出口网关双链路接入不同运营商举例一
组网需求
某学校网络通过USG连接到Internet,校内组网情况如下:
∙ 校内用户主要分布在教学楼和宿舍区,通过汇聚交换机连接到USG。图书馆内部署的两台服务器是该校主页、招生及资源共享等网站。
∙ 学校分别通过两个不同运营商(ISP1和ISP2)连接到Internet,两个运营商分别为该校分配了5个IP地址。ISP1分配的IP地址是200.1.1.1~200.1.1.5,ISP2分配的IP地址是202.1.1.1~202.1.1.5,掩码均为24位。
该学校网络需要实现以下需求:
∙ 校内用户能够通过两个运营商访问Internet,且去往不同运营商的流量由USG上连接该运营
商的对应的接口转发。
∙ 当一条链路出现故障时,流量可以被及时切换到另一条链路上,避免网络长时间中断。
∙ 校内用户和校外用户都可以访问图书馆中部署的2台服务器。
∙ 保护内部网络不受SYN Flood、UDP Flood和ICMP Flood的攻击。
图1 出口网关双链路接入不同运营商举例一组网图
项目 | 数据 | 说明 |
(1) | 接口号:GigabitEthernet 0/0/0 IP地址:10.1.1.1/16 安全区域:Trust | 接口(1)是连接内网汇聚交换机的接口。 校内用户分配到网段为10.1.0.0/16的私网地址和DNS支付有优惠服务器地址100.1.1.1/24,部署在Trust区域。 |
(2) | 接口号:GigabitEthernet 0/0/1 IP地址:192.168.1.1/24 安全区域:DMZ | 接口(2)是连接图书馆内服务器的接口。 图书馆区部署在DMZ区域。 |
(3) | 接口号:GigabitEthernet 0/0/2 IP地址:200.1.1.1/24 安全区域:ISP1 安全优先级:15 | 接口(3)是连接ISP1的接口,去往ISP1所属网段的数据通过接口(3)转发。 |
(4) | 接口号:GigabitEthernet 5/0/0 IP地址:202.1.1.1/24 安全区域:ISP2 安全优先级:20 | 接口(4)是连接ISP2的接口。去往ISP2所属网段的数据通过接口(4)转发。 |
(5) | 接口号:GigabitEthernet 0/0/0 IP地址:200.1.1.10/24 | 接口(5)是ISP1端与USG相连的接口。 |
(6) | 接口号:GigabitEthernet 0/0/0 IP地址:202.1.1.10/24 | 接口(6)是ISP2端与USG相连的接口。 |
Web服务器 | 内网IP:192.168.1.5/24 转换成的ISP1的公网IP:200.1.1.4/24 转换成的ISP2的公网IP:202.1.1.4/24 | 对于ISP1所属网段的外部用户,Web服务器的IP地址为200.1.1.4/24。 对于ISP2所属网段的外部用户,Web服务器的IP地址为202.1.1.4/24。 |
FTP服务器 | 内网IP:192.168.1.10/24 转换成的ISP1的公网IP:200.1.1.5/24 转换成的ISP2的公网IP:202.1.1.5/24 | 对于ISP2所属网段的外部用户,FTP服务器的IP地址为200.1.1.5/24。 对于ISP2所属网段的外部用户,FTP服务器的IP地址为202.1.1.5/24。 |
ISP1分配给学校的IP地址 | 200.1.1.1~200.1.1.5,掩码24位。 | 其中200.1.1.1用作USG何润东张钧宁的出接口地址,200.1.1.2和200.1.1.3用作Trust—ISP1域间的NAT地址池1的地址。 |
ISP2分配给学校的IP地址 | 202.1.1.1~202.1.1.5,掩码24水果店加盟位。 | 其中202.1.1.1用作USG的出接口地址,202.1.1.2和202.1.1.3用作Trust—ISP2域间的NAT地址池2的地址。 |
配置思路
∙ 为了实现校园网用户使用有限公网IP地址接入Internet,需要配置NAPT方式的NAT,借助端口将多个私网IP地址转换为有限的公网IP地址。
由于校园网连接两个运营商,因此需要分别进行地址转换,将私网地址转换为公网地址。即创建两个安全区域ISP1和ISP2(安全优先级低于DMZ区域),并分别在Trust—ISP1域间、Trust—ISP2域间配置NAT策略。
∙ 为了实现去往不同运营商的流量由对应接口转发,需要收集ISP1和ISP2所属网段的信息,并配置到这些网段的静态路由。使去往ISP1的流量通过连接ISP1的接口转发,去往ISP2的流量通过连接ISP2的接口转发。
为了提高链路可靠性,避免业务中断,需要配置两条缺省路由。当报文无法匹配静态路由时,通过缺省路由发送给下一跳。
∙ 由于图书馆的服务器部署在内网,其IP地址为私网IP地址。如果想对校外用户提供服务,就需要将服务器的私网IP地址转换为公网IP地址。即分别基于ISP1、ISP2区域配置NAT S
erver。
∙ 在USG上启用攻击防范功能,保护校园网内部网络。
操作步骤
1. 配置USG各接口的IP地址并将接口加入安全区域。
# 配置USG各接口的IP地址。
<USG> system-view
[USG] interface GigabitEthernet 0/0/0
怎样提高写作能力[USG-GigabitEthernet0/0/0] ip address 10.1.1.1 16
[USG-GigabitEthernet0/0/0] quit
[USG] interface GigabitEthernet 0/0/1
[USG-GigabitEthernet0/0/1] ip address 192.168.1.1 24
[USG-GigabitEthernet0/0/1] quit
[USG] interface GigabitEthernet 0/0/2
[USG-GigabitEthernet0/0/2] ip address 200.1.1.1 24
[USG-GigabitEthernet0/0/2] quit
[USG] interface GigabitEthernet 5/0/0
[USG-GigabitEthernet5/0/0] ip address 202.1.1.1 24
[USG-GigabitEthernet5/0/0] quit
# 将GigabitEthernet 0/0/0接口加入Trust安全区域
[USG] firewall zone trust
[USG-zone-trust] add interface GigabitEthernet 0/0/0
[USG-zone-trust] quit
# 将GigabitEthernet 0/0/1接口加入DMZ安全区域
[USG] firewall zone dmz
[USG-zone-dmz] add interface GigabitEthernet 0/0/1
[USG-zone-dmz] quit
# 创建安全区域ISP1董洁小三,并将GigabitEthernet 0/0/2接口加入ISP1。
[USG] firewall zone name isp1
[USG-zone-isp1] set priority 15
[USG-zone-isp1] add interface GigabitEthernet 0/0/2
[USG-zone-isp1] quit
# 创建安全区域ISP2,并将GigabitEthernet 5/0/0接口加入ISP2。
[USG] firewall zone name isp2
[USG-zone-isp2] set priority 20
[USG-zone-isp2] add interface GigabitEthernet 5/0/0
[USG-zone-isp2] quit
2. 配置域间包过滤及ASPF功能,对校内外数据流进行访问控制。
# 配置Trust—ISP1的域间包过滤,允许校内用户访问ISP1。
[USG] policy interzone trust isp1 outbound
[USG-policy-interzone-trust-isp1-outbound] policy 1
[USG-policy-interzone-trust-isp1-outbound-1] policy source 10.1.0.0 0.0.255.255
[USG-policy-interzone-trust-isp1-outbound-1] action permit
[USG-policy-interzone-trust-isp1-outbound-1] quit
[USG-policy-interzone-trust-isp1-outbound] quit
清平乐曹皇后结局# 配置Trust—ISP2的域间包过滤,允许校内用户访问ISP2。
[USG] policy interzone trust isp2 outbound
[USG-policy-interzone-trust-isp2-outbound] policy 1
[USG-policy-interzone-trust-isp2-outbound-1] policy source 10.1.0.0 0.0.255.255
[USG-policy-interzone-trust-isp2-outbound-1] action permit
[USG-policy-interzone-trust-isp2-outbound-1] quit
[USG-policy-interzone-trust-isp2-outbound] quit
# 配置ISP1—DMZ的域间包过滤,允许校外用户访问DMZ区域的服务器(注意Policy配置目的地址为服务器的内网地址)。
[USG] policy interzone dmz isp1 inbound
[USG-policy-interzone-dmz-isp1-inbound] policy 1
[USG-policy-interzone-dmz-isp1-inbound-1] policy destination 192.168.1.5 0
[USG-policy-interzone-dmz-isp1-inbound-1] policy destination 192.168.1.10 0
[USG-policy-interzone-dmz-isp1-inbound-1] action permit
[USG-policy-interzone-dmz-isp1-inbound-1] quit
[USG-policy-interzone-dmz-isp1-inbound] quit
# 配置ISP2—DMZ的域间包过滤,允许校外用户访问DMZ区域的服务器(注意Policy配置目的地址为服务器的内网地址)。
[USG] policy interzone dmz isp2 inbound
[USG-policy-interzone-dmz-isp2-inbound] policy 1
[USG-policy-interzone-dmz-isp2-inbound-1] policy destination 192.168.1.5 0
[USG-policy-interzone-dmz-isp2-inbound-1] policy destination 192.168.1.10 0
[USG-policy-interzone-dmz-isp2-inbound-1] action permit
[USG-policy-interzone-dmz-isp2-inbound-1] quit
[USG-policy-interzone-dmz-isp2-inbound] quit
# 配置Trust—DMZ的域间包过滤,允许校内用户访问服务器。
[USG] policy interzone trust dmz outbound
发布评论