址配置是否正确,物理状态和IPv4状态是否均为Up。
[FW] display interface GigabitEthernet 1/0/1 GigabitEthernet 1/0/1 current state : UP Line protocol current state : UP GigabitEthernet 1/0/1 current firewall zone : untrust Description : GigabitEthernet 1/0/1 Interface, Route Port The Maximum Transmit Unit is 1500 bytes, Hold timer is 10(sec) Internet Address is 1.1.1.1/24 IP Sending Frames' Format is PKTFMT_ETHNT_2, Hardware address is 0022-a100-a101 Media type is twisted pair, loopback not set, promiscuous mode not set 100Mb/s-speed mode, full-duplex mode, link type is auto negotiation max-bandwidth : 100000 kbps Last physical up time : - Last physical down time : 2018-01-16 20:33:13 Current system time: 2018-01-17 10:08:18 Top 3 input bit rate: 672688 bits/sec at 2018-01-15 11:11:41 20872 bits/sec at 2018-01-15 11:11:40 17456 bits/sec at 2018-01-14 19:23:00 Top 3 output bit rate: 672000 bits/sec at 2018-01-15 11:11:41 19568 bits/sec at 2018-01-15 11:11:40 9064 bits/sec at 2018-01-14 11:11:53 Top 3 input packet rate: 8008 packets/sec at 2018-01-15 11:11:41 248 packets/sec at 2018-01-15 11:11:40 216 packets/sec at 2018-01-14 11:11:56 Top 3 output packet rate: 8000 packets/sec at 2018-01-15 11:11:41 232 packets/sec at 2018-01-15 11:11:40 80 packets/sec at 2018-01-14 11:11:53 Last 300 seconds input rate 8 bytes/sec, 0 packets/sec Last 300 seconds output rate 8 bytes/sec, 0 packets/sec Input: 1149 packets, 99478 bytes 12 unicasts, 4 broadcasts, 1133 multicasts, 0 pauses 0 overruns, 0 runts, 0 jumbos, 0 FCS errors 0 length errors, 0 code errors, 0 align errors 0 fragment errors, 0 giants, 0 jabber errors 0 dribble condition detected, 0 other errors Output: 1104 packets, 94646 bytes 7 unicasts, 10 broadcasts, 1087 multicasts, 0 pauses 0 underruns, 0 runts, 0 jumbos, 0 FCS errors 0 fragment errors, 0 giants, 0 jabber errors 0 collisions, 0 late collisions 0 ex. collisions, 0 deferred, 0 other errors
-
在内部网络中的PC上通过ipconfig/all命令检查网卡是否正确分配到私网地址和DNS地址。此处以Windows XP操作系统为例,其它操作系统请以实际显示情况为准。
Ethernet adapter 本地连接: Connection-specific DNS Suffix . : Description . . . . . . . . . . . : Intel(R) 82574L Gigabit Network Connection Physical Address. . . . . . . . . : 00-1B-21-B4-0B-35 Dhcp Enabled. . . . . . . . . . . : Yes Autoconfiguration Enabled . . . . : Yes IP Address. . . . . . . . . . . . : 10.3.0.2 Subnet Mask . . . . . . . . . . . : 255.255.255.0 Default Gateway . . . . . . . . . : 10.3.0.1 DHCP Server . . . . . . . . . . . : 10.3.0.1 DNS Servers . . . . . . . . . . . : 9.9.9.9 Lease Obtained. . . . . . . . . . : 2014年8月2日 9:38:14 Lease Expires . . . . . . . . . . : 2014年8月13日 9:38:14 - 检查内部网络中的PC是否能通过域名访问Internet,若能访问,则表示配置成功。否则,请检查配置。
配置脚本
# dhcp enable # interface GigabitEthernet1/0/1 undo shutdown ip address 1.1.1.1 255.255.255.0 # interface GigabitEthernet1/0/3 undo shutdown ip address 10.3.0.1 255.255.255.0 dhcp select interface dhcp server ip-range 10.3.0.1 10.3.0.254 dhcp server gateway-list 10.3.0.1 dhcp server dns-list 9.9.9.9 # firewall zone trust set priority 85 add interface GigabitEthernet1/0/3 # firewall zone untrust set priority 5 add interface GigabitEthernet1/0/1 # ip route-static 0.0.0.0 0.0.0.0 1.1.1.254 # security-policy rule name policy_sec_1 source-zone trust destination-zone untrust source-address 10.3.0.0 24 action permit # nat-policy rule name policy_nat_1 source-zone trust egress-interface GigabitEthernet1/0/1 source-address 10.3.0.0 24 action source-nat easy-ip # return
版权声明:
作者:SE_YT
链接:https://www.cnesa.cn/2168.html
来源:CNESA
文章版权归作者所有,未经允许请勿转载。
THE END
0
打赏
海报
通过静态IPv4地址接入互联网
通过静态IPv4地址接入互联网
设备使用静态IPv4地址接入Internet,并为内部网络提供网络访问服务。
组网需求
如图1所示,某企业在网络边界处部署了FW作为安……
共有 0 条评论