通过配置NAT和策略路由功能,可以使校园网用户分别接入教育网和Internet。
组网需求
如图1所示,某高校在网络边界处部署了NGFW作为安全网关,通过教育网接入Internet。同时还从运营商处购买了宽带上网服务,通过运营商网络接入Internet。
具体需求如下:
· 要求学生网络中的PC只能通过教育网访问Internet。
· 要求教师网络中的PC只能通过运营商网络访问Internet。
图1 校园网用户双上行分别接入教育网和Internet组网图 
本举例中假设某高校从教育网以及运营商获取了如下信息,这些信息仅供举例使用,实际配置时请从当地教育网以及运营商获取。
| 项目 | 数据 | 说明 |
| 地址 | 10.1.1.1/24 | 教育网分配给高校的私网地址。 |
| 1.1.1.1/24 | 运营商分配给高校的公网地址。 | |
| 默认网关 | 10.1.1.254 | 教育网提供的网关地址。 |
| 1.1.1.254 | 运营商提供的网关地址。 | |
| DNS服务器地址 | 10.1.1.254 | 教育网提供的DNS服务器地址。 |
| 9.9.9.9 | 运营商提供的DNS服务器地址。 |
配置思路
1. 配置接口的地址,并将接口加入相应的安全区域。
2. 配置策略路由,使学生网络中的PC通过接口GigabitEthernet 1/0/7经由教育网访问Internet,使教师网络中的PC通过接口GigabitEthernet 1/0/1直接访问Internet。
3. 配置安全策略,允许学生网络和教师网络中的PC访问Internet。
4. 配置NAT策略,提供源地址转换功能。
5. 在教育网和运营商网络的设备上配置回程路由,该配置由教育网以及运营商完成,本举例中不作介绍。
6. 规划学生网络和教师网络中PC的地址,并将学生网络中PC的网关设置为10.3.0.1、DNS服务器地址设置为10.1.1.254,将教师网络中PC的网关设置为10.3.1.1、DNS服务器设置为9.9.9.9,该配置由网络管理员完成,本举例中不作介绍。
操作步骤
1. 配置接口GigabitEthernet 1/0/1。
a. 选择“网络 > 安全区域”。
b. 单击“新建”,按如下参数配置。
安全区域名称 | untrust1 |
优先级 | 10 |
c. 单击“确定”。
d. 选择“网络 > 接口”。
e. 单击GE1/0/1对应的
,按如下参数配置。
安全区域 | untrust1 |
模式 | 路由 |
IPv4 | |
连接类型 | 静态IP |
IP地址 | 1.1.1.1/255.255.255.0 |
f. 单击“确定”。
2. 配置接口GigabitEthernet 1/0/7。
a. 选择“网络 > 接口”。
b. 单击GE1/0/7对应的,按如下参数配置。
安全区域 | untrust |
模式 | 路由 |
IPv4 | |
连接类型 | 静态IP |
IP地址 | 10.1.1.1/255.255.255.0 |
c. 单击“确定”。
3. 配置接口GigabitEthernet 1/0/3。
a. 选择“网络 > 接口”。
b. 单击GE1/0/3对应的,按如下参数配置。
安全区域 | trust |
模式 | 路由 |
IPv4 | |
连接类型 | 静态IP |
IP地址 | 10.3.0.1/255.255.255.0 |
c. 单击“确定”。
4. 配置接口GigabitEthernet 1/0/4。
a. 选择“网络 > 接口”。
b. 单击GE1/0/4对应的,按如下参数配置。
安全区域 | trust |
模式 | 路由 |
IPv4 | |
连接类型 | 静态IP |
IP地址 | 10.3.1.1/255.255.255.0 |
c. 单击“确定”。
5. 配置策略路由。
a. 选择“网络 > 路由 > 智能选路”。
b. 选择进入“策略路由”页签,单击“新建”,按如下参数配置。
此处只给出了完成本举例所需的策略路由的基本参数,具体使用时,请根据实际情况设置策略路由中的其他参数。
c. 单击“确定”。
d. 单击“新建”,按如下参数配置。
此处只给出了完成本举例所需的策略路由的基本参数,具体使用时,请根据实际情况设置策略路由中的其他参数。
e. 单击“确定”。
6. 配置安全策略,允许学生网络和教师网络中的PC访问Internet。
a. 选择“策略 > 安全策略”。
b. 单击“新建”,按如下参数配置。
此处只给出了完成本举例所需的安全策略的基本参数,具体使用时,请根据实际情况设置安全策略中的其他参数。
c. 单击“确定”。
d. 单击“新建”,按如下参数配置。
此处只给出了完成本举例所需的安全策略的基本参数,具体使用时,请根据实际情况设置安全策略中的其他参数。
e. 单击“确定”。
7. 配置NAT策略,当学生网络和教师网络中的PC访问Internet时进行地址转换。
a. 选择“策略 > NAT策略 > 源NAT”。
b. 在“NAT地址池列表”中单击“新建”,按如下参数配置。
名称 | address_1 |
IP地址范围 | 10.1.1.1-10.1.1.1 |
c. 单击“确定”。
d. 在“NAT地址池列表”中单击“新建”,按如下参数配置。
名称 | address_2 |
IP地址范围 | 1.1.1.1-1.1.1.1 |
e. 单击“确定”。
f. 在“源NAT策略列表”中单击“新建”,按如下参数配置。
g. 单击“确定”。
h. 在“源NAT策略列表”中单击“新建”,按如下参数配置。
i. 单击“确定”。
结果验证
1. 检查接口GigabitEthernet 1/0/1的状态。
a. 选择“网络 > 接口”。
b. 查看接口GigabitEthernet 1/0/1的公网地址配置是否正确,物理状态和IPv4状态是否为Up。
2. 检查接口GigabitEthernet 1/0/7的状态。
a. 选择“网络 > 接口”。
b. 查看接口GigabitEthernet 1/0/7的公网地址配置是否正确,物理状态和IPv4状态是否为Up。
3. 检查接口GigabitEthernet 1/0/3的状态。
a. 选择“网络 > 接口”。
b. 查看接口GigabitEthernet 1/0/3的私网地址配置是否正确,物理状态和IPv4状态是否为Up。
4. 检查接口GigabitEthernet 1/0/4的状态。
a. 选择“网络 > 接口”。
b. 查看接口GigabitEthernet 1/0/4的私网地址配置是否正确,物理状态和IPv4状态是否为Up。
5. 检查学生网络和教师网络中的PC是否能通过域名访问Internet,若能访问,则表示配置成功。否则,请检查配置。
配置脚本
#
sysname NGFW
#
interface GigabitEthernet1/0/1
ip address 1.1.1.1 255.255.255.0
#
interface GigabitEthernet1/0/3
ip address 10.3.0.1 255.255.255.0
#
interface GigabitEthernet1/0/4
ip address 10.3.1.1 255.255.255.0
#
interface GigabitEthernet1/0/7
ip address 10.1.1.1 255.255.255.0
#
firewall zone trust
set priority 85
add interface GigabitEthernet1/0/3
add interface GigabitEthernet1/0/4
#
firewall zone untrust
set priority 5
add interface GigabitEthernet1/0/7
#
firewall zone untrust1
set priority 10
add interface GigabitEthernet1/0/1
#
nat address-group address_1
section 0 10.1.1.1 10.1.1.1
nat address-group address_2
section 0 1.1.1.1 1.1.1.1
#
security-policy
rule name policy_sec_1
source-zone trust
destination-zone untrust
source-address 10.3.0.0 24
action permit
rule name policy_sec_2
source-zone trust
destination-zone untrust1
source-address 10.3.1.0 24
action permit
#
policy-based-route
rule name policy_route_1
ingress-interface GigabitEthernet1/0/3
source-address 10.3.0.0 24
action pbr egress-interface GigabitEthernet1/0/7
rule name policy_route_2
ingress-interface GigabitEthernet1/0/4
source-address 10.3.1.0 24
action pbr egress-interface GigabitEthernet1/0/1
#
nat-policy
rule name policy_nat_1
source-zone trust
destination-zone untrust
source-address 10.3.0.0 24
action nat address-group address_1
rule name policy_nat_2
source-zone trust
destination-zone untrust1
source-address 10.3.1.0 24
action nat address-group address_2
#
return
推荐本站淘宝优惠价购买喜欢的宝贝:
本文链接:https://hqyman.cn/post/7276.html 非本站原创文章欢迎转载,原创文章需保留本站地址!
微信支付宝扫一扫,打赏作者吧~休息一下~~
官码2024000195号
萌ICP备20248119号
